Vastuuvapauslauseke: Tämän sivun alkuperäinen versio on kirjoitettu hollanniksi. Tämä sivu on käännetty automaattisesti muille kielille käyttämällä DeepL. Tämä saattaa aiheuttaa eroja vivahteissa, sävyssä ja merkityksessä. Jos olet epävarma, tutustu aina ensin hollanninkieliseen versioon. Käännösten korkeiden kustannusten vuoksi tämä sivu saattaa jäädä sisällöltään jälkeen hollanninkielisestä versiosta. Pidämme tämän sivun hollanninkielistä versiota johtavana.
Internet Cleanup Foundationilla on käytännesäännöt, joissa määritellään perusperiaatteet siitä, mitä mittauksia julkaistaan ja mitä ei.
Tällä sivulla käsitellään tätä asiaa tarkemmin käytännön esimerkkien avulla.
Julkiset mittaukset, joilla on julkinen tarkoitus
Periaatteessa perusturva toimii perustason turvallisuustoimenpiteenä. Tämä voidaan julkaista vapaasti ilman, että väärinkäytön riski kasvaa nykyistä suuremmaksi. Harkitse mittaamista siellä, missä yleiset turvatoimet puuttuvat.
Basisbeveiliging.nl:n tietokanta sisältää yli 10 miljoonaa ainutlaatuista mittausta. Kaikki tietokannassa olevat mittaukset voidaan milloin tahansa julkaista kokonaisuudessaan tai vuotaa ilman, että syntyy uusia riskejä, joita hyökkääjät voivat hyödyntää.
Organisaatio, jolla on asianmukainen turvallisuuspolitiikka, on aina vihreällä puolella perusturvallisuuden osalta: mittaukset sinänsä eivät ole uutisia tai järkyttäviä, mutta soveltamisen puute voi joskus olla.
Perusturvallisuuden mittaukset liittyvät eettiseen hakkerointiin ja tietoturvatestaukseen. Niissä on vahvoja yhtäläisyyksiä ammattimaisen tietoturvatestauksen ensimmäisiin vaiheisiin, kuten hyökkäyspinnan kartoittamiseen. Tämä kattaa toimialueet, portit ja ohjelmistot. Tämä on julkista tietoa, jota on helppo kerätä laajamittaisesti. Monet yritykset tekevät tätä ja tarjoavat sitä hyvin edullisesti tai jopa julkisesti ja ilmaiseksi.
Basic Security ei koskaan julkaise vakavia tai kriittisiä haavoittuvuuksia. Se jättää tämän muiden organisaatioiden tehtäväksi, kuten Securan ja Zerocopterin kaltaisten ammattimaisten tietoturvatestausyritysten tai DIVD:n kaltaisten vapaaehtoisjärjestöjen tehtäväksi.
Julkaistavat tulokset
Internet Cleanup Foundation julkaisee tietoa haavoittuvuuksista ja puuttuvista turvatoimista. Sen tavoitteena on saada nämä haavoittuvuudet korjattua. Käytännesääntöjen perusteella päätetään, voidaanko haavoittuvuus julkaista. Tässä yhteydessä otetaan huomioon yleinen etu, suhteellisuusperiaate ja toissijaisuusperiaate.
Julkaistavat haavoittuvuudet ovat julkisesti kaikkien saatavilla perusturvasivustolla. Siihen pääsee käsiksi myös automaattisesti.
Julkaistavat haavoittuvuudet luokitellaan riskin mukaan. Tämä on erilainen riskiluokitus, joka on yleinen turvallisuusmaailmassa, koska mittausten kirjo on erilainen. Perusturvallisuuden spektrissä on neljä luokkaa, jotka skaalataan sen mukaan, mikä voi mahdollisesti mennä pieleen. Tämä eroaa tavanomaisista tietoturvatesteistä, joissa samat havainnot verrataan asioihin, jotka todella menevät pieleen juuri nyt. Siinä missä perusturva arvottaa jonkin asian ”korkeaksi”, ammattimaisessa tietoturvatestissä se merkitään ”infoksi”, ”matalaksi” tai erikoistapauksessa ”keskitasolle” testin tarkoituksesta riippuen.
Perusturvan porrastus muuttuu ajan myötä, jolloin perusturvan rimaa nostetaan hitaasti. Jos jokin mittari on tänä vuonna oranssi, se voi ensi vuonna olla punainen, jotta siihen kiinnitetään enemmän huomiota. Esimerkiksi security.txt-standardin soveltaminen on pakollista vasta vuoden 2023 puolivälissä, joten tuolloin kaikki organisaatiot eivät vielä sovella tätä standardia. Vuoden 2024 puoliväliin mennessä tätä ei kuitenkaan voida enää hyväksyä, koska niillä on ollut vuosi aikaa soveltaa sitä. Tästä kerrotaan lisää mittauspolitiikassa.
Sovellamme näitä neljää porrastusta:
Punainen: kyseessä on erittäin riskialtis haavoittuvuus. Tässä on kyse puutteesta, joka on korjattava. Tarkastellaan esimerkiksi heikkoa salausta. Versiotietojen vuotaminen (lue: hyökkääjälle kerrotaan, mitä suorittaa) ja vastaavat.
Oranssi: tämä koskee usein toimielimiä ja hallinnollisia puutteita. Myös uudet mittaukset, joiden pitäisi lopulta olla punaisia, mutta jotka skaalataan käyttöönoton ajaksi oransseiksi: jotta mittaukset olisivat näkyviä ja toteuttamiskelpoisia vastuussa olevissa organisaatioissa.
Vihreä (matala): Mittaukseen liittyy turvallisuuteen kohdistuva poikkeama, jonka vaikutus on (vielä) hyvin vähäinen, koska vain harvat ihmiset voivat kokea tämän ongelman, ja tällöin he ovat usein jo alttiina monille vakavammille ongelmille. Tätä tasoa käytetään myös mittauksiin, joihin voi tulevaisuudessa liittyä oikeudellisia velvoitteita, mutta jotka eivät ole nykyisin kovin yleisiä.
Vihreä (ok): Oikea mittaus: turvallisuus on varmistettu tässä vaiheessa.
Löydökset toimitetaan aina dokumentaation, viitteiden ja mahdollisuuksien mukaan toisen mielipiteen linkin kanssa, jonka perusteella voidaan tehdä uusintatesti. Nämä ovat myös mittauskäytännössä. Näin saadaan tieto uuden löydöksen merkityksestä ja voidaan välittömästi varmistaa, että haavoittuvuus on korjattu.
Esimerkkejä julkaistavista haavoittuvuuksista ovat: puuttuva salaus, puuttuva DNSSEC, puuttuva security.txt, palvelun fyysinen sijainti, RPKI:n soveltaminen, julkiset versiotiedot.
Kaikkiin verkkosivustoilla oleviin tietoihin, mukaan lukien kaikki mittaukset, sovelletaan vastuuvapauslausekettamme. Siksi näiden tietojen perusteella toimiminen tapahtuu aina omalla kustannuksellasi ja omalla vastuullasi. Teemme parhaamme julkaistaaksemme aina oikeat ja ajantasaiset mitat, lue lisää tästä mittauskäytännöstä.
Miten uudet mittaukset julkaistaan
Ennen kuin uusi mittaustulos julkaistaan, siitä ilmoitetaan ensin kattojärjestöille, jotta ne voivat ryhtyä toimiin sen perusteella. Siihen mennessä mittaustulokset eivät useinkaan ole vielä oivaltavia. Vähintään kuukautta myöhemmin mittauksesta tulee näkyvä ja julkinen.
Tätä seuraa koejakso, jonka aikana mittaus luokitellaan enintään oranssiksi. Tämän koejakson aikana kaikki voivat reagoida mittaukseen ja mittausta voidaan tiukentaa. Tämä jakso kestää yleensä kuukauden tai kaksi. Tämän jakson jälkeen mittaus skaalataan uudelleen ja asetetaan mahdollisesti punaiseksi.
Esimerkkiskenaario julkaistavasta haavoittuvuudesta
Organisaatio tarvitsee verkkosivuston. Kehittämistoimisto toimittaa tämän verkkosivuston. Kehittämistoimisto käyttää vakio-ohjelmistoja ja keskittyy pääasiassa toiminnallisuuteen ja tiedottamiseen.
Verkkosivusto on käynnistymässä, mutta tietoturvaa ei ole vielä käsitelty. Sivustolle ei esimerkiksi vielä pääse salatun yhteyden kautta (1: https), ei ole takeita siitä, kuuluuko verkkotunnus sivuston ip-osoitteeseen (2: DNSSEC), ja hallintapaneeli on julkinen (3: kirjautumispaneeli), ja sen mukaan kyse on ohjelmistoversiosta 7.0.2 (4: versiotiedot).
Tämä tapaus antaa hyökkääjälle kaikenlaisia kahvoja, jotka voidaan helposti välttää. Hyökkääjän ei tarvitse nähdä juurikaan vaivaa löytääkseen ne, ja hän on jo pitkään ja laajalti automatisoinut tämän tiedon tehdäkseen mahdollisimman paljon vahinkoa tällä tavoin.
Tässä tapaustutkimuksessa hyökkääjä voi hyödyntää haavoittuvuuksia seuraavilla tavoilla: hän voi lukea samassa verkossa, kuten Wi-Fi-hotspotissa, tapahtuvaa Internet-liikennettä, koska https puuttuu (1: https), samassa verkossa hyökkääjä voi ohjata liikenteen väärennetylle sivulle (2: dnssec), hän voi yrittää kirjautua hallintasivulle missä tahansa maailmassa (3: kirjautumispaneeli) ja etsiä ja soveltaa julkisesti tunnettuja haavoittuvuuksia missä tahansa maailmassa (4: versiotiedot).
Hyökkääjillä on jo nämä tiedot, joten on tärkeää, että myös puolustettavilla on ne. Kaikissa näissä hyökkäyksissä on pohjana avoimuus ja hyvä ammattitaito.
Kun tunnettuja tietoturvakehyksiä ja standardeja noudatetaan asiantuntevasti, kaikkia näitä haavoittuvuuksia ei ole. Ajatelkaa ISO27002:ta, NEN7510:tä, Baseline Information Security Governmentia ja vastaavia. Huomaa, että tällaiset puitteet eivät ole käytännöllisiä ja että jokainen mittaa ja mittaa ratkaisut itse. Tämän seurauksena samassa tilanteessa aloittelija kirjoittaa sisällöltään erilaisen suunnitelman kuin ammattilainen. Perusturvassa asetamme tietyn riman, joka on relevantti kaikissa tapauksissa. Joidenkin mielestä tämä rima on liian korkea, toisten mielestä liian matala. Joka tapauksessa se on perusta.
Julkaisemattomat haavoittuvuudet
Perusturvassa keskitytään perusturvavaatimuksiin.
Säätiön vapaaehtoiset löytävät joskus myös vakavia haavoittuvuuksia. Tämä on sivutuote eikä säätiön tavoite. Käsittelemme asiaa seuraavasti. Vakavien haavoittuvuuksien aktiivisen etsinnän tekee ystävällismielinen DIVD-järjestö. Säätiön turvallisuus ei siis koskaan etsi aktiivisesti vakavia haavoittuvuuksia.
Jos löydämme vahingossa vakavan haavoittuvuuden, hoidamme sen seuraavasti.
Kun epäillään vakavaa haavoittuvuutta, harkitaan tapauskohtaisesti lähestymistapaa, joka tarjoaa suurimman mahdollisen turvallisuuden mahdollisimman lyhyessä ajassa. Harkinnassa on useita vaihtoehtoja:
- Jos kyseessä on uusi haavoittuvuus, jota ei vielä tunneta (ei CVE), on useita vaihtoehtoja. Se riippuu siitä, missä haavoittuvuus on havaittu ja mikä on sen vakavuus. Seuraavia polkuja harkitaan:
- Luovutetaan Alankomaiden haavoittuvuuksien paljastamista käsittelevälle instituutille. Heillä on infrastruktuuri tämän haavoittuvuuden uhrien tunnistamiseksi ja vuodosta varoittamiseksi. Tämä on ensisijainen vaihtoehtomme.
- Kun ohjelmiston luojalla on asianmukainen koordinoitu haavoittuvuuksien julkistamisprosessi, tämä haavoittuvuus välitetään myös suoraan luojalle. Tämä tapahtuu vain silloin, kun se voidaan tehdä luottamuksellisesti.
- Haavoittuvuuden ilmoittamiseen haavoittuvalle osapuolelle sovelletaan koordinoidun haavoittuvuuden julkistamisen perussääntöjä.
- Kun kyseessä on tunnettu haavoittuvuus, noudatetaan koordinoidun haavoittuvuuksien julkistamisen perussääntöjä. Tutkitaan, onko organisaatiossa käytössä tällainen prosessi.
- Jos CVD-prosessia ei ole käytössä, otetaan yhteyttä siihen turvallisuusalan kattojärjestöön, johon se kuuluu. Tämä on esimerkiksi kuntien tietoturvapalvelu tai valtionhallinnon osalta kansallinen kyberturvallisuuskeskus.
- Harkitaan raportin välittämistä turvapuhelinlinjan kautta.
- Vakavaan haavoittuvuuteen liittyvää viestintää tarkastellaan yhteistyöhön ja yhteistyöhön liittyvien perussääntöjen mukaisesti. Koska uusien haavoittuvuuksien löytäminen ja julkaiseminen ei ole tavoitteemme, uusista haavoittuvuuksista tiedottaminen, jos sitä ylipäätään tapahtuu, tapahtuu todennäköisesti sen osapuolen kautta, jolle haavoittuvuudesta ilmoitettiin, tietoturvapuhelinlinjan, DIVD:n tai vastaavan organisaation kautta.
Esimerkkejä julkaisemattomista haavoittuvuuksista ovat: SQL-injektio, cross-site scripting, heikkojen salasanojen käyttö, vuotaneet salasanat, etäkoodin suoritus, puskurin ylivuodot ja CVE:t.
Esimerkkiskenaario vakava haavoittuvuus
Tämä esimerkki perustuu todelliseen skenaarioon ja tunnettuun haavoittuvuuteen: sellaisen moduulin poistaminen käytöstä, joka teki salasanoja sisältävistä tiedostoista suoraan luettavia sivuston etusivulla (PHP:n poistaminen käytöstä). Tämä on konfigurointivirhe.
Vapaaehtoinen selaa tietoja osoitteessa basicsecurity.co.uk. Vapaaehtoinen näkee sivuston: ”oud.belangrijkeoganisation.nl”, jolla voi siis olla heikko tietoturva. Vapaaehtoinen kiinnostuu ja käy sivustolla.
Kun sivustolla vierailee, näyttää siltä, että konfiguraatiossa on jotain vikaa: sivuston lähdekoodi näkyy kauniin verkkosivuston sijasta. Lähdekoodi sisältää tietokannan salasanan ja linkkejä arkaluonteisiin tiedostoihin.
Vapaaehtoinen tietää, ettei tämä ole tarkoitus, ja neuvottelee muiden vapaaehtoisten kanssa siitä, mitä on viisasta tehdä. Kyse on yksilöstä ja tunnetusta haavoittuvuudesta, CVD-sääntöjä noudatetaan.
Vapaaehtoinen ottaa yhteyttä verkkosivuston turvallisuusorganisaatioon. Tietoja haavoittuvuudesta vaihdetaan, ja organisaatio noudattaa CVD:hen ja haavoittuvuuden ratkaisemiseen liittyviä sisäisiä prosesseja.
Organisaatio korjasi haavoittuvuuden ennakoitavissa olevassa ajassa. Joskus organisaatio päättää palkita ilmoittajan herkulla tai merkinnällä julkaisuun kunniagalleriaan.