Si è verificato un momento di grande confusione pochi giorni fa, quando il governo Trump, nell’ottica di abbassare la spesa pubblica, ha deciso di de-finanziare il programma CVE, ovvero quello delle vulnerabilità riscontrate in tutto il mondo su piattaforme, applicazioni e tutto ciò che viene utilizzato dagli utenti del web. Il programma, il cui nome significa Common Vulnerabilities and Exposures, ha visto la luce venticinque anni fa per mano del CISA e con l’ausilio di MITRE. Il primo dei due, che abbiamo più volte citato negli approfondimenti di questo blog sulla cybersecurity, è l’agenzia USA per la cybersecurity, quindi un’ente pubblico, mentre MITRE è una organizzazione no profit che, per il governo, ha gestito tutto il programma di catalogazione e classificazione delle vulnerabilità.
Vista la tanto sbandierata volontà di tagliare costi, cosa che il Presidente Trump ha dichiarato più volte di voler fare sin dalla campagna elettorale, qualche giorno fa era arrivata la notizia di un taglio netto ai fondi destinati al programma CVE, che così si sarebbe trovato nella condizione di dover chiudere definitivamente, lasciando sia gli esperti che gli utenti senza uno strumento che si è rivelato fondamentale. Per snocciolare qualche numero, basti pensare che in un solo quarto di secolo, grazie a questo supporto, sono state scoperte e catalogate 274mila falle di sicurezza, comunicate tempestivamente, pertanto immaginiamoci cosa accadrebbe alle aziende se uno strumento così venisse a mancare o se venisse introdotto qualche programma meno affidabile. Il fatto che la cosa sia preoccupante e che sfugga anche dal controllo di alcuni enti pubblici è stato sottolineato dalle alte sfere della Homeland Security, che hanno parlato di impatti potenzialmente devastanti o comunque di risposte non più così tempestive.
Ad aggiungere mistero alla decisione interviene anche il fatto che il governo garantisce a MITRE gli sforzi ed il sostegno al programma ma senza ricorrere, eventualmente, al supporto economico, quindi viene spontaneo chiedersi come può fare l’organizzazione a procedere nel suo lavoro. Il rischio è che si possa evidentemente creare un vuoto e che possano approfittarne sia i peggiori criminali del web che ovviamente i cosiddetti hacktivisti, ovvero i membri di team finanziati da stati esteri che vogliono usare il cyberspionaggio per rubare informazioni ai paesi rivali o, peggio, bloccare infrastrutture critiche e poli strategici. Tornando al punto di partenza, per tutti i motivi che abbiamo visto finora si sarebbe creato un momento di grossa incertezza, ma nei giorni successivi è arrivata una nota che, per ora, mette in sospeso tutta la questione.
Sembra infatti che il CISA avrebbe esercitato una sorta di opzione per non far terminare i finanziamenti e quindi il programma CVE, che però rimarrà attivo, stando alla contrattualizzazione attuale, solo per altri 11 mesi, poi dovrà essere rifatto un accordo. Questo piccolo passo falso, comunque, non mette sicuramente tranquillità, né agli utenti né alle altre strutture sovranazionali, che in alcuni casi si sono già mosse da tempo per sopperire ad eventuali mancanze ed anche per rendersi indipendenti da un singolo programma. Innanzitutto, alcuni membri del consiglio del programma CVE avrebbero lanciato l’iniziativa di una fondazione omonima che serva a rendere il registro maggiormente indipendente dalla politica e dai suoi finanziamenti, tutto questo per continuare ad essere affidabile a livello globale, nella speranza di rinforzare ulteriormente questa posizione. Nell’Unione Europea, intanto, dall’introduzione della direttiva NIS2 è nato il programma EUVD (European Union Vulnerability Database), uno strumento con le stesse caratteristiche del programma CVE, totalmente finanziato dalle istituzioni e dai paesi membri, che raccoglie da varie fonti tutte le vulnerabilità note divulgandole in un solo posto. Tornando all’argomento in esame, adesso dovremo soltanto aspettare meno di un anno per sapere quale sarà il destino del registro CVE, nella speranza che non vengano fatti errori di valutazione che penalizzerebbero tutti quanti. Per fare un esempio molto banale riferito a questo blog, senza il registro delle CVE, che raccoglie ma valuta anche la gravità delle falle di sicurezza, non saremmo in grado di pubblicare con rapidità nessuna notizia riguardante i problemi dei plugin di WordPress o di piattaforme note, lasciando indietro aggiornamenti e quindi misure di protezione strettamente necessarie.
