Отказ от отговорност: Оригиналът на тази страница е написан на нидерландски език. Тази страница е преведена автоматично на други езици с помощта на DeepL. Това може да доведе до разлики в нюансите, тона и смисъла. Ако се съмнявате, винаги първо се консултирайте с холандската версия. Поради високата цена на преводите тази страница може да изостане от холандската версия по отношение на съдържанието. Ние считаме холандската версия на тази страница за водеща.
Фондацията за почистване на интернет има кодекс на поведение, който определя основните принципи за това кои измервания се публикуват и кои не.
На тази страница това е разгледано допълнително с практически примери.
Публични измервания с обществена цел
По принцип Basic Security измерва сигурността на основно ниво. Тя може да бъде свободно публикувана, без да се увеличава рискът от злоупотреба над вече съществуващия. Помислете за измерване на местата, където липсват общи мерки за сигурност.
Базата данни на Basisbeveiliging.nl съдържа повече от 10 милиона уникални измервания. Всички измервания в базата данни могат да бъдат публикувани в пълен обем по всяко време или да изтекат, без да се създават нови рискове, от които нападателят може да се възползва.
Една организация с адекватна политика за сигурност винаги ще има зелена светлина по отношение на основната сигурност: измерванията сами по себе си не са новина или шокиращи, но липсата на приложение понякога може да бъде такава.
Измерванията на основната сигурност са в областта на етичното хакерство и тестването на сигурността. Съществуват големи прилики с първите стъпки на професионалното тестване на сигурността, като например картографиране на повърхността на атаката. Това обхваща домейни, портове и софтуер. Това е публична информация, която е лесна за събиране в голям мащаб. Има много компании, които се занимават с това и го предлагат на много ниска цена или дори публично и безплатно.
Basic Security никога не публикува сериозни или критични уязвимости. Тя оставя това на други организации, като професионални компании за тестване на сигурността като Secura, Zerocopter или доброволни организации като DIVD.
Резултати, които могат да бъдат публикувани
Фондацията за почистване на интернет публикува информация за уязвимости и липсващи мерки за сигурност. Тя прави това с цел тези уязвимости да бъдат отстранени. Въз основа на кодекса за поведение се определя дали дадена уязвимост може да бъде публикувана. При това се отчитат общественият интерес, пропорционалността и субсидиарността.
Публикуемите уязвимости са публично достъпни за всички на основния уебсайт за сигурност. Достъпът до него може да се осъществи и автоматично.
Публикуваните уязвимости се оценяват по риск. Това е различна оценка на риска, разпространена в света на сигурността, тъй като спектърът от измервания е различен. Спектърът на основната сигурност има четири степени, които са скалирани според това какво потенциално може да се обърка. Това е в контраст с обичайните тестове за сигурност, които противопоставят едни и същи констатации на неща, които наистина се объркват в момента. Когато Basic Security оценява нещо като „високо“, в един професионален тест за сигурност то ще бъде поставено като „информация“, „ниско“ или в специален случай като „средно“ в зависимост от целта на теста.
С течение на времето се променя степенуването на основната сигурност, за да се повиши бавно летвата на основната сигурност. Ако през тази година даден показател е оранжев, през следващата година той може да бъде червен, за да се обърне повече внимание на него. Например, прилагането на security.txt не е задължително до средата на 2023 г., така че по това време не всички организации ще прилагат този стандарт. Към средата на 2024 г. обаче това би било неприемливо, тъй като те ще са имали една година, за да го приложат. Повече информация по този въпрос се съдържа в политиката за измерване.
Това са четирите степени, които прилагаме:
Червено: това е уязвимост с висок риск. Тук става въпрос за несъвършенство, което трябва да бъде отстранено. Разгледайте например слабото криптиране. Изтичане на информация за версията (прочетете: казва на нападателя какво да изпълни) и други подобни.
Оранжево: това често се отнася до институции и административни недостатъци. Също така, нови измервания, които в крайна сметка трябва да бъдат червени, но за въвеждането им са определени като оранжеви: за да се направи измерването видимо и приложимо в отговорните организации.
Зелено (ниско): Измерване, включващо отклонение от безопасността, което (все още) има много малко въздействие, тъй като има малко хора, които могат да се сблъскат с този проблем, и в този случай често вече са изложени на широк спектър от по-сериозни проблеми. Това ниво се използва и за измервания, които могат да включват правни задължения в бъдеще, но днес не са много разпространени.
Зелено (добре): Правилно измерване: безопасността е гарантирана в този момент.
Заключенията винаги се придружават от документация, справки и, когато е възможно, от второ мнение, на което може да се направи повторно изследване. Това също е включено в правилата за измерване. Това позволява да се знае значението на новата констатация и незабавно да се провери дали уязвимостта е отстранена.
Примерите за уязвимости, които могат да бъдат публикувани, включват: липсващо криптиране, липсващ DNSSEC, липсващ security.txt, физическо местоположение на услугата, прилагане на RPKI, публична информация за версията.
Цялата информация на уебсайтовете, включително всички измервания, е предмет на нашия отказ от отговорност. Затова действията по тези данни са винаги за ваша сметка и на ваш риск. Правим всичко възможно да публикуваме винаги верни и актуални измервания, прочетете повече за това в политиката за измерванията.
Как се публикуват новите измервания
Преди да бъде публикувано ново измерване, то първо се съобщава на организациите, които го извършват, за да могат те да предприемат действия по него. Дотогава самите резултати от измерването често все още не са проницателни. Най-малко месец по-късно измерването става видимо и публично.
Това ще бъде последвано от пробен период, през който измерването ще бъде оценено най-много с оранжев цвят. По време на този пробен период всеки може да реагира на измерването и измерването може да бъде затегнато. Този период обикновено продължава един или два месеца. След изтичането на този период измерването се преоразмерява и евентуално се настройва на червено.
Примерен сценарий за публикуема уязвимост
Една организация има нужда от уебсайт. Уебсайтът е доставен от агенция за разработка. Тази агенция за разработка използва стандартен софтуер и се фокусира основно върху функционалността и информацията.
Уебсайтът вече функционира, но все още не е решен въпросът със сигурността. Например, сайтът все още не е достъпен чрез криптирана връзка (1: https), няма гаранции дали името на домейна принадлежи на ip адреса на сайта (2: DNSSEC) и има публичен панел за управление (3: панел за вход), който показва, че става въпрос за версия на софтуера 7.0.2 (4: информация за версията).
Този случай дава на нападателя всички видове дръжки, които лесно могат да бъдат избегнати. Атакуващият не се нуждае от почти никакви усилия, за да ги открие, и отдавна и широко е автоматизирал това знание, за да нанесе възможно най-много щети по този начин.
В този казус нападателят може да използва уязвимостите по следните начини: може да чете заедно с интернет трафика в същата мрежа, като например Wi-Fi хотспот, тъй като липсва https (1: https), в същата мрежа нападателят може да пренасочи трафика към фалшива страница (2: dnssec), може да прави опити за влизане в страницата за управление навсякъде по света (3: панел за влизане) и да търси и прилага публично известни уязвимости навсякъде по света (4: информация за версията).
Нападателите вече разполагат с тази информация, затова е важно хората, които трябва да се защитават, също да я имат. Във всички тези атаки има основа в откритостта и добрия професионализъм.
Когато се следват компетентно известните рамки за сигурност и стандарти, всички тези уязвимости не са налице. Помислете за ISO27002, NEN7510, Baseline Information Security Government и други подобни. Имайте предвид, че такива рамки не са практични и позволяват на всеки сам да измерва и преценява решенията. В резултат на това в една и съща ситуация начинаещ ще напише различен по съдържание план от професионалист. При базовата сигурност поставяме определена летва, която е релевантна във всички случаи. Някои намират тази летва за твърде висока, други – за твърде ниска. Във всеки случай тя е основата.
Уязвимости, които не могат да бъдат публикувани
Основната сигурност се фокусира върху основните изисквания за сигурност.
Доброволците на фондацията също понякога откриват сериозни уязвимости. Това е страничен продукт, а не цел на фондацията. Ето как се справяме с това. Активното търсене на сериозни уязвимости се извършва от приятелската организация DIVD. Така че сигурността на базата никога не търси активно сериозни уязвимости.
Ако случайно открием сериозна уязвимост, по-долу е описано как ще се справим с нея.
Когато има съмнение за сериозна уязвимост, тук се разглежда подходът, който осигурява най-голяма безопасност в най-кратък срок, за всеки отделен случай. Разглеждат се редица варианти:
- Ако става въпрос за нова уязвимост, която все още не е известна (не е CVE), има няколко възможности. Зависи от това къде е установена уязвимостта и каква е нейната сериозност. Разглеждат се следните пътища:
- Предайте на Холандския институт за разкриване на уязвимости. Те разполагат с инфраструктурата за идентифициране на жертвите на тази уязвимост и предупреждаване за изтичането на информация. Това действие е предпочитаният от нас вариант.
- Когато създателят на софтуера има подходящ процес на координирано разкриване на уязвимости, тази уязвимост също се предава директно на създателя. Това се случва само когато може да бъде направено в условията на поверителност.
- За уведомяване на уязвимата страна се прилагат основните правила за координирано разкриване на уязвимости.
- Когато става въпрос за известна уязвимост, се спазват основните правила за координирано разкриване на уязвимости. Проучва се дали в организацията е въведен такъв процес.
- Ако не е налице процедура за проверка на действителността, се установява контакт с организацията за сигурност, към която тя принадлежи. Това е например Службата за информационна сигурност за общините или Националният център за киберсигурност за националното правителство.
- Обмисля се възможността докладът да бъде предаден чрез горещата линия за сигурност.
- Комуникацията относно сериозната уязвимост ще се разглежда в съответствие с основните правила на МСП. Тъй като откриването и публикуването на нови уязвимости не е наша цел, комуникацията относно новите уязвимости, ако изобщо се случи, вероятно ще се осъществява чрез страната, на която е докладвано, Горещата линия за сигурност, DIVD или подобна организация.
Примерите за уязвимости, които не подлежат на публикуване, включват: SQL инжекция, скриптиране на кръстосани сайтове, използване на слаби пароли, изтичане на пароли, изпълнение на отдалечен код, препълване на буфера и CVE.
Примерен сценарий за тежка уязвимост
Този пример се основава на действителен сценарий и известна уязвимост: деактивиране на модул, който прави файловете с пароли директно четими на заглавната страница на сайта (деактивиране на PHP). Това е грешка в конфигурацията.
Доброволец преглежда информация в сайта basicsecurity.co.uk. Доброволецът вижда сайт: „oud.belangrijkeoganisation.nl“, който следователно може да има слаба защита. Доброволецът проявява интерес и посещава сайта.
При посещението на сайта се оказва, че нещо не е наред с конфигурацията: вместо красив уебсайт се показва изходният код на сайта. Този изходен код съдържа парола за база данни и връзки към чувствителни файлове.
Доброволецът знае, че това не е целта, и се консултира с други доброволци за това какво е разумно да се направи. Става въпрос за индивидуална и известна уязвимост, спазват се правилата на CVD.
Доброволецът се свързва с организацията за сигурност, която е собственик на уебсайта. Обменя се информация за уязвимостта, а организацията следва вътрешните процеси, свързани със CVD и разрешаването на уязвимости.
Организацията е отстранила уязвимостта в обозрим срок. Понякога организацията решава да възнагради репортера с подарък или вписване в зала на славата.