Perché alcuni attacchi sono più famosi di altri (heartbleed, BEAST, POODLE, ecc.)?

1

Es. Heartbleed, alias CVE-2014-0160, ha solo una gravità CVE di 5.0. Eppure i media sono impazziti per questi bug.

È perché hanno un nome interessante e un logo, o la metrica di gravità CVE è in qualche modo imperfetta?

    
posta user69713 05.03.2015 - 23:12
fonte

2 risposte

2

1) Conteggio di nomi interessanti . Non sottovalutare il valore delle pubbliche relazioni.

2) Heartbleed, BEAST, CRIME e POODLE sono tutti influenzati (o potrebbero essere raggiunti) dai server web. I server Web tendono ad essere pubblicamente disponibili, diffusi e identificati direttamente (nella mente della stampa e nel pubblico non tecnico) come "INTERNET". Pertanto, questi problemi ha avuto un impatto più ampio possibile e una maggiore importanza percepita.

3) CVE cerca di descrivere spassionatamente quanto può danneggiare una vulnerabilità, ma esiste una cosa come la morte di un milione di tagli di carta . Un CVE 9.5 che influisce su qualcosa di raro e protetto - ad esempio, i cluster di database Oracle - non sarà mai così famoso come un CVE di 4.2 che riguarda Apache.

4) Il CVE in sé non tiene conto di quanto sia onnipresente un pacchetto software in tutto il mondo. Contrariamente a quanto ho detto nei commenti qui sotto, c'è una misura di ubiquità nel punteggio CVSS; "La metrica di distribuzione target (TD) misura la proporzione di sistemi vulnerabili nell'ambiente". Ma "Questa misura è calcolata soggettivamente, tipicamente dalle parti interessate" e quindi credo che non faccia parte del CVE NIST, questo è quanto viene corretto da RedHat o Oracle quando rilasciano gli avvisi basati sul CVE. La linea di fondo è che CVE è non progettato per determinare quante persone hanno bisogno di preoccuparsi su un problema, ma per determinare esattamente quanto dovrebbero essere preoccupate quelle persone se possiedono / usano il sistema interessato

Scegli una risposta, c'è del vero in tutti e il commento di Xanders sui limiti del CVE.

Sembra che FREAK non causerà un grande splash nonostante abbia un nome interessante; influisce solo sul sottoinsieme di persone che già non si preoccupano abbastanza per rendere sicuro il loro server web. Sono davvero felice di vedere che la stampa non è stata portata via solo perché era TUTTO MAIUSCOLO ...

(Modificato per aggiungere # 4 con le citazioni dalla pagina CVSS di Wikipedia, cercando semplicemente di arrotondare la catena di commenti al risposta)

    
risposta data 05.03.2015 - 23:39
fonte
1

Il processo per assegnare un punteggio CVSS CVE a una vulnerabilità è molto prescrittivo. C'è poco spazio per l'interpretazione o per tenere conto degli impatti che non vengono considerati dalla formula del punteggio. Quindi, alla fine, alcune questioni relativamente importanti finiranno con punteggi stranamente bassi, e alcuni problemi relativamente banali finiranno con punteggi troppo alti. Questa è la natura del sistema e uno dei suoi limiti. Heartbleed è probabilmente un primo esempio di vulnerabilità con un punteggio CVSS che non riflette in modo appropriato l'impatto sul mondo reale.

Per elaborare un esempio: CVSS esclude esplicitamente gli effetti indiretti o di secondo ordine dal punteggio. Questo è ragionevolmente da una prospettiva di standardizzazione, altrimenti si finisce con speculazioni selvagge su come le vulnerabilità potrebbero essere sfruttate drasticamente facendo salire i punteggi a un punto in cui non possono più essere accuratamente differenziati. Tuttavia, nel caso di una vulnerabilità come Heartbleed, ciò significa che il fatto che i dati critici come le credenziali di autenticazione e le chiavi private certificate fossero a rischio (nel mondo reale, anche, non solo in un PoC) non è stato preso in considerazione conto dal punteggio CVSS. Quindi, il CVE ha un punteggio CVSS medio di 5.0, e al tempo stesso, gli amministratori di sistema hanno strapazzato ovunque per riparare i sistemi e rimediare a potenziali danni non appena umanamente possibile, riconoscendo la vulnerabilità per il rischio estremamente critico e temporaneo che in realtà era .

Riguardo al perché alcuni numeri diventano famosi ... Beh, perché catturano l'attenzione del pubblico. La fama è capricciosa e fugace, e il tempo speso a preoccuparsi è tempo perso.

    
risposta data 05.03.2015 - 23:30
fonte

Leggi altre domande sui tag