Gli strumenti automatici di analisi sono molto (ab)usati nella sicurezza informatica perché permettono di ottenere in poco tempo report belli da vedere, molto dettagliati, pieni di di informazioni.
E clamorosamente sbagliati.
La notte scorsa ricevo un report dal team di cybersecurity della casa madre di un cliente che segnala la necessità di rimuovere PuTTY 0.78 (l’ultima versione al momento di scrivere questo articolo) perché sarebbe affetto da 265 CVE attive.
Salto sulla sedia e mi chiedo come abbia fatto a perdermi la notizia di 265 vulnerabilità di PuTTY e come mai non siano ancora state sistemate. Decido di seguire il link con l’elenco delle vulnerabilità:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=PuTTY+release+0.78+%2864-bit%29
Effettivamente l’elenco contiene 265 vulnerabilità, leggo la prima, CVE-2023-26489, e non capisco come si applichi a PuTTY; decido quindi di decodificare l’URL, la cui query è:
PuTTY release 0.78 (64-bit)
Consulto la pagina di ricerca del sito, che dice To search by keyword, use a specific term or multiple keywords separated by a space e comincio a capire.
La ricerca richiesta dall’URL è “PuTTY” OR ”release” OR “0.78” OR “(64-bit)”, come controprova se si cerca solamente “(64-bit)” la prima CVE che esce è proprio CVE-2023-26489.
Cercando solamente PuTTY, escono 29 CVE, nessuno dei quali si applica all’ultima versione (sempre al momento di scrivere questo articolo).
Gli strumenti automatici di analisi (e i modelli linguistici) sono utili perché riescono a correlare velocemente molte informazioni da molte fonti, ma i loro risultati devono sempre essere, se non analizzati minuziosamente, quantomeno compresi semanticamente.
PuTTY è uno strumento molto diffuso e manutenuto, è assai poco probabile che l’ultima versione disponibile sia affetta da 265 vulnerabilità, un numero così alto avrebbe dovuto almeno far insospettire chi ha inviato quel report via mail ad una nutrita serie di destinatari.