Feliz cumpleanos CVE

Era octubre de 1999. Los Macs acababan incorporar Wi-Fi, Napster nacia y Yahoo habia comprado Geocities por 3,6 mil millones de dolares. Algo mas sucedio que paso inadvertido para la mayoria de los usuarios de ordenadores en ese momento: CVE publico su primera vulnerabilidad. El sistema de vulnerabilidades y exposiciones comunes (CVE) cumple 20 anos esta semana.

Creado por la corporacion sin fines de lucro Mitre, que supervisa varios programas del gobierno federal, CVE proporciona identificadores comunes para errores de ciberseguridad, lo que facilita su seguimiento y reparacion.

En aquel entonces, la mayoria de las herramientas de seguimiento de errores de ciberseguridad usaban sus propias bases de datos y sus propias ID para el seguimiento de errores. Eso dificulto la colaboracion para informar y solucionarlos. CVE arreglo esto usando su sistema de numeracion de errores.

La lista de CVE no podria haber llegado en un mejor momento: 1999 fue el ano en que realmente despegaron las infecciones generalizadas de malware. El virus CIH que aparecio el ano anterior dejo caer su primera carga util en 1999. En marzo, el gusano Melissa devasto las maquinas de los usuarios de Office en todo el mundo, estableciendo el record del malware mas poderoso hasta el momento.

La lista comenzo siendo pequena pero ha crecido hasta contener mas de 125.000 vulnerabilidades. La Base de Datos Nacional de Vulnerabilidades (NVD) del NIST se basa en ella, y Mitre tambien busca las vulnerabilidades para producir una lista de categorias mas amplias de debilidad de ciberseguridad conocida como la Enumeracion de Debilidad Comun.

El exito de CVE tambien presenta nuevos desafios. Durante anos, la lista crecio a un ritmo modesto, agregando entre 4.000 y 8.000 nuevos errores cada ano. Luego, en 2017, las cosas explotaron con un aumento del 128% en nuevos errores. Una tasa de crecimiento interanual de solo crecio el 12% en 2018 puede ser mas modesta, pero tambien sugiere una nueva normalidad en la que los informes de errores ahora superan los 10.000 cada ano.

Mitre se ha tensado bajo el peso de este trabajo extra. Incluso antes del pico masivo de 2017, hubo una desaceleracion en el procesamiento. El Congreso investigo y descubrio que una financiacion inconsistente estaba obstaculizando el programa. Recomendo un cambio en la estructura de la financiacion, junto con revisiones bienales.

Mitre ha respondido expandiendo sus operaciones para producir un enfoque de gestion mas federal.

Cuando alguien descubre un error, puede pedirle a una Autoridad de Numeracion de CVE (CNA) que le de un numero de identificacion. Luego combina eso con una descripcion y cualquier referencia asociada para crear una entrada CVE que se agrega a la lista. Mitre es el programa raiz CNA, pero hay otros, y han expandido esta comunidad para hacer frente a la creciente demanda. En 2016 habia 22 CNA. Hoy en dia, hay 104, incluidos 5 CERT, 2 programas de recompensas de errores y 9 investigadores de seguridad individuales.

A medida que crece el numero y la diversidad de errores, una forma central y estandar de nombrarlos y rastrearlos sera mas importante que nunca. Ya es bastante dificil enfrentarse a este desafio incluso con una lista central. ?Te imaginas como serian las cosas si todos siguieramos usando nuestros propios sistemas de nombres y documentando errores en cientos de silos individuales?