[Notizia] https://www.forbes.com/sites/kateof...funding-cut-what-it-means-and-what-to-do-next
Non sono molti a discutere dell'argomento, ma sembra che il 16 Aprile, il "governo" statunitense (attualmente controllato da una banda di cowboy appassionati di Tesla, Poker, Scopa e Solitario) sia quasi riuscito a far chiudere il noto "CVE Program", un importante database che permette di tenere traccia delle vulnerabilità scoperte. Sembra comunque che all'ultimo momento, CISA (https://www.cisa.gov) sia riuscita ad estendere il contratto di 11 mesi, mettendo una toppa al problema. Comunque, non è noto come si concluderà la faccenda allo scadere degli 11 mesi rimanenti.
Questo database viene mantenuto da 25 anni, senza di esso risulterebbe molto più difficile tracciare le vulnerabilità, lasciando gli amministratori in serie difficoltà in situazioni in cui ad esempio si debba "patchare" un'infrastruttura in WAN tramite un software di automazione, rendendo molto difficile identificare rapidamente un attacco basato su pattern già noti. In questo post farò capire con un esempio molto pratico cosa significa nei fatti, la chiusura e terminazione del CVE Program, con un esempio.
Situazione (assumendo che il CVE Program non sia mai esistito):
Energy SPA, un ente del settore energetico, espone per sbaglio in WAN un WCP (Web Control Panel) affetto da OS Command Injection, una vulnerabilità critica ma facile da sfruttare, perché l'unica condizione che richiede è che gli input dell'utente siano passati in modo insicuro ad una shell. Senza il CVE Database, e senza un software che automatizza lo scaricamento delle patch, la vulnerabilità non viene mai "risolta" e l'unico modo per documentarla sarebbe fare ricerche estensive sui forum "IT Tech" e "mettere insieme le informazioni", che può richiedere settimane. Nel frattempo, lo "skid" Bucchin Stronzovich Kakakazzi scopre l'esistenza di Commix facendo una semplice ricerca su Google, lo scarica e inizia ad attaccare siti a caso finché non si imbatte nel WCP dell'azienda. Come risultato della mancanza del CVE Database, OS Command Injection non è stata patchata, quindi Bucchin la fa franca e "defaccia" il WCP.
Come si concluderà la faccenda? Quale sarà secondo te il futuro del CVE Database? Cosa farà il governo statunitense? Scrivi la tua opinione nei commenti!
Non sono molti a discutere dell'argomento, ma sembra che il 16 Aprile, il "governo" statunitense (attualmente controllato da una banda di cowboy appassionati di Tesla, Poker, Scopa e Solitario) sia quasi riuscito a far chiudere il noto "CVE Program", un importante database che permette di tenere traccia delle vulnerabilità scoperte. Sembra comunque che all'ultimo momento, CISA (https://www.cisa.gov) sia riuscita ad estendere il contratto di 11 mesi, mettendo una toppa al problema. Comunque, non è noto come si concluderà la faccenda allo scadere degli 11 mesi rimanenti.
Questo database viene mantenuto da 25 anni, senza di esso risulterebbe molto più difficile tracciare le vulnerabilità, lasciando gli amministratori in serie difficoltà in situazioni in cui ad esempio si debba "patchare" un'infrastruttura in WAN tramite un software di automazione, rendendo molto difficile identificare rapidamente un attacco basato su pattern già noti. In questo post farò capire con un esempio molto pratico cosa significa nei fatti, la chiusura e terminazione del CVE Program, con un esempio.
Situazione (assumendo che il CVE Program non sia mai esistito):
Energy SPA, un ente del settore energetico, espone per sbaglio in WAN un WCP (Web Control Panel) affetto da OS Command Injection, una vulnerabilità critica ma facile da sfruttare, perché l'unica condizione che richiede è che gli input dell'utente siano passati in modo insicuro ad una shell. Senza il CVE Database, e senza un software che automatizza lo scaricamento delle patch, la vulnerabilità non viene mai "risolta" e l'unico modo per documentarla sarebbe fare ricerche estensive sui forum "IT Tech" e "mettere insieme le informazioni", che può richiedere settimane. Nel frattempo, lo "skid" Bucchin Stronzovich Kakakazzi scopre l'esistenza di Commix facendo una semplice ricerca su Google, lo scarica e inizia ad attaccare siti a caso finché non si imbatte nel WCP dell'azienda. Come risultato della mancanza del CVE Database, OS Command Injection non è stata patchata, quindi Bucchin la fa franca e "defaccia" il WCP.
Come si concluderà la faccenda? Quale sarà secondo te il futuro del CVE Database? Cosa farà il governo statunitense? Scrivi la tua opinione nei commenti!