Séanadh: Scríobhadh an leathanach seo i ndáiríre i Ollainnis. Aistríodh an leathanach seo go huathoibríoch go teangacha eile ag baint úsáide as DeepL. D’fhéadfadh difríochtaí a bheith mar thoradh air seo i nuance, ton agus brí. I gcás amhrais, téigh i gcomhairle leis an leagan Ollainnise ar dtús i gcónaí. Mar gheall ar chostais arda na n-aistriúchán, d’fhéadfadh sé go mbeadh an leathanach seo ar gcúl leis an leagan Ollainnise ó thaobh ábhair de. Measaimid an leagan Ollainnise den leathanach seo mar an leagan ceannasach.
Tá cód iompair ag Fondúireacht Glantacháin Idirlín ina leagtar amach na prionsabail bhunúsacha maidir le cé na tomhais a fhoilsítear agus cé na tomhais nach bhfoilsítear.
Déantar é seo a fhorbairt tuilleadh ar an leathanach seo le samplaí praiticiúla.
Tomhais phoiblí le cuspóir poiblí
Ar an gcéad dul síos, tomhaiseann Basisbeveiliging slándáil ar an mbunleibhéal. Is féidir é seo a fhoilsiú go saor gan an baol mí-úsáide a bheith níos mó ná mar atá sé cheana féin. Smaoinigh ar thomhas nuair a bhíonn bearta slándála coitianta in easnamh.
Tá níos mó ná 10 milliún tomhas uathúil i mbunachar sonraí Basisbeveiliging.nl. Is féidir gach tomhas sa bhunachar sonraí a fhoilsiú go hiomlán, nó a sceitheadh, tráth ar bith, gan rioscaí nua a chruthú ar féidir le hionsaitheoir leas a bhaint astu.
Beidh eagraíocht a bhfuil beartas slándála leordhóthanach aici glas i gcónaí ar shlándáil bhunúsach: níl na tomhais féin ina nuacht ná ina n-ábhar iontais, ach is féidir leis an easpa feidhme a bheith uaireanta.
Tá tomhais na slándála bunúsaí i réimse na hackála eiticiúla agus na tástála slándála. Tá cosúlachtaí láidre ann leis na chéad chéimeanna de thástálacha slándála gairmiúla, amhail an dromchla ionsaithe a mhapáil. Baineann sé sin le fearainn, poirt agus bogearraí. Is faisnéis phoiblí í seo atá furasta a bhailiú ar scála mór. Tá go leor cuideachtaí ann a dhéanann é seo agus a thairgeann é ar chostas an-íseal nó fiú go poiblí agus saor in aisce.
Ní fhoilsíonn Basisbeveiliging leochaileachtaí tromchúiseacha nó criticiúla riamh. Fágann siad sin d’eagraíochtaí eile, amhail cuideachtaí tástála slándála gairmiúla ar nós Secura, Zerocopter nó eagraíochtaí deonacha ar nós an DIVD.
Torthaí infhoilsithe
Foilseoidh Fondúireacht Glantacháin Idirlín faisnéis faoi leochaileachtaí agus bearta slándála atá in easnamh. Déanann siad é seo d’fhonn na leochaileachtaí seo a réiteach. Ar bhonn an chóid iompair, cinntear an féidir leochaileacht a fhoilsiú. Breathnaítear anseo ar an leas ginearálta, ar chomhréireacht agus ar fho-ordú.
Tá leochaileachtaí infhoilsithe le feiceáil go poiblí do gach duine ar shuíomh gréasáin na slándála bunúsaí. Is féidir dul i gcomhairle leis seo go huathoibríoch freisin.
Déantar leochaileachtaí infhoilsithe a mheasúnú ar bhonn riosca. Is aicmiú riosca difriúil é seo ná mar a bhíonn i saol na slándála toisc go bhfuil speictream na dtomhas difriúil. Tá ceithre ghrád ag an speictream ar shlándáil bhunúsach a scálaítear ar a bhféadfadh dul mícheart. Tá sé seo i gcodarsnacht le tástálacha slándála coitianta, ina gcuirtear na torthaí céanna i gcomparáid le rudaí a théann mícheart i ndáiríre faoi láthair. Nuair a dhéanann Basisbeveiliging luacháil ar rud éigin mar “ard”, cuirfear “faisnéis”, “íseal” nó i gcás ar leith “meánach” air seo i dtástáil slándála ghairmiúil, ag brath ar chuspóir na tástála.
Athraíonn na gráid ar shlándáil bhunúsach le himeacht ama, chun an barra slándála bunúsaí a ardú go mall. Nuair a bhíonn tomhas oráiste i mbliana, d’fhéadfadh sé a bheith dearg an bhliain seo chugainn chun aird níos mó a tharraingt air. Mar shampla, níl feidhmiú security.txt éigeantach ach amháin ó lár 2023, mar sin ní chuirfidh gach eagraíocht an caighdeán seo i bhfeidhm timpeall an ama sin. Mar sin féin, bheadh sé seo do-ghlactha faoi lár 2024 toisc go mbeadh bliain acu chun é a chur i bhfeidhm. Tá tuilleadh eolais faoi seo sa bheartas tomhais.
Seo iad na ceithre ghrád a chuirimid i bhfeidhm:
Dearg: seasann sé seo do leochaileacht ardriosca. Baineann sé seo le neamhfhoirfeacht nach mór a réiteach. Smaoinigh, mar shampla, ar chriptiú lag. Sceitheadh faisnéise faoi leagan (i.e. ag insint cén ionsaí ar cheart d’ionsaitheoir a dhéanamh) agus a leithéidí.
Oráiste: is minic a bhaineann sé seo le socruithe agus neamhfhoirfeachtaí riaracháin. Chomh maith leis sin, déantar tomhais nua a bhfuil sé i gceist acu a bheith dearg ar deireadh, ach a rangaítear mar oráiste mar réamhrá: chun an tomhas a dhéanamh infheicthe agus inchaingne do na heagraíochtaí freagracha.
Glas (íseal): Tomhas a bhaineann le diallas ar shlándáil nach bhfuil (fós) mórán tionchair aige toisc nach bhfuil ach fíorbheagán daoine ann a d’fhéadfadh an fhadhb seo a bheith acu, agus sa chás sin is minic a nochtar do raon leathan ábhar níos tromchúisí cheana féin. Úsáidtear an leibhéal seo freisin le haghaidh tomhais a d’fhéadfadh oibleagáidí dlíthiúla a bheith i gceist leo sa todhchaí, ach nach bhfuil an-choitianta inniu.
Glas (ceart go leor): Tomhas ceart: tá an tsábháilteacht ráthaithe ag an bpointe seo.
Cuirtear doiciméadú, tagairtí agus, nuair is féidir, nasc dara tuairim ar fáil i gcónaí do thorthaí ar féidir atástáil a dhéanamh orthu. Tá siad seo sa bheartas tomhais freisin. Ligeann sé seo duit eolas a fháil faoin ábharthacht agus a sheiceáil láithreach an bhfuil an leochaileacht réitithe nuair a aimsítear toradh nua.
Seo a leanas samplaí de leochaileachtaí infhoilsithe: cripteáil atá in easnamh, DNSSEC atá in easnamh, security.txt atá in easnamh, suíomh fisiciúil na seirbhíse, feidhmiú RPKI, faisnéis leagain phoiblí.
Tá gach faisnéis ar na suíomhanna gréasáin, lena n-áirítear gach tomhas, faoi réir ár séanadh. Dá bhrí sin, tá gníomhú ar bhonn na dtorthaí seo i gcónaí ar do phriacal agus ar do chostas féin. Déanaimid ár ndícheall tomhais chearta agus cothrom le dáta a fhoilsiú i gcónaí, léigh tuilleadh faoi seo sa bheartas tomhais.
Conas a fhoilsítear tomhais nua
Sula bhfoilsítear tomhas nua, fógraítear é seo ar dtús d’eagraíochtaí scátháin ionas gur féidir le heagraíochtaí bearta a dhéanamh ina leith seo. Is minic nach mbíonn na torthaí tomhais féin infheicthe ansin. Ar a laghad mí ina dhiaidh sin, bíonn an tomhas infheicthe agus poiblí.
Ina dhiaidh seo, leanann tréimhse trialach ina ndéantar an tomhas a rátáil mar oráiste ar a mhéad. Le linn na tréimhse trialach sin, is féidir le gach duine freagairt don tomhas agus féadfar an tomhas a dhéanamh níos déine. De ghnáth maireann an tréimhse seo mí nó dhó. Tar éis na tréimhse seo, déantar an tomhas a athmheasúnú agus féadfar é a chur ar dearg.
Sampla de chás leochaileachta infhoilsithe
Teastaíonn suíomh gréasáin ó eagraíocht. Seachadann gnólacht forbartha an suíomh gréasáin seo. Úsáideann an gnólacht forbartha seo bogearraí caighdeánacha agus díríonn sé go príomha ar fheidhmiúlacht agus faisnéis.
Téann an suíomh gréasáin beo, ach níl aon bhreathnú déanta ar an tslándáil fós. Mar shampla, níl an suíomh inrochtana fós trí nasc criptithe (1: https), níl aon ráthaíochtaí ann go mbaineann an t-ainm fearainn le seoladh IP an tsuímh (2: DNSSEC) agus tá painéal bainistíochta poiblí (3: painéal logáil isteach) a thaispeánann go mbaineann sé le leagan bogearraí 7.0.2 (4: faisnéis leagain).
Tugann an cás seo gach cineál uirlisí d’ionsaitheoir ar féidir iad a chosc go héasca. Ní gá d’ionsaitheoir mórán iarrachta a dhéanamh chun iad seo a aimsiú, agus tá an t-eolas seo uathoibrithe acu go forleathan chun an oiread damáiste agus is féidir a dhéanamh ar an mbealach seo.
Sa chás seo, is féidir le hionsaitheoirí mí-úsáid a bhaint as leochaileachtaí ar na bealaí seo a leanas: is féidir leo éisteacht le trácht idirlín ar an líonra céanna, mar shampla hotspot wifi, toisc go bhfuil https in easnamh (1: https), ar an líonra céanna is féidir leis an ionsaitheoir an trácht a atreorú chuig leathanach bréagach (2: dnssec), is féidir le daoine ar fud an domhain iarracht a dhéanamh logáil isteach ar an leathanach bainistíochta (3: painéal logáil isteach) agus leochaileachtaí a bhfuil aithne orthu go poiblí a chuardach agus a chur i bhfeidhm ar fud an domhain (4: faisnéis leagain).
Tá an fhaisnéis seo ag ionsaitheoirí cheana féin, agus sin an fáth go bhfuil sé tábhachtach go mbeadh sé ar fáil freisin do na daoine a chaithfidh cosaint a dhéanamh. Tá bunús leis na hionsaithe seo go léir i nochtadh agus i gceardaíocht mhaith.
Nuair a leanann na creataí agus na creatlach slándála aitheanta go saineolach, níl aon cheann de na leochaileachtaí seo i láthair. Smaoinigh ar ISO27002, NEN7510, Bunlíne Slándála Faisnéise Rialtais agus a leithéidí. Tabhair faoi deara nach bhfuil creataí den sórt sin praiticiúil agus go ligeann siad do gach duine réitigh a thomhas agus a chur in oiriúint dóibh féin. Mar thoradh air sin, scríobhfaidh tosaitheoir plean difriúil go substaintiúil ná gairmí sa chás céanna. Le slándáil bhunúsach, leagaimid barra áirithe atá ábhartha i ngach cás. Measann cuid acu go bhfuil an barra seo ró-ard, measann daoine eile go bhfuil sé ró-íseal. Is é an bunús é ar aon nós.
Leochaileachtaí neamh-infhoilsithe
Díríonn Basisbeveiliging ar riachtanais bhunúsacha sábháilteachta.
Uaireanta aimsíonn oibrithe deonacha na fondúireachta leochaileachtaí tromchúiseacha freisin. Is fo-ghabháil é seo agus ní cuspóir na fondúireachta é. Seo an chaoi a ndéileálann muid leis seo. Déanann eagraíocht chairdiúil DIVD cuardach gníomhach ar leochaileachtaí tromchúiseacha. Mar sin ní dhéanann Basisbeveiliging cuardach gníomhach ar leochaileachtaí tromchúiseacha riamh.
Má aimsímid leochaileacht thromchúiseach trí thimpiste, seo thíos an chaoi a ndéileálann muid leis.
I gcás amhrais faoi leochaileacht thromchúiseach, déantar athbhreithniú ar bhonn cás ar chás ar an gcur chuige a sholáthraíonn an tsábháilteacht is mó sa ghearrthéarma. Tá roinnt roghanna ann a mbreithnítear orthu:
- Más leochaileacht nua í nach bhfuil ar eolas go fóill (gan CVE), tá roinnt roghanna ann. Braitheann sé ar an áit ar sainaithníodh an leochaileacht agus cé chomh tromchúiseach is atá sé. Déantar na cosáin seo a leanas a bhreithniú:
- Aistriú chuig an Institiúid Dúitseach um Nochtadh Leochaileachta. Tá an bonneagar acu chun íospartaigh na leochaileachta seo a aithint agus a chur ar an eolas faoin sceitheadh. Is é an gníomh seo is fearr linn.
- Nuair a bhíonn próiseas maith Nochtadh Leochaileachta Comhordaithe ag déantóir na mbogearraí, seoltar an leochaileacht seo chuig an déantóir go díreach freisin. Ní tharlaíonn sé seo ach amháin nuair is féidir é a dhéanamh faoi rún.
- Cuirtear na rialacha maidir le Nochtadh Leochaileachta Comhordaithe i bhfeidhm chun an páirtí leochaileach a chur ar an eolas.
- Nuair a bhaineann sé le leochaileacht aitheanta, leanfar na rialacha maidir le Nochtadh Leochaileachta Comhordaithe. Breathnaítear an bhfuil próiseas den sórt sin bunaithe ag an eagraíocht.
- Mura bhfuil próiseas CVD bunaithe, déantar teagmháil leis an eagraíocht scáth slándála faoinar thiteann an eagraíocht seo. Mar shampla, is é an Seirbhís Slándála Faisnéise do Bhardais nó an Ionad Náisiúnta um Shlándáil Chibear don rialtas náisiúnta.
- Déantar breithniú ar an tuarascáil a chur ar aghaidh tríd an Pointe Tuairiscithe Slándála.
- Déantar breithniú ar chumarsáid faoin leochaileacht thromchúiseach de réir rialacha CVD. Toisc nach é ár gcuspóir leochaileachtaí nua a aimsiú agus a fhoilsiú, is dócha go rithfidh an chumarsáid faoi leochaileachtaí nua, má tharlaíonn sé seo riamh, tríd an bpáirtí ar cuireadh in iúl dó, an Pointe Tuairiscithe Slándála, an DIVD nó eagraíocht dá samhail.
Seo a leanas samplaí de leochaileachtaí neamh-infhoilsithe: instealladh SQL, script tras-láithreáin, úsáid pasfhocail laga, pasfhocail sceite, forghníomhú cód cianda, ró-shreabhadh maolán agus CVEanna.
Sampla de chás leochaileachta tromchúiseach
Tá an sampla seo bunaithe ar chás fíor agus ar leochaileacht aitheanta: modúl a mhúchadh a d’fhág comhaid le pasfhocail inléite go díreach ar phríomhleathanach suímh (PHP a dhíchumasú). Is earráid chumraíochta é seo.
Tá oibrí deonach ag brabhsáil trí fhaisnéis ar basisbeveiliging.nl. Feiceann an t-oibrí deonach suíomh: “sean.eagraíochtthábhachtach.nl”, agus mar sin b’fhéidir slándáil lag. Bíonn an t-oibrí deonach fiosrach agus tugann sé cuairt ar an suíomh.
Nuair a thugtar cuairt ar an suíomh, is léir go bhfuil rud éigin cearr leis an gcumraíocht: is féidir cód foinse an tsuímh a fheiceáil, in ionad suíomh gréasáin deas. Sa chód foinse seo tá pasfhocal an bhunachair sonraí agus naisc chuig comhaid íogaire.
Tá a fhios ag an oibrí deonach nach é seo an rún atá leis agus téann sé i gcomhairle le hoibrithe deonacha eile faoi cad is ciallmhaire a dhéanamh. Baineann sé seo le leochaileacht aonair agus aitheanta, leanfar rialacha CVD.
Téann an t-oibrí deonach i dteagmháil leis an eagraíocht slándála a bhaineann leis an suíomh gréasáin. Déantar faisnéis faoin leochaileacht a mhalartú agus leanann an eagraíocht na próisis inmheánacha a bhaineann le CVD agus leochaileachtaí a réiteach.
Tá an leochaileacht réitithe ag an eagraíocht laistigh de thréimhse réasúnta ama. Uaireanta roghnaíonn an eagraíocht luach saothair a thabhairt don tuairisceoir le hearra nó lua sa halla na clú.