Una delle basi di conoscenza fondamentali per la cybersecurity viene improvvisamente cancellata: il Governo USA ha tagliato i fondi assegnati a MITRE per supportare il programma Common Vulnerabilities and Exposures (CVE) e quelli collegati, come il Common Weakness Enumeration Program (CWE). Il database-catalogo delle vulnerabilità rilevate nei prodotti software ed hardware non verrà quindi più aggiornato come è ora, probabilmente già a partire da domani 16 aprile.

La notizia è cominciata a circolare nella serata (per noi) del 15 aprile, quando è stata resa pubblica da alcuni destinatari la lettera ricevuta direttamente da MITRE. Secondo il testo, il 16 aprile terminano - perché non saranno rinnovati come di consueto - i fondi per il programma CVE. “Il Governo continua a fare sforzi considerevoli per supportare il ruolo di MITRE nel programma", indica poi la lettera, come anche che "MITRE continua a essere impegnata su CVE in quanto risorsa globale”. Ma sono affermazioni che non chiariscono del tutto la vicenda.

Se è vero che MITRE non è formalmente l’unico organismo che può portare avanti in toto il programma CVE, infatti, è altrettanto vero che lo è all’atto pratico. Le affermazioni diplomatiche del suo Direttore, Yosry Barsoum, sono quindi tecnicamente vere ma vaghe: se MITRE non ha i fondi per mantenere adeguatamente aggiornato il database delle vulnerabilità, che è uno strumento cruciale per chiunque faccia vulnerability management, questo semplicemente non sarà più gestito con la stessa accuratezza di prima.

Alcuni hanno ipotizzato che il database stesso non sia più consultabile sul sito MITRE già dal 16 aprile, al termine del contratto di finanziamento. Un suo archivio storico dovrebbe restare disponibile su GitHub, aggiornato all’ultima versione del 15 aprile, almeno per quanto si osserva al momento in cui scriviamo. Non è però certo che questo archivio venga mantenuto.

Un problema per tutti

Non potersi affidare a una singola fonte ufficiale e sempre aggiornata delle vulnerabilità che sono presenti in rete e della loro gravità, insieme ovviamente alle procedure di remediation, è un problema da non sottovalutare nelle organizzazioni di qualsiasi tipo.

È vero che l’utilità e la validità delle indicazioni e delle valutazioni del programma CVE è stata spesso messa in discussione, ma è anche vero che l’alternativa “manuale” al database CVE è tenere traccia direttamente delle vulnerabilità (e delle informazioni associate) segnalate formalmente dai singoli produttori e dalle aziende di cybersecurity. Come anche tenere traccia delle segnalazioni di vulnerabilità che vengono dalla community degli esperti indipendenti. Tutto questo comporterebbe un carico di lavoro elevato e insostenibile per le aziende meno strutturate lato cybersecurity, e anche per alcuni loro partner tecnologici.

Va inoltre considerato che il vulnerability assessment basato sulle CVE - la cui efficacia, va ricordato, è stata anch’essa spesso messa in dubbio - è una forma di compliance per la cybersecurity oggi abbastanza diffusa e comunque riconosciuta. Ma se il database CVE non è più aggiornato quanto dovrebbe, questa forma di compliance - già un po’ troppo “spunta-caselle”, a dire il vero - diventa ancora meno convincente.

Ci sono invece poche discussioni sul fatto che le informazioni, e soprattutto le classificazioni, fornite dal programma CVE rappresentino una sorta di “lingua comune” per chiunque faccia cybersecurity. Una “lingua” che garantisce che tutti, parlando di una vulnerabilità, abbiano ben chiaro di cosa si sta trattando e di quali siano i sistemi e le piattaforme coinvolte, e in che modo. Senza questa conoscenza formalizzata comune, la reazione agli attacchi che sfruttano nuove vulnerabilità rischia di essere meno coordinata e dunque più lenta. Dando più forza ed efficacia agli attacchi stessi.

Cosa può succedere ora? Non è del tutto chiaro, in effetti. Il programma CVE è organizzato in modo gerarchico e in parte opera anche senza MITRE. Le cosiddette CVE Numbering Authority (CNA) in teoria potranno continuare a condividere automaticamente informazioni sulle CVE, perché esiste "dietro le quinte" una API che permette di distribuire e consultare appunto queste informazioni.

Le CNA sono le organizzazioni (vendor, ricercatori, CERT, realtà open source, consorzi...) autorizzate a "numerare" le nuove vulnerabilità e a schedarle con le loro informazioni. Finché la loro API resta operativa, tutto bene. Ma attenzione: l'API non serve le organizzazioni che non sono CNA, ed è proprio questa disseminazione ulteriore di informazioni uno dei compiti di MITRE.

Più a lungo termine, è difficile che una singola organizzazione possa, in breve tempo, prendere in mano il programma CVE e portarlo avanti come stava facendo MITRE. C'è chi in queste ore ha fatto il nome di Red Hat, ma solo perché questa è l'unica - per usare il termine tecnico - CVE Numbering Authority of Last Resort (CNA-LR) oltre a MITRE e CISA. Affidarle tutto il progrmma CVE è una ipotesi estrema, essendo Red Hat una azienda e non una organizzazione indipendente.

Da parte sua, la community globale della cybersecurity - già colpita da altri eventi - è stata spiazzata dalla notizia. Diversi suoi esponenti si stanno confrontando sul possibile da farsi, ma muoversi è difficile. Non da ultimo perché è evidente che per l’Amministrazione Trump la cybersecurity nazionale non è una priorità - sembra semmai il contrario - e non è prudente per nessuno andare contro le sue apparenti politiche. Questo non aiuta certamente a gestire la situazione, che ovviamente ha impatti importanti anche sulla cybersecurity globale. Ed è quindi un problema altrettanto comune.