Especialistas del Centro de Coordinación CERT (CERT/CC) han lanzado un bot especial de Twitter, vulnónimo, que "inventará" nombres aleatorios y máximamente neutrales para las vulnerabilidades que han recibido identificadores CVE.
Esta idea nació de interminables discusiones sobre «¿Las vulnerabilidades deberían tener nombres??»
Durante muchas décadas, MITRE ha estado asignando identificadores CVE a vulnerabilidades en el formato estándar. CVE-[AÑO] – [NÚMERO], por ejemplo CVE-2019-0708. Estos CVE son utilizados por el software de seguridad para identificar errores., rastrear y monitorear problemas con fines estadísticos, pero los humanos en realidad usan CVE.
A través de los años, Los especialistas en ciberseguridad se han dado cuenta de que su trabajo de descubrimiento de vulnerabilidades puede perderse en un flujo constante de CVE difíciles de recordar.. Por lo tanto, Las empresas y los investigadores comenzaron a nombrar sus vulnerabilidades para destacar entre la multitud y ser recordados.. Los ejemplos más famosos de esto son Espectro, Fusión de un reactor, vaca sucia, Inicio de sesión cero, Sangrado del corazón, azulmantener, SIGRrojo, Diente borroso, DejaBlue y Miedo escénico vulnerabilidades.
Los expertos del CERT creen que con el tiempo, esta práctica ha pasado a la etapa de intimidación y se ha convertido en una estrategia de marketing para atraer la atención..
La situación a veces llega al punto del absurdo.. Por ejemplo, El año pasado, una vulnerabilidad encontrada por Cisco fue nombrada usando tres emojis y también se conoce como Thrangrycat («Tres gatos enojados«).
En un intento de mitigar la situación, Los expertos del CERT crearon Vulnonym, que dará a los errores nombres en clave neutrales, que consta de dos palabras en formato adjetivo-sustantivo.
Metcalfe explica que la gente sólo necesita nombres fáciles de recordar para describir los errores, porque “la gente no es buena recordando números,”como los que se utilizan como identificadores CVE. Así que, una persona recordará fácilmente google.com, pero no la dirección IP en la que está alojado este sitio.
Permítanme recordarles que los expertos de NortonLifeLock desarrolló una herramienta gratuita de detección de bots en Twitter.