¿Por qué algunos ataques son más famosos que otros (Heartbleed, BESTIA, POODLE, etc.)?

1) Recuento de nombres geniales . No descuente el valor de las relaciones públicas.

2) Heartbleed, BEAST, CRIME, and POODLE, todos impactados (o pueden ser alcanzados a través de) servidores web. Los servidores web tienden a ser públicamente disponibles, generalizados e identificados directamente (en la mente de la prensa y el público no técnico) como "EL INTERNET". Por lo tanto, estos problemas tuvo un mayor impacto posible y una mayor importancia percibida.

3) CVE intenta describir de manera desapasionada qué tan gravemente puede afectar una vulnerabilidad, pero existe tal cosa como la muerte de un millón de recortes de papel . Un CVE 9.5 que afecta a algo raro y protegido, por ejemplo, los clústeres de bases de datos Oracle, nunca será tan famoso como un CVE de 4.2 que afecta a Apache.

4) El CVE en sí mismo no tiene en cuenta la omnipresencia de un paquete de software en todo el mundo. Contrariamente a lo que dije en los comentarios a continuación, hay una medida de ubicuidad en la puntuación CVSS; "La métrica de distribución de destino (TD) mide la proporción de sistemas vulnerables en el medio ambiente". Pero "Esta medida se calcula de manera subjetiva, generalmente por las partes afectadas", por lo que creo que eso no es parte del NIST CVE, eso es lo que RedHat u Oracle ajustan cuando publican avisos basados en el CVE. La conclusión es que CVE no está diseñado para determinar cuántas personas necesitan preocuparse acerca de un problema, sino para determinar exactamente qué tan preocupadas deberían estar esas personas si son propietarias / de uso. el sistema afectado

Elija sus respuestas, hay algo de verdad en todas ellas, así como el comentario de Xanders sobre las limitaciones de CVE.

Parece que FREAK no va a causar un gran revuelo a pesar de tener un nombre genial; solo afecta al subconjunto de personas a las que ya no les importa lo suficiente como para hacer que su servidor web sea seguro. De hecho, me alegra ver que la prensa no se dejó llevar solo porque era TODAS LAS CAPS ...

(Editado para agregar el # 4 con citas de la página CVSS de Wikipedia, solo tratando de redondear la cadena de comentarios hasta el respuesta)

El proceso para asignar un puntaje CVSS de CVE a una vulnerabilidad es muy prescriptivo. Hay poco espacio para la interpretación, o para tener en cuenta los impactos que no se explican por la fórmula de puntuación. Entonces, al final, algunos problemas relativamente importantes terminarán con puntuaciones extrañamente bajas, y algunos problemas relativamente triviales terminarán con puntuaciones excesivamente altas. Esta es la naturaleza del sistema, y una de sus limitaciones. Heartbleed es probablemente un buen ejemplo de una vulnerabilidad que tuvo un puntaje CVSS que no reflejó adecuadamente el impacto del mundo real.

Para elaborar un ejemplo: CVSS excluye explícitamente de la puntuación los efectos indirectos o de segundo orden. Esto es razonablemente desde una perspectiva de estandarización, de lo contrario, terminará con una especulación desenfrenada sobre cómo las vulnerabilidades podrían explotarse drásticamente elevando los puntajes a un punto en el que ya no se pueden diferenciar con precisión. Sin embargo, en el caso de una vulnerabilidad como Heartbleed, esto significa que el hecho de que los datos críticos, como las credenciales de autenticación y las claves privadas de los certificados, se demostraron en riesgo (en el mundo real, incluso, no solo en un PoC) Cuenta por el puntaje CVSS. Por lo tanto, el CVE tiene una puntuación CVSS media de 5.0, y al mismo tiempo, los administradores de sistemas en todas partes se apresuraron a parchear sistemas y remediar cualquier daño potencial tan pronto como sea humanamente posible, reconociendo la vulnerabilidad por el riesgo crítico y sensible al tiempo que realmente era .

Respecto a por qué algunos temas se vuelven famosos ... Bueno, porque atraen la atención del público. La fama es caprichosa y fugaz, y el tiempo dedicado a preocuparse por él es tiempo perdido.