Definizione livelli di gravità
Il livello di gravità può essere determinato attraverso il «Common Vulnerability Scoring System» (CVSS). Il sito Internet del «Forum of Incident Response and Security Teams» mette a disposizione uno strumento interattivo a tal fine: https://www.first.org/cvss/calculator/3.0.
Critical (CVSS v3 Score: 9.0-10.0): generalmente gli eventi critici non richiedono l’interazione della persona presa di mira. Di conseguenza, un aggressore non necessita di conoscenze particolari sulla vittima. Un «Remote Code Execution» è di regola la causa di un evento critico. Le conseguenze possono essere ad esempio fughe di dati personali o la perdita dell’anonimato.
High (CVSS v3 Score 7.0-8.9): le azioni dell’utente (ingegneria sociale) sono la chiave per uno sfruttamento riuscito. In tal modo l’aggressore può procurarsi privilegi estesi. Anche in questo caso le conseguenze possono essere fughe di dati.
Medium (CVSS v3 Score: 4.0-6.9): in caso di sfruttamento, viene concesso soltanto un accesso limitato. Inoltre, l’aggressore deve muoversi all’interno dello stesso sistema della vittima. I dati non vengono toccati o solo parzialmente.
Low (CVSS v3 Score: 0.1-3.9): non vi è nessuna ripercussione sulla funzionalità o sui dati. Rientrano in questa categoria anche gli errori di layout e di ortografia.