Αποποίηση ευθυνών: Το πρωτότυπο αυτής της σελίδας είναι γραμμένο στα ολλανδικά. Αυτή η σελίδα έχει μεταφραστεί αυτόματα σε άλλες γλώσσες χρησιμοποιώντας το DeepL. Αυτό μπορεί να οδηγήσει σε διαφορές στην απόχρωση, τον τόνο και το νόημα. Σε περίπτωση αμφιβολίας, συμβουλευτείτε πάντα πρώτα την ολλανδική έκδοση. Λόγω του υψηλού κόστους των μεταφράσεων, αυτή η σελίδα ενδέχεται να υστερεί σε σχέση με την ολλανδική έκδοση όσον αφορά το περιεχόμενο. Θεωρούμε την ολλανδική έκδοση αυτής της σελίδας ως κορυφαία.
Το Ίδρυμα Internet Cleanup Foundation διαθέτει έναν κώδικα δεοντολογίας που καθορίζει τις βασικές αρχές σχετικά με το ποιες μετρήσεις δημοσιεύονται και ποιες όχι.
Αυτή η σελίδα το διερευνά περαιτέρω με πρακτικά παραδείγματα.
Δημόσιες μετρήσεις με δημόσιο σκοπό
Κατ’ αρχήν, η Βασική ασφάλεια μετρά την ασφάλεια σε βασικό επίπεδο. Αυτό μπορεί να δημοσιευθεί ελεύθερα χωρίς να αυξηθεί ο κίνδυνος κατάχρησης πέραν του ήδη υπάρχοντος. Εξετάστε τη μέτρηση όπου λείπουν τα κοινά μέτρα ασφαλείας.
Η βάση δεδομένων Basisbeveiliging.nl περιέχει περισσότερες από 10 εκατομμύρια μοναδικές μετρήσεις. Όλες οι μετρήσεις στη βάση δεδομένων μπορούν να δημοσιευθούν πλήρως ανά πάσα στιγμή ή να διαρρεύσουν, χωρίς να δημιουργηθούν νέοι κίνδυνοι που μπορεί να εκμεταλλευτεί ένας επιτιθέμενος.
Ένας οργανισμός με επαρκή πολιτική ασφάλειας θα είναι πάντα πράσινος όσον αφορά τη βασική ασφάλεια: οι μετρήσεις από μόνες τους δεν αποτελούν είδηση ή σοκ, αλλά η έλλειψη εφαρμογής μπορεί μερικές φορές να είναι.
Οι μετρήσεις της βασικής ασφάλειας βρίσκονται στον τομέα του ηθικού hacking και των δοκιμών ασφαλείας. Υπάρχουν έντονες ομοιότητες με τα πρώτα βήματα των επαγγελματικών δοκιμών ασφαλείας, όπως η χαρτογράφηση της επιφάνειας επίθεσης. Αυτό καλύπτει τομείς, θύρες και λογισμικό. Πρόκειται για δημόσιες πληροφορίες που είναι εύκολο να συλλεχθούν σε μεγάλη κλίμακα. Υπάρχουν πολλές εταιρείες που το κάνουν αυτό και το προσφέρουν με πολύ χαμηλό κόστος ή ακόμη και δημόσια και δωρεάν.
Η Basic Security δεν δημοσιεύει ποτέ σοβαρές ή κρίσιμες ευπάθειες. Αυτό το αφήνει σε άλλους οργανισμούς, όπως επαγγελματικές εταιρείες δοκιμών ασφαλείας όπως η Secura, η Zerocopter ή εθελοντικές οργανώσεις όπως η DIVD.
Δημοσιεύσιμα ευρήματα
Το Ίδρυμα Internet Cleanup Foundation δημοσιεύει πληροφορίες σχετικά με ευπάθειες και ελλείποντα μέτρα ασφαλείας. Αυτό γίνεται με σκοπό να διορθωθούν αυτές οι ευπάθειες. Με βάση τον κώδικα δεοντολογίας, καθορίζεται αν μια ευπάθεια μπορεί να δημοσιευτεί. Σε αυτό το σημείο λαμβάνονται υπόψη το δημόσιο συμφέρον, η αναλογικότητα και η επικουρικότητα.
Τα δημοσιεύσιμα τρωτά σημεία είναι δημόσια διαθέσιμα για όλους στον ιστότοπο βασικής ασφάλειας. Η πρόσβαση σε αυτήν μπορεί να γίνει και αυτόματα.
Οι ευπάθειες που μπορούν να δημοσιευθούν βαθμολογούνται με βάση τον κίνδυνο. Πρόκειται για μια διαφορετική αξιολόγηση κινδύνου που είναι κοινή στον κόσμο της ασφάλειας, επειδή το φάσμα των μετρήσεων είναι διαφορετικό. Το φάσμα στη βασική ασφάλεια έχει τέσσερις βαθμίδες που κλιμακώνονται με βάση το τι θα μπορούσε δυνητικά να πάει στραβά. Αυτό έρχεται σε αντίθεση με τις συνήθεις δοκιμές ασφαλείας, οι οποίες αντιπαραβάλλουν τα ίδια ευρήματα με πράγματα που πραγματικά πάνε στραβά αυτή τη στιγμή. Εκεί που η Βασική Ασφάλεια αξιολογεί κάτι ως “υψηλό”, σε ένα επαγγελματικό τεστ ασφαλείας θα τεθεί ως “info”, “χαμηλό” ή σε μια ειδική περίπτωση ως “μεσαίο”, ανάλογα με τον σκοπό του τεστ.
Οι διαβαθμίσεις της βασικής ασφάλειας μετατοπίζονται με την πάροδο του χρόνου, ώστε να ανεβαίνει σιγά-σιγά ο πήχης της βασικής ασφάλειας. Όταν μια μέτρηση είναι πορτοκαλί φέτος, μπορεί να γίνει κόκκινη το επόμενο έτος για να της δοθεί μεγαλύτερη προσοχή. Για παράδειγμα, η εφαρμογή του security.txt δεν είναι υποχρεωτική μέχρι τα μέσα του 2023, οπότε περίπου εκείνη τη στιγμή δεν θα εφαρμόζουν όλοι οι οργανισμοί αυτό το πρότυπο. Ωστόσο, μέχρι τα μέσα του 2024, αυτό θα είναι απαράδεκτο, καθώς θα έχουν ένα χρόνο για να το εφαρμόσουν. Περισσότερες πληροφορίες σχετικά με αυτό υπάρχουν στην πολιτική μετρήσεων.
Αυτές είναι οι τέσσερις διαβαθμίσεις που εφαρμόζουμε:
Κόκκινο: πρόκειται για ευπάθεια υψηλού κινδύνου. Εδώ, πρόκειται για μια ατέλεια που πρέπει να διορθωθεί. Σκεφτείτε, για παράδειγμα, την αδύναμη κρυπτογράφηση. Τη διαρροή πληροφοριών έκδοσης (διάβασε: να λέει σε έναν εισβολέα τι να εκτελέσει) και τα παρόμοια.
Πορτοκαλί: συχνά πρόκειται για θεσμικά όργανα και διοικητικές ελλείψεις. Επίσης, νέες μετρήσεις που θα έπρεπε τελικά να είναι κόκκινες, αλλά κλιμακώνονται ως πορτοκαλί για εισαγωγή: για να γίνει η μέτρηση ορατή και εφαρμόσιμη στους αρμόδιους οργανισμούς.
Πράσινο (χαμηλό): Μια μέτρηση που περιλαμβάνει μια απόκλιση στην ασφάλεια που έχει πολύ μικρό αντίκτυπο (ακόμα), επειδή είναι λίγοι οι άνθρωποι που μπορεί να αντιμετωπίσουν αυτό το πρόβλημα, και στην περίπτωση αυτή είναι συχνά ήδη εκτεθειμένοι σε ένα ευρύ φάσμα πιο σοβαρών ζητημάτων. Αυτό το επίπεδο χρησιμοποιείται επίσης για μετρήσεις που μπορεί να συνεπάγονται νομικές υποχρεώσεις στο μέλλον, αλλά δεν είναι πολύ συνηθισμένες σήμερα.
Πράσινο (εντάξει): Σωστή μέτρηση: η ασφάλεια εξασφαλίζεται σε αυτό το σημείο.
Τα ευρήματα συνοδεύονται πάντοτε από τεκμηρίωση, παραπομπές και, όπου είναι δυνατόν, έναν σύνδεσμο δεύτερης γνώμης, βάσει του οποίου μπορεί να πραγματοποιηθεί νέα δοκιμή. Αυτά περιλαμβάνονται επίσης στην πολιτική μετρήσεων. Αυτό επιτρέπει τη γνώση της συνάφειας ενός νέου ευρήματος και την άμεση επαλήθευση ότι η ευπάθεια έχει διορθωθεί.
Παραδείγματα ευπαθειών που μπορούν να δημοσιευθούν περιλαμβάνουν: έλλειψη κρυπτογράφησης, έλλειψη DNSSEC, έλλειψη security.txt, φυσική τοποθεσία της υπηρεσίας, εφαρμογή RPKI, πληροφορίες δημόσιας έκδοσης.
Όλες οι πληροφορίες στις ιστοσελίδες, συμπεριλαμβανομένων όλων των μετρήσεων, υπόκεινται στην αποποίηση ευθύνης μας. Συνεπώς, το να ενεργήσετε με βάση αυτά τα ευρήματα γίνεται πάντα με δικά σας έξοδα και με δική σας ευθύνη. Κάνουμε ό,τι μπορούμε για να δημοσιεύουμε πάντα σωστές και ενημερωμένες μετρήσεις, διαβάστε περισσότερα σχετικά με αυτό στην πολιτική μετρήσεων.
Πώς δημοσιεύονται οι νέες μετρήσεις
Πριν από τη δημοσίευση μιας νέας μέτρησης, αυτή ανακοινώνεται πρώτα στους οργανισμούς-ομπρέλες, ώστε οι οργανισμοί να μπορούν να αναλάβουν δράση βάσει αυτής. Μέχρι τότε, τα ίδια τα αποτελέσματα της μέτρησης συχνά δεν είναι ακόμη διορατικά. Τουλάχιστον ένα μήνα αργότερα, η μέτρηση γίνεται ορατή και δημόσια.
Θα ακολουθήσει δοκιμαστική περίοδος κατά την οποία η μέτρηση θα βαθμολογηθεί το πολύ με πορτοκαλί χρώμα. Κατά τη διάρκεια αυτής της δοκιμαστικής περιόδου, ο καθένας μπορεί να αντιδράσει στη μέτρηση και η μέτρηση μπορεί να αυστηροποιηθεί. Η περίοδος αυτή διαρκεί συνήθως ένα ή δύο μήνες. Μετά από αυτή την περίοδο, η μέτρηση επαναβαθμολογείται και ενδεχομένως ορίζεται σε κόκκινο.
Παράδειγμα σεναρίου δημοσιεύσιμης ευπάθειας
Ένας οργανισμός χρειάζεται έναν ιστότοπο. Αυτός ο δικτυακός τόπος παραδίδεται από ένα γραφείο ανάπτυξης. Αυτό το γραφείο ανάπτυξης χρησιμοποιεί τυποποιημένο λογισμικό και επικεντρώνεται κυρίως στη λειτουργικότητα και την πληροφόρηση.
Ο δικτυακός τόπος τίθεται σε λειτουργία, αλλά η ασφάλεια δεν έχει ακόμη αντιμετωπιστεί. Για παράδειγμα, ο ιστότοπος δεν είναι ακόμη προσβάσιμος μέσω κρυπτογραφημένης σύνδεσης (1: https), δεν υπάρχουν εγγυήσεις για το αν το όνομα τομέα ανήκει στη διεύθυνση ip του ιστότοπου (2: DNSSEC) και υπάρχει ένας δημόσιος πίνακας διαχείρισης (3: πίνακας σύνδεσης) που δείχνει ότι πρόκειται για την έκδοση λογισμικού 7.0.2 (4: πληροφορίες έκδοσης).
Αυτή η περίπτωση δίνει σε έναν επιτιθέμενο όλα τα είδη των λαβών που μπορούν εύκολα να αποφευχθούν. Ένας επιτιθέμενος χρειάζεται ελάχιστη ή καθόλου προσπάθεια για να τις βρει και έχει αυτοματοποιήσει εδώ και καιρό και ευρέως αυτή τη γνώση για να κάνει όσο το δυνατόν περισσότερη ζημιά με αυτόν τον τρόπο.
Σε αυτή τη μελέτη περίπτωσης, ένας επιτιθέμενος μπορεί να εκμεταλλευτεί τις ευπάθειες με τους εξής τρόπους: μπορεί να διαβάζει μαζί με την κυκλοφορία στο Διαδίκτυο στο ίδιο δίκτυο, όπως ένα Wi-Fi hotspot, επειδή λείπει το https (1: https), στο ίδιο δίκτυο ο επιτιθέμενος μπορεί να ανακατευθύνει την κυκλοφορία σε μια ψεύτικη σελίδα (2: dnssec), μπορεί να κάνει προσπάθειες σύνδεσης στη σελίδα διαχείρισης οπουδήποτε στον κόσμο (3: πίνακας σύνδεσης) και να αναζητήσει και να εφαρμόσει δημόσια γνωστές ευπάθειες οπουδήποτε στον κόσμο (4: πληροφορίες έκδοσης).
Οι επιτιθέμενοι έχουν ήδη αυτές τις πληροφορίες, οπότε είναι σημαντικό να τις έχουν και οι άνθρωποι που πρέπει να αμυνθούν. Σε όλες αυτές τις επιθέσεις, υπάρχει μια βάση στη διαφάνεια και τον καλό επαγγελματισμό.
Όταν τα γνωστά πλαίσια ασφάλειας και τα πλαίσια προτύπων ακολουθούνται με επάρκεια, όλα αυτά τα τρωτά σημεία δεν υπάρχουν. Σκεφτείτε το ISO27002, το NEN7510, το Baseline Information Security Government και άλλα παρόμοια. Σημειώστε ότι τέτοια πλαίσια δεν είναι πρακτικά και αφήνουν τον καθένα να μετράει και να μετράει τις λύσεις μόνος του. Ως αποτέλεσμα, στην ίδια κατάσταση, ένας αρχάριος θα γράψει ένα διαφορετικό σχέδιο ως προς το περιεχόμενο από ό,τι ένας επαγγελματίας. Στη βασική ασφάλεια, θέτουμε έναν συγκεκριμένο πήχη που είναι σχετικός σε όλες τις περιπτώσεις. Κάποιοι βρίσκουν αυτόν τον πήχη πολύ ψηλά, άλλοι τον βρίσκουν πολύ χαμηλά. Σε κάθε περίπτωση, είναι η βάση.
Μη δημοσιεύσιμα τρωτά σημεία
Η βασική ασφάλεια επικεντρώνεται στις βασικές απαιτήσεις ασφαλείας.
Οι εθελοντές του Ιδρύματος βρίσκουν επίσης μερικές φορές σοβαρά τρωτά σημεία. Αυτό είναι υποπροϊόν και όχι στόχος του ιδρύματος. Ακολουθεί ο τρόπος με τον οποίο το αντιμετωπίζουμε. Οι ενεργές έρευνες για σοβαρά τρωτά σημεία γίνονται από τον φιλικό οργανισμό DIVD. Έτσι, η ασφάλεια της βάσης δεν αναζητά ποτέ ενεργά σοβαρά τρωτά σημεία.
Εάν κατά λάθος βρούμε μια σοβαρή ευπάθεια, παρακάτω θα δείτε πώς την αντιμετωπίζουμε.
Όταν υπάρχει υποψία σοβαρής ευπάθειας, εξετάζεται κατά περίπτωση η προσέγγιση που παρέχει τη μεγαλύτερη ασφάλεια στο συντομότερο χρονικό διάστημα. Υπάρχουν διάφορες επιλογές που εξετάζονται:
- Εάν πρόκειται για μια νέα ευπάθεια που δεν είναι ακόμη γνωστή (όχι CVE), υπάρχουν διάφορες επιλογές. Εξαρτάται από το πού έχει εντοπιστεί η ευπάθεια και ποια είναι η σοβαρότητά της. Εξετάζονται οι ακόλουθες διαδρομές:
- Παράδοση στο Ολλανδικό Ινστιτούτο για την αποκάλυψη ευπαθειών. Διαθέτουν την υποδομή για να εντοπίσουν τα θύματα αυτής της ευπάθειας και να προειδοποιήσουν για τη διαρροή. Αυτή η ενέργεια είναι η προτιμώμενη επιλογή μας.
- Όταν ο δημιουργός του λογισμικού διαθέτει μια κατάλληλη διαδικασία συντονισμένης αποκάλυψης ευπαθειών, η ευπάθεια αυτή διαβιβάζεται επίσης απευθείας στον δημιουργό. Αυτό συμβαίνει μόνο όταν μπορεί να γίνει με απόλυτη εμπιστοσύνη.
- Οι βασικοί κανόνες σχετικά με τη συντονισμένη αποκάλυψη ευπαθειών εφαρμόζονται για την ειδοποίηση του ευάλωτου μέρους.
- Όταν πρόκειται για μια γνωστή ευπάθεια, ακολουθούνται οι βασικοί κανόνες σχετικά με τη συντονισμένη αποκάλυψη ευπαθειών. Εξετάζεται αν ο οργανισμός διαθέτει μια τέτοια διαδικασία.
- Εάν δεν υπάρχει διαδικασία CVD, έρχεται σε επαφή με τον οργανισμό ομπρέλα ασφαλείας στον οποίο ανήκει. Αυτός είναι, για παράδειγμα, η Υπηρεσία Ασφάλειας Πληροφοριών για τους Δήμους ή το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο για την εθνική κυβέρνηση.
- Εξετάζεται το ενδεχόμενο να διαβιβαστεί η αναφορά μέσω της Γραμμής Ασφαλείας.
- Η επικοινωνία γύρω από τη σοβαρή ευπάθεια θα εξεταστεί σύμφωνα με τους βασικούς κανόνες του CVD. Επειδή η ανεύρεση και δημοσίευση νέων ευπαθειών δεν είναι ο στόχος μας, η επικοινωνία σχετικά με νέες ευπάθειες, αν ποτέ συμβεί, είναι πιθανό να γίνει μέσω του μέρους στο οποίο αναφέρθηκε, της Γραμμής Ασφαλείας, του DIVD ή ενός παρόμοιου οργανισμού.
Παραδείγματα μη δημοσιεύσιμων ευπαθειών είναι: SQL injection, cross-site scripting, χρήση αδύναμων κωδικών πρόσβασης, διαρροή κωδικών πρόσβασης, απομακρυσμένη εκτέλεση κώδικα, υπερχειλίσεις buffer και CVEs.
Παράδειγμα σεναρίου σοβαρής ευπάθειας
Αυτό το παράδειγμα βασίζεται σε ένα πραγματικό σενάριο και μια γνωστή ευπάθεια: απενεργοποίηση μιας ενότητας που έκανε τα αρχεία που περιείχαν κωδικούς πρόσβασης άμεσα αναγνώσιμα στην πρώτη σελίδα ενός ιστότοπου (απενεργοποίηση της PHP). Αυτό είναι ένα σφάλμα διαμόρφωσης.
Ένας εθελοντής περιηγείται σε πληροφορίες στην ιστοσελίδα basicsecurity.co.uk. Ο εθελοντής βλέπει έναν ιστότοπο: “oud.belangrijkeoganisation.nl”, η οποία μπορεί επομένως να έχει αδύναμη ασφάλεια. Ο εθελοντής ενδιαφέρεται και επισκέπτεται τον ιστότοπο.
Όταν επισκέπτεστε τον ιστότοπο, φαίνεται ότι κάτι δεν πάει καλά με τη διαμόρφωση: αντί για έναν όμορφο ιστότοπο φαίνεται ο πηγαίος κώδικας του ιστότοπου. Αυτός ο πηγαίος κώδικας περιέχει έναν κωδικό πρόσβασης σε μια βάση δεδομένων και συνδέσμους προς ευαίσθητα αρχεία.
Ο εθελοντής γνωρίζει ότι αυτή δεν είναι η πρόθεσή του και συμβουλεύεται άλλους εθελοντές για το τι είναι σοφό να κάνει. Πρόκειται για μια ατομική και γνωστή ευπάθεια, ακολουθούνται οι κανόνες CVD.
Ο εθελοντής επικοινωνεί με τον οργανισμό ασφαλείας που ανήκει στον ιστότοπο. Ανταλλάσσονται πληροφορίες σχετικά με την ευπάθεια και ο οργανισμός ακολουθεί τις εσωτερικές διαδικασίες που σχετίζονται με τη CVD και την επίλυση ευπαθειών.
Ο οργανισμός έλυσε την ευπάθεια εντός προβλέψιμου χρονικού διαστήματος. Ορισμένες φορές ο οργανισμός επιλέγει να ανταμείψει τον δημοσιογράφο με ένα δώρο ή μια καταχώρηση στο hall of fame.