Генерация имён для уязвимостей. У коллег, которые занимаются атрибуцией атак, есть забава давать группам злоумышленников имена по какой-то схеме. Например, Midnight Blizzard или Mysterious Werewolf. 🙂 Я подумал, а чего бы нам уязвимостям так имена не давать?
Допустим, Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Типы уязвимостей превращаем в созвучные названия животных. RCE - это пусть будет Racoon. Для EoP можно Elephant, для Memory Corruption - Monkey и т.д.
🔹 По названиям софта автоматом подбираем прилагательные, начинающиеся с тех же букв. "Windows NAT" -> "Windy Nautical".
🔹 Уязвимостей одного типа в одном продукте может быть сколько угодно. Поэтому генерим сочетания наречий и причастий прошедшего времени (6940230 комбинаций), а потом мапим в них CVE-идентификаторы. CVE-2024-38119 -> 202438119 -> "2438119": "inquisitively underspecified"
Получаем: "Inquisitively Underspecified Windy Nautical Racoon", т.е. "Любопытно Неуточненный Ветреный Морской Енот". 🙂
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.