Vulnerabilidades: ¿qué hacemos con sus nombres?

Leo hoy en The Register un artículo sobre las vulnerabilidades que invita a la reflexión. Y no, no va en relación con su detección, los pasos que hay que seguir al identificarlas, cómo deben actuar los responsables del código o componente/dispositivo afectado… no, nada de eso. Y obviamente no quiero decir que esos aspectos no sean importantes, por supuesto que lo son. Sin embargo hay un aspecto al que no solemos prestar demasiada atención y que, sin embargo, tiene más importancia de la que solemos pensar: sus nombres, ¿cómo llamamos a las vulnerabilidades?

A este respecto, y aunque hay varias filosofías, fundamentalmente predominan dos que, como suele ocurrir en estos casos, se sitúan en extremos opuestos, y ya sabemos que los extremos nunca suelen ser la mejor opción. Por ponerles un nombre podemos, por ejemplo, basarnos en Star Trek. En un extremo se encontraría la fría e indiscutible lógica del Señor Spock (o del androide Data, si hablamos de La Nueva Generación), en el otro, el ímpetu y ardor guerrero del capitán Kirk (que quizá podemos asemejar un poco al de Worf, el klingon responsable de la seguridad en el Enterprise de La Nueva Generación).

Así, sentemos a ambos (o a los cuatro en un interesante crossover) en una mesa, por la que van pasando vulnerabilidades que deben recibir un nombre único, que las identifique y distinga del resto. ¿Qué nos encontraremos tras un rato de espera? Lo primero es que, seguramente, Kirk y Worf se hayan ido al bar a tomar unas cervezas y a contarse batallitas, mientras que Spock y Data siguen trabajando meticulosamente, quizá con la única interrupción ocasional de algún comentario sobre la poca fiabilidad de humanos y klingons.

Pero bueno, supongamos que antes de irse a ponerse tibios a cerveza romulana, Kirk y Worf también hicieron parte de su trabajo y, en consecuencia, tenemos una lista de vulnerabilidades recién identificadas, con sugerencias de nombres de los cuatro participantes. Vamos a intentar averiguar qué nombre le pondría a una vulnerabilidad a Windows 205 73H1 May Uptade. cada uno de ellos:

• Spock: Vulnerabilidad a Windows 205 Service Pack 2. Número 1 y sucesivas.
• Data: CVE-2173-7557.
• Kirk: La indiscreta y sensual ventana de la muerte.
• Worf: Caos y destrucción.

Así, por un lado tenemos los nombres puestos por Spock y Data, descriptivos y fríos como la medianoche en el Polo Norte. ¿Del otro? Nombres que, si te pillan antes del primer café de la mañana, hacen que ya no necesites el primer café de la mañana. Como decía antes, de un extremo a otro, las mismas vulnerabilidades pueden parecer algo totalmente carente de interés, o una amenaza que acabará con toda señal de vida en el Universo en las próximas 48 horas.

Con este problema presente, CERT/CC lleva ya algún tiempo dándole vueltas a este asunto, porque aunque pueda parecer un tema menor, en realidad tiene su importancia, pues los nombres estándar, es decir, CVE-XXXX-XXXX tienen más o menos el mismo efecto que las fotografías de los paquetes de tabaco: prácticamente ninguna. Pero, por otra parte, los nombres especialmente dramáticos, y por ejemplo me vienen a la cabeza Meltdown y Spectre, pueden terminar por ser excesivamente alarmistas, y eso tampoco es recomendable.

El problema es que, por una parte, tenemos entidades que trabajan por la normalización del nombre de las vulnerabilidades,  algo más que lógico pero que, como cualquier sistema clasificatorio, deja poco margen a la creatividad. Y por la otra parte, tenemos a los investigadores que las encuentran y que, en algunos casos, quieren identificarlas con un nombre impactante para que, pues eso, para que produzca bastante impacto. Y, como consecuencia, los primeros generan un absoluto desinterés, mientras que los segundos pueden propiciar una alerta excesiva.

¿Y cómo llamamos a las vulnerabilidades?

Así, el objetivo que plantea CERT/CC es que, además de mantener el sistema de clasificación CVE, se empleen nombres un tanto más neutros en la denominación de las vulnerabilidades. Nombres que no necesariamente estén relacionados con la vulnerabilidad y sus efectos, pero que sean razonablemente pegadizos, sin provocar pesadillas. Y para avanzar en este sentido, desde hace unas semanas está en funcionamiento un bot en Twitter que asigna nombres aleatorios a las vulnerabilidades. Nombres compuestos generalmente por un adjetivo y un sustantivo a partir de una extensa lista de ambos.

Así, si revisamos el trabajo reciente de este bot, nos encontramos con que la vulnerabilidad CVE-2020-15997 ha recibido el nombre Lunar Termite, mientras que la VE-2020-15995 también se denomina Unvarnished Sarrusophone. Un ratito de exploración de los nombres de las vulnerabilidades nos devuelve algunas joyas, como Prominent Caterpillar, Pugnacious Beck, Unstable Camel y Forcible Stargazer, entre otros.

Son varios, no obstante, los problemas que enfrenta este sistema. El principal es que, aunque se han elegido solo palabras neutras, en no pocas ocasiones la combinación de palabras neutras devuelve un resultado que no es neutro y que puede ser ofensivo, tener connotaciones sexuales, ser el motto de alguna marca. La intención del CERT/CC es que el sistema de nombres sea automático, pero de momento todo apunta a que, si finalmente apuestan por su implantación, sea necesaria la supervisión por parte de una inteligencia no artificial (lo siento, pero Data vuelve a quedar fuera).

Y el segundo problema es que la propuesta del CERT/CC no es, obviamente, vinculante. Al final, por mucho que su bot asigne un nombre a las vulnerabilidades, está en la mano de su descubridor el bautizarla como quiera. Y si quiere que su hallazgo obtenga bastante notoriedad, es posible que un nombre como Respective Gerbil (CVE-2020-15968) no encaje en sus planes, por adorables que puedan resultar los gerbos a una parte de la sociedad.

Sea como fuere, sí que es indudable que la nomenclatura CVE, tan útil para clasificar las vulnerabilidades, resulta poco útil cuando se pretende darla a conocer. Si hablamos por ejemplo de Zerologon, no creo que haya muchas personas que digan «Ahhhh sí, claro, la CVE-2020-1472«. Pero, por otra parte, si preguntamos en la calle a personas sin conocimientos de IT qué pensarían al escuchar hablar de una vulnerabilidad llamada Spectre, es posible que al llegar a casa apague todos sus dispositivos. Y después los tire a la basura.

La entrada Vulnerabilidades: ¿qué hacemos con sus nombres? es original de MuySeguridad. Seguridad informática.