Un nouveau service open source vise à accélérer la réponse de l’industrie de la sécurité aux vulnérabilités zero-day et à fort impact.

Alerte de boguedéveloppé par l’ingénieur en sécurité Matthew Sullivan, est un outil gratuit fonctionnant sur GitHub qui envoie aux abonnés des avertissements précoces des failles de sécurité récemment révélées.

Les développeurs, les professionnels de la sécurité et autres peuvent s’abonner aux alertes par e-mail, SMS ou même par téléphone.

Sullivan dit que Bug Alert se concentrera sur les « types de problèmes de sortie du lit et d’annulation de votre rendez-vous nocturne », avec des messages courts et clairs. Les alertes, dit-il, seront « rares », avec seulement les avis les plus sérieux envoyés.

Inspiration Log4J

Selon Sullivan, Bug Alert a été inspiré par la réponse sous-optimale à la vulnérabilité Log4J, qui est sans doute sans précédent dans sa surface d’attaque et a été exploitée dans les 24 heures suivant, et peut-être même avant que, divulgation. Les équipes de sécurité ont perdu un temps précieux entre les premiers exploits apparus sur Twitter et l’émission d’un CVE, a déclaré Sullivan.

VOUS POURRIEZ AUSSI AIMER Présentation de Malvuln.com – le premier site Web « exclusivement dédié » à la révélation des vulnérabilités de sécurité des logiciels malveillants

S’appuyer sur les médias sociaux pour obtenir des informations sur les vulnérabilités critiques ou attendre les avis US-CERT ou EU-CERT donne aux attaquants de plus en plus agiles une trop grande fenêtre d’opportunité, estime-t-il.

« S’il y a quelque chose qui est suffisamment grave pour que le New York Times en parle, ne devrions-nous pas littéralement appeler les gens, s’ils le souhaitent, les réveiller et leur faire savoir? » Sullivan a dit La gorgée quotidienne.

« Bug Alert ne remplacera jamais le processus d’attribution de CVE ou d’envoi d’avis US-CERT, mais l’objectif est certainement d’être en avance sur eux. »

Logo d'alerte de bogueBug Alert envoie aux abonnés des avertissements précoces des failles critiques récemment révélées

Compléter les informations sur les menaces

Sullivan, qui a développé Bug Alert pendant la période des vacances à partir d’une ancienne grange convertie en hébergement Airbnb, affirme que le plan n’est pas de concurrencer les services commerciaux de renseignement sur les menaces.

« La plupart des offres commerciales veulent vous vendre non seulement la connaissance de la menace, mais aussi les moyens de détecter ou de bloquer la menace. Rassembler toutes ces informations, puis avoir la confiance nécessaire pour en faire rapport à vos clients payants, prend du temps », a-t-il expliqué.

Tenez-vous au courant des dernières nouvelles sur les vulnérabilités en matière de cybersécurité

« Bug Alert a un modèle différent, où nous voulons vous avertir dès qu’il est clair qu’il y a une menace réelle, même si nous n’avons pas la capacité de vous aider à comprendre les prochaines étapes.

« L’objectif de notre projet est simplement de vous rendre alerte et engagé. Si quoi que ce soit, j’espère que Bug Alert est le service qui vous permet de savoir qu’il faut appeler votre fournisseur de renseignements sur les menaces.

Appel aux bénévoles

Plutôt qu’un service commercial, Bug Alert sera open source et s’appuiera sur des bénévoles pour rédiger des avis et les réviser et les fusionner (publier).

Sullivan espère établir une couverture mondiale et souhaite particulièrement entendre les développeurs d’Europe et d’Asie-Pacifique, ainsi que ceux qui peuvent aider à maintenir le service. Le modèle open source est également essentiel pour garantir la confiance de Bug Alert, estime Sullivan.

« C’est une proposition intéressante, et certainement un objectif louable », a déclaré Piers Wilson, directeur du Chartered Institute of Information Security. La gorgée quotidienne. « Le facteur critique de succès semble être l’implication de la communauté : les gens traquent ou identifient les vulnérabilités et les détaillent. »

Sullivan a produit lignes directrices pour les contributeurs pour les développeurs et les professionnels de la sécurité souhaitant assister Bug Alert.