Ogni giorno, miliardi di persone si affidano ai sistemi digitali per gestire qualsiasi cosa, dalla comunicazione al commercio e alle infrastrutture critiche. Ma il sistema globale di allarme rapido che notifica ai team di sicurezza i difetti pericolosi del software presenta lacune critiche nella sua copertura e la maggior parte degli utenti non ha idea che la propria vita digitale stia probabilmente diventando più vulnerabile.
Negli ultimi 18 mesi, due pilastri della sicurezza informatica globale hanno flirtato con un apparente collasso. Nel febbraio 2024, il National Vulnerability Database (NVD), sostenuto dagli Stati Uniti e ampiamente utilizzato per la sua analisi gratuita delle minacce alla sicurezza, ha bruscamente interrotto la pubblicazione di nuove voci, citando un enigmatico “cambiamento del supporto tra agenzie”. Poi, nell’aprile di quest’anno, il programma Common Vulnerabilities and Exposures (CVE), che è il sistema di numerazione fondamentale per tracciare i guasti del software, sembrava correre un rischio simile: una lettera trapelata avvertiva dell’imminente scadenza di un contratto.
I professionisti della sicurezza informatica hanno quindi inondato i canali Discord e i feed di LinkedIn con post di emergenza e meme con “NVD” e “CVE” incisi su lapidi. Le vulnerabilità non risolte sono la seconda forma più comune di intrusione da parte dei criminali informatici e hanno causato blackout mortali negli ospedali e guasti alle infrastrutture critiche. In un post sui social media, Jen Easterly, un’esperta di sicurezza informatica degli Stati Uniti, ha dichiarato: “Perdere il [CVE] sarebbe come strappare il catalogo di schede da tutte le biblioteche allo stesso tempo, lasciando i difensori nel caos mentre gli aggressori ne approfittano al massimo”. Se i CVE identificano ogni vulnerabilità come un libro in un catalogo di schede, le voci NVD offrono una revisione dettagliata con un contesto su gravità, portata e sfruttabilità.
Alla fine, l’Agenzia per la sicurezza informatica e le infrastrutture (CISA) ha esteso i finanziamenti per il CVE per un altro anno, attribuendo l’incidente a una “questione di gestione del contratto”. Ma la storia di NVD si è rivelata più complicata. La sua organizzazione madre, il National Institute of Standards and Technology (NIST), ha visto il suo budget ridotto di circa il 12% nel 2024, proprio quando la CISA ha ritirato i suoi 3,7 milioni di dollari di dollari di finanziamenti annuali per l’NVD. Poco dopo, con l’aumentare del backlog (un elenco di questioni in sospeso), CISA ha lanciato il proprio programma “Vulnrichment” per aiutare a colmare il divario di analisi, promuovendo un approccio più distribuito che consente a più partner autorizzati di pubblicare dati arricchiti.
“La CISA valuta continuamente come allocare in modo più efficace le risorse limitate per aiutare le organizzazioni a ridurre il rischio di vulnerabilità appena rivelate”, afferma Sandy Radesky, direttore associato dell’agenzia per la gestione delle vulnerabilità. Invece di colmare semplicemente il vuoto, sottolinea che Vulnrichment è stato istituito per fornire informazioni aggiuntive uniche, come le azioni raccomandate per le parti interessate specifiche, e per “ridurre la dipendenza dal governo federale come unico fornitore di arricchimento delle vulnerabilità”.
Nel frattempo, il NIST si è affrettato ad assumere persone che aiutasse a ripulire l’arretrato. Nonostante un ritorno ai livelli di elaborazione pre-crisi, un aumento delle vulnerabilità NVD appena divulgate ha superato questi sforzi. Secondo i dati della società di software Anchore, attualmente più di 25.000 vulnerabilità sono in attesa di elaborazione, quasi dieci volte il precedente record del 2017. Prima di allora, l’NVD di solito seguiva le pubblicazioni del CVE, mantenendo un arretrato minimo.
“Le cose sono state dirompenti e stiamo attraversando momenti di cambiamento sotto ogni aspetto”, ha dichiarato Matthew Scholl, allora capo della divisione per la sicurezza informatica presso il laboratorio di tecnologia dell’informazione del NIST, durante un evento di settore ad aprile. “La leadership ha assicurato a me e a tutti che l’NVD è e rimarrà una priorità di missione per il NIST, sia in termini di risorse che di capacità”. Scholl ha lasciato il NIST a maggio, dopo 20 anni con l’agenzia, e il NIST si è rifiutato di commentare l’arretrato.
La situazione ha ora portato a diverse azioni da parte del governo, con il Dipartimento del Commercio che ha avviato un audit dell’NVD a maggio e i democratici della Camera che hanno chiesto un’indagine più approfondita su entrambi i programmi a giugno. Ma il danno alla fiducia sta già trasformando la geopolitica e le catene di approvvigionamento, mentre i team di sicurezza si preparano per una nuova era di rischio informatico. “Questo ha lasciato un sapore amaro e le persone si stanno rendendo conto che non possono fidarsi di questo”, afferma Rose Gupta, che costruisce e gestisce programmi di gestione delle vulnerabilità aziendali. “Anche se riusciranno a risolvere tutto domani con un budget più grande, non so se non accadrà di nuovo. Quindi devo assicurarmi di avere altri controlli in atto”.
Mentre queste risorse pubbliche falliscono, le organizzazioni e i governi si trovano ad affrontare una debolezza critica nella nostra infrastruttura digitale: i servizi di sicurezza informatica globali essenziali dipendono da una complessa rete di interessi delle agenzie statunitensi e di finanziamenti governativi, che possono essere tagliati o reindirizzati in qualsiasi momento.
Sicurezza: quelli che hanno e quelli che non hanno
Quello che era iniziato come un piccolo flusso di vulnerabilità del software all’inizio dell’era di Internet si è trasformato in una valanga inarrestabile e i database gratuiti, che li seguono da decenni, hanno faticato a tenere il passo. All’inizio di luglio, il database CVE ha superato le 300.000 vulnerabilità catalogate. I numeri aumentano in modo imprevedibile ogni anno, a volte del 10% o più. Anche prima della sua ultima crisi, NVD era già nota per la pubblicazione tardiva di nuove analisi delle vulnerabilità, spesso rimanendo dietro software di sicurezza privati e avvisi dei fornitori per settimane o mesi.
Gupta ha osservato che le organizzazioni stanno adottando sempre più software commerciali per la gestione delle vulnerabilità (VM) che includono i propri servizi di intelligence sulle minacce. “Siamo decisamente diventati eccessivamente dipendenti dai nostri strumenti VM”, afferma, descrivendo la crescente dipendenza dei team di sicurezza dei fornitori, come Qualys, Rapid7 e Tenable, per integrare o sostituire i database pubblici, che sono inaffidabili. Queste piattaforme combinano le proprie ricerche con diverse fonti di dati per creare punteggi di rischio proprietari che aiutano i team a dare priorità alle correzioni. Tuttavia, non tutte le organizzazioni possono permettersi di colmare il divario di NVD con strumenti di sicurezza premium. “Le aziende più piccole e le start-up, già svantaggiate, saranno più a rischio”, spiega.
Komal Rawat, un ingegnere della sicurezza di Nuova Delhi, la cui startup cloud di fascia media ha un budget limitato, descrive l’impatto in modo deciso: “Se la NVD dovesse cadere, ci sarà una crisi di mercato. Altri database non sono così diffusi e, nella misura in cui vengono adottati, non sono gratuiti. Se non hai dati recenti, sei esposto agli aggressori che li hanno”.
Il crescente arretrato significa che i nuovi dispositivi potrebbero avere maggiori probabilità di avere punti ciechi di vulnerabilità, che si tratti di un campanello di casa o del sistema di controllo degli accessi “intelligente” di un edificio per uffici. Il rischio maggiore potrebbe essere quello di falle di sicurezza “isolate” che passano inosservate. “Ci sono migliaia di vulnerabilità che non colpiranno la maggior parte delle aziende”, afferma Gupta. “Queste sono quelle a cui non stiamo ricevendo analisi, il che ci metterebbe a rischio”.
Il NIST riconosce di avere una visibilità limitata su quali organizzazioni sono maggiormente interessate dal backlog. “Non riusciamo a tenere traccia di quali industrie utilizzano quali prodotti e quindi non possiamo misurare l’impatto su settori specifici”, afferma un portavoce. Invece, il team dà la priorità alle vulnerabilità in base all’elenco di exploit (codice o set di dati) noti di CISA e a quelli inclusi negli avvisi dei fornitori, come Microsoft Patch Tuesday.
La più grande vulnerabilità
Brian Martin ha seguito l’evoluzione e il deterioramento di questo sistema dall’interno. Ex membro del consiglio di amministrazione del CVE e leader originale del progetto Open Source Vulnerability Database, si è costruito una reputazione combattiva nel corso dei decenni come uno dei principali storici e professionisti del settore. Martin afferma che il suo progetto attuale, VulnDB (parte di Flashpoint Security), supera i database ufficiali che ha contribuito a supervisionare. “Il nostro team gestisce più vulnerabilità, con tempi di risposta molto più rapidi, e lo facciamo a una frazione del costo”, afferma, riferendosi alle decine di milioni di contratti governativi che sostengono il sistema attuale.
Quando abbiamo parlato a maggio, Martin ha affermato che il suo database contiene oltre 112.000 vulnerabilità senza identificatori CVE, falle di sicurezza che esistono nel mondo reale, ma rimangono invisibili alle organizzazioni che si affidano esclusivamente ai canali pubblici. “Se mi dessi i soldi per triplicare la mia squadra, questo numero senza CVE sarebbe intorno ai 500.000”, ha detto.
Negli Stati Uniti, le responsabilità ufficiali di gestione delle vulnerabilità sono suddivise tra una rete di appaltatori, agenzie e centri no-profit come Mitre Corporation. Critici come Martin sostengono che questo crea un potenziale di ridondanza, confusione e inefficienza, con livelli di gestione intermedi e relativamente pochi veri esperti di vulnerabilità. Altri sostengono il valore di questa frammentazione. “Questi programmi si basano l’uno sull’altro o si completano a vicenda per creare una comunità più ampia, di supporto e diversificata”, ha dichiarato la CISA in una dichiarazione. “Questo aumenta la resilienza e l’utilità dell’intero ecosistema.”
Mentre la leadership americana vacilla, altri paesi stanno prendendo il sopravvento. La Cina ora gestisce più database di vulnerabilità, alcuni dei quali sorprendentemente robusti, ma macchiati dalla possibilità di essere soggetti al controllo statale. A maggio, l’Unione europea ha accelerato il lancio di un proprio database e di un’architettura decentralizzata “Global CVE”. Sulla scia dei social media e dei servizi cloud, l’intelligence sulle vulnerabilità è diventata un altro fronte nella lotta per l’indipendenza tecnologica.
Ciò consente ai professionisti della sicurezza di navigare tra più fonti di dati potenzialmente in conflitto. “Sarà un disastro, ma preferisco avere troppe informazioni che nessuna informazione”, afferma Gupta, descrivendo come il suo team monitora diverse banche nonostante l’ulteriore complessità.
Ridefinire la responsabilità del software
Mentre i sostenitori si adattano allo scenario frammentato, l’industria tecnologica si trova di fronte a un altro dilemma: perché i fornitori di software non si assumono più la responsabilità di proteggere i propri clienti dai problemi di sicurezza? I grandi fornitori divulgano abitualmente, ma non necessariamente risolvono, migliaia di nuove vulnerabilità ogni anno. Una singola esposizione può abbattere i sistemi critici o aumentare il rischio di frode e uso improprio dei dati.
Per decenni, l’industria si è nascosta dietro scudi legali. Le “licenze di imballaggio” una volta hanno costretto i consumatori a rinunciare ampiamente al diritto di ritenere i fornitori di software responsabili dei difetti. Gli attuali contratti di licenza con l’utente finale (EULA), spesso forniti in finestre pop-up nel browser, si sono evoluti in documenti incomprensibilmente lunghi. Lo scorso novembre, un progetto di laboratorio chiamato “EULAS of Despair” ha utilizzato la lunghezza del libro Guerra e pace (587.287 parole) per misurare questi lunghi contratti. Il peggior trasgressore? Twitter, con 15,83 romanzi in caratteri minuscoli.
“Questa è una finzione interessante che abbiamo creato intorno all’intero ecosistema, e semplicemente non è sostenibile”, afferma Andrea Matwyshyn, consigliere speciale degli Stati Uniti e professore di diritto tecnologico presso la Penn State University, dove dirige il Policy Innovation Lab of Tomorrow. “Alcune persone sottolineano il fatto che il software può contenere un mix di prodotti e servizi, creando fatti più complessi. Ma proprio come per le controversie ingegneristiche o finanziarie, anche gli scenari più confusi possono essere risolti con l’aiuto di esperti”.
Questo scudo di responsabilità che circonda i guasti del software, che si tratti di vulnerabilità di sicurezza o di altri difetti che mettono a rischio la sicurezza pubblica, sta finalmente iniziando a incrinarsi. Come esempio, Matwyshyn cita l’evento CrowdStrike del luglio 2024, quando un aggiornamento del popolare programma endpoint dell’azienda ha causato il guasto a milioni di computer Windows in tutto il mondo e ha causato interruzioni di tutto, dalle compagnie aeree agli ospedali e ai sistemi di emergenza 911. L’incidente ha causato miliardi di danni stimati e la città di Portland, nell’Oregon, ha dichiarato lo “stato di emergenza”. Ora, le aziende colpite, come Delta Airlines, hanno assunto costosi avvocati per ottenere ingenti risarcimenti, un chiaro segnale dell’apertura delle porte al contenzioso.
Nonostante il numero crescente di vulnerabilità, molte di esse rientrano in categorie consolidate, come le iniezioni di SQL che interferiscono con le query del database e i buffer di memoria che consentono l’esecuzione remota del codice. Matwyshyn sostiene una “Software Bill of Materials” (S-BOM) obbligatoria, un elenco di ingredienti che consentirebbe alle organizzazioni di comprendere quali componenti e potenziali vulnerabilità esistono nelle loro catene di approvvigionamento del software. Un recente rapporto ha rilevato che il 30% delle violazioni dei dati ha avuto origine da vulnerabilità di fornitori di software di terze parti o fornitori di servizi cloud.
Aggiunge: “Quando non riesci a distinguere tra le aziende che stanno tagliando i costi e un’azienda che ha effettivamente investito per fare ciò che è giusto per i propri clienti, ciò si traduce in un mercato in cui tutti perdono”.
La leadership di CISA condivide questo sentimento, con un portavoce che sottolinea i suoi “principi di sicurezza per progettazione”, come “rendere disponibili le funzionalità di sicurezza essenziali senza costi aggiuntivi, eliminare le classi di vulnerabilità e costruire prodotti in modo da ridurre l’onere della sicurezza informatica per i clienti”.
Evitare un “età osco” digitale
Non sorprende scoprire che i professionisti si stanno rivolgendo all’intelligenza artificiale per colmare il divario, mentre allo stesso tempo si preparano a un’imminente raffica di attacchi informatici da parte di agenti dell’IA. I ricercatori della sicurezza hanno utilizzato un modello OpenAI per scoprire nuove vulnerabilità “zero-day” (quando ancora sconosciute). E sia i team di NVD che di CVE stanno sviluppando “strumenti guidati dall’intelligenza artificiale” per semplificare la raccolta, l’identificazione e l’elaborazione dei dati. Il NIST afferma che “fino al 65% del nostro tempo di analisi è stato dedicato alla generazione di CPE, codici di informazioni sui prodotti che identificano il software interessato. Se l’intelligenza artificiale riesce a risolvere anche solo una parte di questo noioso processo, può accelerare notevolmente il flusso di analisi.
Ma Martin mette in guardia contro l’ottimismo nei confronti dell’IA, osservando che la tecnologia rimane non provata e spesso piena di imprecisioni, il che, in sicurezza, può essere fatale. “Invece di IA o ML, ci sono modi per automatizzare strategicamente parti dell’elaborazione di questi dati di vulnerabilità, garantendo al contempo un’accuratezza del 99,5%”, afferma.
Inoltre, l’IA non risolve sfide più fondamentali in fatto di governance. La Fondazione CVE, lanciata nell’aprile 2025 da membri del consiglio di amministrazione dissidenti, propone un modello no-profit finanziato a livello globale, simile al sistema di indirizzamento Internet, che è passato dal controllo del governo degli Stati Uniti alla governance internazionale. Altri leader della sicurezza stanno spingendo per rivitalizzare le alternative open source, come il progetto OSV di Google o NVD++ (mantenuto da VulnCheck), che sono accessibili al pubblico ma attualmente hanno funzionalità limitate.
Man mano che questi sforzi di riforma prendono piede, il mondo sta diventando consapevole del fatto che l’intelligence sulle vulnerabilità, così come la sorveglianza delle malattie o la sicurezza aerea, richiedono una cooperazione continua e investimenti pubblici. Senza di essa, un groviglio di database a pagamento sarà tutto ciò che rimarrà, minacciando di lasciare tutti, tranne le organizzazioni e i paesi più ricchi, esposti in modo permanente.
( fontes:MIT Technology Review)
