有鑒於安全界為發現的漏洞取的名稱愈來愈聳動,製造一般用戶的恐慌,美國網路緊急回應小組協調中心(CERT/CC)將自己提供漏洞的中性命名。

儘管資安界發展出以CVE-(年份)-(數字)的格式作為漏洞命名,稱為CVE-ID,但是資安公司往往為了加深用戶印象或便於稱呼,而會另外起響亮並略帶恐怖氣氛的名稱。因此使用者會記得Spectre/Meltdown,而非其正式名稱CVE-2017-5715/CVE-2017-5754。同樣的,各種重大漏洞Heartbleed (CVE-2014-0160) 、BLURtooth (CVE-2020-15802)、或最近的Zerologon (CVE-2020-1472),未來都會以其外號,而非正式名稱出現在一般人的討論中。

然而代管在卡內基美隆大學的CERT/CC卻對這類命名很有意見。CERT/CC成員Leigh Metcalf指出,這類命名有時為了是極大化效果或行銷用途,成為廠商突顯自家研究發現的工具,但不是每個聽來很恐怖的漏洞實際上都很嚴重,廠商或研究界濫用恐懼、不確定性手段製造消費者恐懼的現象,讓CERT/CC感到不妥。

但是CERT/CC也體認到,人類天生不擅長記憶數字,而傾向記憶名稱。這現象十分普遍,例如人們不太記得IP位址,但可以輕易記住Google等網域名;不記得macOS 10.14,只會記得Mojave,或是記得城市名,但不記得其經緯度,此外也會為颱風、暴風雪命名。

為了順應人們對文字記憶的偏好,CERT/CC日前推出一個推特機器人服務Vulnonym,同時協助漏洞的討論及減少恐懼心理。首先,他們計畫未來將使用wiktionary及動、植物、天文物體等為基礎,以「形容詞」+「名詞」組成的詞組來為漏洞命名,確保命名不聳動、恐怖或冒犯人。同時他們也設計了CVE-ID及詞組命名的比對法。未來一旦漏洞有了CVE-ID,他們也會同步公布中性命名。目前Vulnonym已上線測試運行。

例如他們公布了CVE-2020-9861名稱為Grounded Bowerbird(不能飛的園丁鳥)、CVE-2020-28046名稱為Natty Gazelle(瀟灑的瞪羚)等。此外,萬一遇到有冒犯到人的情況,CERT/CC也設計了可簡單修正及重新命名的方法。


熱門新聞

Advertisement