M´etricas Temporais

A amea¸ca causada por uma vulnerabilidade pode mudar o tempo excedente. O CVSS captura trˆes valores, a saber: confirma¸c˜ao dos detalhes t´ecnicos de uma vulnerabilidade, o status da corre¸c˜ao para a vulnerabilidade, e da disponibilidade do c´odigo ou das t´ecnicas do exploit. Este valor ´e usado quando o usu´ario sente que a m´etrica particular n˜ao se aplica e deseja saltar o excesso.

1. ”Exploitability”: indica se ´e poss´ıvel ou n˜ao explorar a vulnerabili- dade;

2. ”Remediation Level ”: informa se h´a uma solu¸c˜ao conhecida;

3. ”Report Confidence”: representa o grau de confian¸ca na existˆencia da vulnerabilidade e na credibilidade de sua divulga¸c˜ao (”Unconfirmed / Uncorroborated / Confirmed ”).

5.3.2.1 Exploitability (E) - Explor´avel

Esta m´etrica mede o estado atual de t´ecnicas do exploit ou de disponibili- dade do c´odigo. A disponibilidade p´ublica do c´odigo easy-to-use do exploit aumenta o n´umero de atacantes potenciais incluindo aqueles que s˜ao in´abeis, aumentando desse modo a severidade da vulnerabilidade.

Inicialmente, a explora¸c˜ao pode ser somente te´orica. A publica¸c˜ao de um c´odigo para a prova do conceito (POC), do c´odigo funcional do exploit, ou dos detalhes t´ecnicos, suficientemente necess´ario para explorar a vulnerabi- lidade. Al´em disso, o c´odigo do exploit dispon´ıvel pode progredir de uma demonstra¸c˜ao da prova de conceito para um c´odigo para se explorar a vul- nerabilidade consistentemente. Em casos severos, pode ser entregue com o payload de um worm ou v´ırus. Quanto mais facilmente a vulnerabilidade pode ser explorada, mais elevado ´e o escore. Valores poss´ıveis s˜ao:

Unproven : Nenhum c´odigo para o exploit est´a dispon´ıvel, ou o exploit ´e inteiramente te´orico;

Proof of Concept : A prova de conceito do exploit ou uma demonstra¸c˜ao do ataque que n˜ao seja pr´atica para a maioria dos sistemas est´a dis- pon´ıvel. O c´odigo ou a t´ecnica n˜ao s˜ao funcionais em todas as si- tua¸c˜oes e podem requerer a modifica¸c˜ao substancial por um atacante h´abil;

Functional : O c´odigo funcional do exploit est´a dispon´ıvel. O c´odigo trabalha na maioria das situa¸c˜oes onde a vulnerabilidade existe; High : Ou a vulnerabilidade ´e explorada por um c´odigo autˆonomo m´ovel

detalhes est˜ao extensamente dispon´ıveis. O c´odigo trabalha em cada situa¸c˜ao, ou est´a sendo entregue ativamente atrav´es de um agente autˆonomo m´ovel como um worm ou um v´ırus.

Not Defined (ND) : Atribuir este valor a m´etrica n˜ao influenciar´a o score. ´E um sinal para equa¸c˜ao saltar esta m´etrica.

5.3.2.2 Remediation Level (RL) - N´ıvel de remedia¸c˜ao

O n´ıvel da remedia¸c˜ao de uma vulnerabilidade ´e um fator importante para prioriza¸c˜ao. Uma vulnerabilidade t´ıpica surge quando uma corre¸c˜ao ´e pu- blicada. As corre¸c˜oes que est˜ao sendo desenvolvidas conhecidos como wor- karounds ou os hotfixes podem oferecer a corre¸c˜ao parcial at´e uma corre¸c˜ao oficial seja lan¸cada. Cada um destes est´agios respectivos ajusta o score temporal para baixo, refletindo em uma diminui¸c˜ao da urgˆencia enquanto a corre¸c˜ao se torna final. Exceto uma corre¸c˜ao oficial ou permanente, todos os outros valores elevam o c´alculo do score. Valores poss´ıveis s˜ao:

Official Fix (OF) : Uma solu¸c˜ao completa do fabricante est´a dispon´ıvel. Ou o fabricante emitiu um patch oficial, ou um upgrade est´a dis- pon´ıvel.

Temporary Fix (TF) : H´a uma corre¸c˜ao oficial dispon´ıvel no entanto ´e provis´oria. Isto inclui os exemplos onde o vendedor emite um hotfix tempor´ario, uma ferramenta, ou que est´a a trabalho;

Workaround (W) : H´a uma solu¸c˜ao n˜ao oficial dispon´ıvel, que n˜ao foi disponibilizada pelo fabricante. Em alguns casos, os usu´arios da tec- nologia afetada criar˜ao uma corre¸c˜ao eles mesmos ou fornecer˜ao os passos necess´arios para se contornar ou mitigar a vulnerabilidade; Unavailable (U) : N˜ao existe nenhuma solu¸c˜ao dispon´ıvel ou ´e imposs´ıvel

aplicar a corre¸c˜ao;

Not Defined (ND) : Atribuir este valor a m´etrica n˜ao influenciar´a o score. ´E um sinal para equa¸c˜ao saltar esta m´etrica.

5.3.2.3 Report Confidence (RC) - Confian¸ca no relat´orio

Esta m´etrica mede o grau de confian¸ca na existˆencia da vulnerabilidade e na credibilidade dos detalhes t´ecnicos conhecidos. `As vezes, somente a existˆencia da vulnerabilidade ´e divulgada, mas sem detalhes espec´ıficos. A vulnerabilidade pode mais tarde ser confirmada e reconhecida pelo fabri- cante da tecnologia afetada. A urgˆencia de uma vulnerabilidade ´e mais alta quando ela ´e conhecida e se tem certeza de sua existˆencia. Esta m´etrica sugere tamb´em o n´ıvel de conhecimento t´ecnico dispon´ıvel aos atacantes. Quando a vulnerabilidade ´e validada pelo fabricante da tecnologia afetada, ou outras fontes de respeito, maior ´e o risco. Valores poss´ıveis s˜ao:

Unconfirmed (UC) : Existe uma ´unica fonte n˜ao confirmada ou possivel- mente alguns relat´orios conflitantes. H´a pouca confian¸ca na validade dos relat´orios. Um exemplo ´e um boato hacker ;

Uncorroborated (UR) : Existem algumas fontes n˜ao oficiais, possivel- mente empresas independentes de seguran¸ca ou organiza¸c˜oes de pes- quisa. Neste momento pode haver muitos detalhes t´ecnicos conflitan- tes;

Confirmed (C) : A vulnerabilidade foi reconhecida pelo fabricante ou pelo autor da tecnologia afetada. A vulnerabilidade pode tamb´em ser confirmada quando sua existˆencia ´e confirmada em um evento externo, tal como a publica¸c˜ao do c´odigo funcional ou da prova de conceito do exploit;

Not Defined (ND) : Atribuir este valor a m´etrica n˜ao influenciar´a o score. ´E um sinal para equa¸c˜ao saltar esta m´etrica.