Beveiligingsfouten zijn de nieuwe rocksterren

Mensen hebben de (onhebbelijke?) gewoonte om alles namen te geven. Maar uiteindelijk is een naam maar een conventie, die ondergeschikt is aan de essentie van het benoemde. In de beveiligingswereld is het echter de spuigaten aan het uitlopen. Elke fout krijgt tegenwoordig een naam en soms zelfs een logo en een hele website. Gaan we zo niet aan de essentie voorbij?

Vroeger waren we tevreden als we beveiligingsfouten met saaie CVE-nummers, zoals CVE-2014-1060 konden benoemen. In april vorig jaar was de fout Heartbleed in OpenSSL echter het begin van een nieuwe rage, waarbij beveiligingsfouten een catchy naam kregen. Meer zelfs: de beveiligingsonderzoekers vonden zelfs de tijd om een heus logo en een hele website voor Heartbleed te maken. Heartbleed was daarmee het begin van het tijdperk van de beveiligingsfout als rockster.
De volgende was Shellshock, in september vorig jaar. Shellshock was niet één fout, maar een verzameling van gerelateerde fouten in Bash, met CVE-nummers CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 en CVE-2014-7187. Hier zien we al het probleem dat een naam oplevert. Als je namelijk zegt dat bepaalde software kwetsbaar is voor Shellshock, bedoel je dan alleen voor de originele fout CVE-2014-6271 of voor alle bovenstaande fouten? En wie bepaalt of een fout met een specifiek CVE-nummer ook onder de noemer Shellshock valt? Kortom, een catchy naam introduceert heel wat onzekerheid, iets wat we in de beveiligingswereld juist niet willen.
Daarna schakelde men over naar acroniemen, die vaak eerder op bacroniemen leken, omdat ze duidelijk verzonnen waren om een catchy naam te krijgen. De namen werden overigens steeds belachelijker. Zo hadden we in oktober POODLE (Padding Oracle On Downgraded Legacy Encryption), een kwetsbaarheid in het SSL-protocol. Wie neemt er nu een beveiligingsfout serieus waarvoor een testsite als je kwetsbaar bent een foto van een schattige poedel laat zien?
In 2015 ging de trend lustig verder. Tot nu toe zijn al GHOST en FREAK de revue gepasseerd en dat zullen zeker niet de laatste beveiligingsfouten met catchy namen zijn. GHOST is inspiratieloos vernoemd naar de functie waarin de fout zat, _gethostbyname. FREAK is volgens de ontdekkers de afkorting van Factoring RSA Export Keys. Volgens de regels van de kunst zou de afkorting dan FREK moeten zijn, maar dat klinkt natuurlijk niet zo goed. Deze onderzoekers deden dus niet eens de moeite om te verbergen dat de naam een bacroniem is.
De pers is uiteraard verlekkerd op dit soort namen. Ze kunnen dan nietszeggende, maar wel de aandacht trekkende, koppen verzinnen als “Heartbleed doet het internet bloeden”, “POODLE bijt banksites” en “Kritieke Linux-fout GHOST is niet zo spookachtig”. Maar al die journalisten, die zitten te zoeken naar de slimste woordspeling op de naam van een fout, zouden hun tijd beter besteden aan het begrijpen hoe de fout werkt en wat er zo gevaarlijk aan is. Dan kunnen ze hun lezers uitleggen wat nu eigenlijk de essentie is, in plaats van hen te lokken met een leuke titel en hen dan op een vaag artikel te trakteren waaruit ze niets leren.
Niet alleen voor journalisten vormen die namen een verspilling van kostbare tijd en geld. Onderzoekers die brainstormen over een naam, een logo ontwerpen en tot het einde der tijden een website in de lucht houden over de fout, wat bezielt hen toch? Die tijd hadden ze beter kunnen besteden aan het vinden van andere beveiligingsfouten.
Nu al zien we een inflatie aan namen. Waar Heartbleed en Shellshock nog echt heel kritieke fouten waren, staan POODLE, GHOST en FREAK toch al een trapje lager. Als elke fout binnenkort een naam krijgt en de voorliefde van journalisten voor catchy namen niet verdwijnt, lezen we binnenkort de zotste nieuwsartikelen over onschuldige beveiligingsfouten. Het gevolg: we worden onverschillig en geloven ook het belangrijkste beveiligingsnieuws niet meer. Is dat wat we willen?