UPDATE: Guvernul SUA a extins finanțarea MITRE pentru a asigura că nu există probleme de continuitate cu programul critic Common Vulnerabilities and Exposures (CVE).
„Programul CVE este de neprețuit pentru comunitatea cibernetică și o prioritate a CISA”, a declarat agenția americană de securitate cibernetică pentru BleepingComputer. „Aseară, CISA a executat perioada de opțiune din contract pentru a se asigura că nu va exista nicio depășire a serviciilor CVE critice. Apreciem răbdarea partenerilor și părților interesate”.
Noua extensie a programului de finanțare este pe o durată de 11 luni.
Denumit Common Vulnerabilities and Exposures (CVE), programul finanțat de la bugetul SUA, căruia ani de-a ani de-a rândul i-au fost atribuite nenumărate reușite prin identificarea și remedierea timpurie a deficiențelor de securitate informatică, stopând sau blocând înainte de a începe campanii malware și atacuri informatice la scară largă ce ar fi putut cauza pierderi de miliarde de dolari și în general, haos la scară largă, va înceta să mai existe în perioada imediat următoare.
Concret, inițiativa care reunește o echipă diversă de experți în securitate și colaboratori din industrie urmărea susținerea unei infrastructuri standardizate și liber accesibilă, la care oricine poate contribui raportând cu informații ajutând la identificarea și monitorizarea amenințărilor informatice, indiferent de specificul platformei software respective. Totul în ideea că nicio companie/entitate din industria IT nu poate veni cu toate soluțiile și remediile posibile, însă un efort comun precum CVE ar elimina aceste granițe funcționând ca un veritabil sistem imunitar.
Fără actualizări de securitate urmărite și distribuite prin sistemul CVE, actualizările de securitate lunare distribuite utilizatorilor de Android și alte platforme care depindeau de această infrastructură vor fi întârziate sau livrate fără includerea unor remedii esențiale, ușurând „munca” agențiilor statale de informații și hackeri de tot felul, dornici să-și poată desfășura activitatea în „liniște”, fără grija că vulnerabilitățile exploatate pot fi închise în orice moment. Există de asemenea îngrijorarea că fără un sistem standardizat, companiile ar putea deveni mai puțin transparente cu privire la problemele de securitate care le afectează dispozitivele, ascunzându-le pur și simplu de ochii lumii.
Sistemul CVE este, în esență, o bază de date în care sunt centralizate toate deficiențele de securitate cunoscute în software și dispozitive, inclusiv telefoanele Android. Acestea sunt urmărite și detaliate companiilor private, cercetători de securitate și chiar public, pentru a ajunge cât mai rapid la oricine poate contribui în mod pozitiv. Fiecare problemă de securitate raportată primește un indicator CVE unic, astfel încât toată lumea să știe exact cu ce problemă se confruntă. Dar începând de miercuri, 16 aprilie, SUA nu vor mai plăti pentru a menține sistemul în funcțiune, care în lipsa găsirii unor finanțatori externi va intra în colaps.
