Security mondiale a rischio, Trump chiude il progetto CVE

La crisi silenziosa del cyberspazio mondiale si sta materializzando senza che molti se ne rendano conto. L'infrastruttura che da 25 anni permette di identificare e tracciare le vulnerabilità informatiche in modo standardizzato è sull'orlo del collasso. Il programma CVE (Common Vulnerabilities and Exposures), pietra angolare della sicurezza informatica globale, perderà il suo finanziamento governativo statunitense da mercoledì, lasciando un vuoto potenzialmente catastrofico nel panorama della cybersicurezza mondiale. Le conseguenze potrebbero manifestarsi pienamente entro poche settimane, mettendo a rischio infrastrutture critiche e la sicurezza nazionale di numerosi paesi.

Il programma CVE, gestito dall'organizzazione no-profit MITRE, è il sistema centralizzato che assegna identificatori univoci alle vulnerabilità informatiche scoperte nei prodotti software e hardware. Questi identificatori - come CVE-2014-0160 per la famosa vulnerabilità Heartbleed di OpenSSL o CVE-2017-5754 per Meltdown di Intel - fungono da lingua franca per ricercatori, sviluppatori e organizzazioni di tutto il mondo. Permettono di riferirsi con precisione a specifiche falle di sicurezza, evitando confusioni e assicurando che tutti lavorino allo stesso problema.

Yosry Barsoum, vicepresidente di MITRE e direttore del Centro per la Sicurezza della Patria, ha confermato la situazione: "Mercoledì 16 aprile scadrà il finanziamento per MITRE per sviluppare, gestire e modernizzare il programma Common Vulnerabilities and Exposures e i programmi correlati, come il Common Weakness Enumeration Program". Quest'ultimo rappresenta un database centralizzato delle tipologie di bug informatici, complementare al sistema CVE.

La notizia è emersa dopo la fuga di una lettera inviata ai membri del consiglio del programma CVE, pubblicata sulla piattaforma Bluesky. Nel promemoria, Barsoum ha rivelato che gli archivi storici del CVE rimarranno almeno disponibili su GitHub, ma il futuro del servizio attivo è incerto.

La situazione è particolarmente allarmante considerando i numeri: lo scorso anno sono stati pubblicati oltre 40.000 nuovi CVE. Senza questo sistema, l'industria della cybersicurezza potrebbe tornare al caos pre-CVE, quando ogni azienda utilizzava la propria terminologia per riferirsi alle vulnerabilità, generando confusione tra i clienti riguardo alla loro esposizione a specifici bug.

Il programma CVE è stato finora sponsorizzato e in gran parte finanziato dalla Cybersecurity and Infrastructure Security Agency (CISA), sotto l'egida del Dipartimento della Sicurezza Interna degli Stati Uniti. La decisione di non rinnovare il contratto arriva mentre l'amministrazione Trump cerca di tagliare costi in vari settori del governo federale.