Jogi nyilatkozat: Az oldal eredetije holland nyelven íródott. Ez az oldal automatikusan le lett fordítva más nyelvekre a DeepL segítségével. Ez árnyalatbeli, hangzásbeli és jelentésbeli eltéréseket eredményezhet. Kétség esetén először mindig a holland nyelvű változatot nézze meg. A fordítások magas költségei miatt ez az oldal tartalmilag elmaradhat a holland változattól. Az oldal holland változatát tekintjük vezetőnek.
Az Internet Cleanup Foundation rendelkezik egy magatartási kódexszel, amely meghatározza az alapelveket arra vonatkozóan, hogy milyen méréseket tesznek közzé és milyeneket nem.
Ez az oldal ezt gyakorlati példákon keresztül vizsgálja tovább.
Közcélú nyilvános mérések
Az alapvető biztonság elvileg alapvető szintű biztonságot biztosít. Ez szabadon közzétehető anélkül, hogy a visszaélések kockázatát a jelenleginél nagyobbra növelné. Tekintsük meg a mérést, ahol az általános biztonsági intézkedések hiányoznak.
A Basisbeveiliging.nl adatbázisa több mint 10 millió egyedi mérést tartalmaz. Az adatbázisban szereplő összes mérés bármikor teljes egészében közzétehető vagy kiszivárogtatható anélkül, hogy új kockázatot jelentene, amelyet egy támadó kihasználhatna.
Egy megfelelő biztonsági politikával rendelkező szervezet az alapvető biztonság terén mindig zöld utat fog mutatni: a mérések önmagukban nem újdonságok vagy sokkolóak, de az alkalmazás hiánya néha igen.
Az alapvető biztonság mérései az etikus hackelés és a biztonsági tesztelés területén vannak. Erős hasonlóságok vannak a professzionális biztonságtesztelés első lépéseivel, például a támadási felület feltérképezésével. Ez kiterjed a tartományokra, a portokra és a szoftverekre. Ezek nyilvános információk, amelyeket könnyű nagy mennyiségben összegyűjteni. Sok olyan vállalat van, amely ezt végzi, és nagyon alacsony áron vagy akár nyilvánosan és ingyenesen kínálja.
Az alapvető biztonság soha nem tesz közzé súlyos vagy kritikus sebezhetőségeket. Ezt más szervezetekre bízza, például a professzionális biztonságtesztelő cégekre, mint a Secura, a Zerocopter vagy az olyan önkéntes szervezetekre, mint a DIVD.
Közzétehető eredmények
Az Internet Cleanup Foundation a sebezhetőségekkel és a hiányzó biztonsági intézkedésekkel kapcsolatos információkat tesz közzé. Ezt azzal a céllal teszi, hogy ezeket a sebezhetőségeket kijavítsák. A magatartási kódex alapján határozzák meg, hogy egy sebezhetőséget közzé lehet-e tenni. Ennek során a közérdeket, az arányosságot és a szubszidiaritást veszik figyelembe.
A közzétehető sebezhetőségek mindenki számára nyilvánosan elérhetőek az alapvető biztonsági webhelyen. Ez automatikusan is elérhető.
A közzétehető sebezhetőségek kockázati besorolást kapnak. Ez egy másfajta kockázati besorolás, amely a biztonság világában elterjedt, mivel a mérések spektruma eltérő. Az alapvető biztonság spektruma négy fokozatot tartalmaz, amelyek aszerint vannak skálázva, hogy mi mehet rosszul. Ez ellentétben áll a szokásos biztonsági tesztekkel, amelyek ugyanazokat a megállapításokat olyan dolgokkal vetik össze, amelyek most valóban rosszul mennek. Míg az alapbiztonság „magas” értékkel értékel valamit, addig egy professzionális biztonságtesztben a teszt céljától függően „info”, „alacsony” vagy speciális esetben „közepes” értékkel írják le.
Az alapvető biztonság fokozatai idővel változnak, hogy lassan emeljék az alapvető biztonság színvonalát. Ha egy mérőszám idén narancssárga, jövőre piros lehet, hogy nagyobb figyelmet hívjon fel rá. Például a security.txt alkalmazása csak 2023 közepéig kötelező, így körülbelül ekkor nem minden szervezet fogja alkalmazni ezt a szabványt. Azonban 2024 közepére ez már elfogadhatatlan lenne, mivel egy évük lesz az alkalmazására. Erről bővebben a mérési szabályzatban olvashat.
Ezt a négy fokozatot alkalmazzuk:
Piros: ez egy magas kockázatú sebezhetőséget jelent. Itt olyan hiányosságról van szó, amelyet ki kell javítani. Vegyük például a gyenge titkosítást. A verzióinformációk kiszivárgása (értsd: megmondja a támadónak, hogy mit kell végrehajtania) és hasonlók.
Narancssárga: ez gyakran intézményekre és adminisztratív hiányosságokra vonatkozik. Olyan új mérések is, amelyeknek végül pirosnak kellene lenniük, de bevezetés céljából narancssárgára vannak skálázva: hogy a mérés láthatóvá és végrehajthatóvá váljon a felelős szervezeteknél.
Zöld (alacsony): A biztonságot érintő olyan mérés, amely olyan eltérést tartalmaz, amelynek (még) nagyon kevés hatása van, mivel kevés ember tapasztalhatja ezt a problémát, és ebben az esetben gyakran már számos súlyosabb problémának vannak kitéve. Ezt a szintet olyan méréseknél is használják, amelyek a jövőben jogi kötelezettségekkel járhatnak, de ma még nem túl gyakoriak.
Zöld (ok): Helyes mérés: a biztonság ezen a ponton biztosított.
A megállapításokat mindig dokumentációval, hivatkozásokkal és lehetőség szerint egy második véleményt tartalmazó hivatkozással látják el, amely alapján ismételt vizsgálatot lehet végezni. Ezek szintén szerepelnek a mérési szabályzatban. Ez lehetővé teszi egy új megállapítás relevanciájának megismerését és annak azonnali ellenőrzését, hogy a sebezhetőséget kijavították.
A közzétehető sebezhetőségek példái: hiányzó titkosítás, hiányzó DNSSEC, hiányzó security.txt, a szolgáltatás fizikai elhelyezkedése, az RPKI alkalmazása, nyilvános verzióinformáció.
A weboldalakon található minden információra, beleértve a méréseket is, vonatkozik a jogi nyilatkozatunk. Ezért a megállapítások alapján történő cselekvés mindig az Ön saját költségére és kockázatára történik. Mindent megteszünk annak érdekében, hogy mindig helyes és naprakész méréseket tegyünk közzé, erről bővebben a mérési szabályzatban olvashat.
Hogyan teszik közzé az új méréseket
Mielőtt egy új mérést közzétesznek, először bejelentik az ernyőszervezeteknek, hogy a szervezetek intézkedhessenek. Addigra maguk a mérési eredmények gyakran még nem tartalmaznak tanulságos információkat. Legalább egy hónappal később a mérés láthatóvá és nyilvánossá válik.
Ezt követi egy próbaidőszak, amely alatt a mérés legfeljebb narancssárga minősítést kap. A próbaidőszak alatt mindenki reagálhat a mérésre, és a mérés szigorítható. Ez az időszak általában egy-két hónapig tart. Ezen időszak után a mérést újra besorolják, és esetleg pirosra állítják be.
Példa forgatókönyv közzétehető sebezhetőség
Egy szervezetnek szüksége van weboldalra. Ezt a weboldalt egy fejlesztési ügynökség szállítja. Ez a fejlesztő ügynökség szabványos szoftvert használ, és elsősorban a funkcionalitásra és az információra összpontosít.
A weboldal élesedik, de a biztonsággal még nem foglalkoztak. Például a webhely még nem érhető el titkosított kapcsolaton keresztül (1: https), nincs garancia arra, hogy a domain név tartozik-e a webhely ip-címéhez (2: DNSSEC), és van egy nyilvános kezelőpanel (3: bejelentkezési panel), amely azt mutatja, hogy a szoftver 7.0.2-es verziójáról van szó (4: verzióinformáció).
Ez az eset mindenféle fogást ad a támadónak, amit könnyen ki lehet kerülni. A támadónak kevés vagy semmilyen erőfeszítésre nincs szüksége ahhoz, hogy megtalálja őket, és már régóta és széles körben automatizálta ezt a tudást, hogy így minél több kárt okozzon.
Ebben az esettanulmányban egy támadó a következő módon használhatja ki a sebezhetőségeket: ugyanazon a hálózaton, például egy Wi-Fi hotspoton az internetes forgalommal együtt olvashat, mert hiányzik a https (1: https), ugyanazon a hálózaton a támadó átirányíthatja a forgalmat egy hamis oldalra (2: dnssec), kísérletet tehet a világ bármely pontján a kezelőoldalra való bejelentkezésre (3: bejelentkezési panel), és a világ bármely pontján nyilvánosan ismert sebezhetőségeket kereshet és alkalmazhat (4: verzióinformáció).
A támadók már rendelkeznek ezekkel az információkkal, ezért fontos, hogy azok is rendelkezzenek velük, akiknek védekezniük kell. Mindezen támadások alapja a nyitottság és a jó szakmai hozzáértés.
Ha az ismert biztonsági keretrendszereket és szabványok keretrendszereit hozzáértő módon követik, mindezek a sebezhetőségek nincsenek jelen. Gondoljunk csak az ISO27002-re, a NEN7510-re, a Baseline Information Security Governmentre és hasonlókra. Vegye figyelembe, hogy az ilyen keretrendszerek nem gyakorlatiasak, és mindenki maga mérje és mérje a megoldásokat. Ennek eredményeképpen ugyanabban a helyzetben egy kezdő más tartalmi tervet fog írni, mint egy profi. Az alapbiztonságban egy bizonyos lécet állítunk fel, ami minden esetben releváns. Egyesek ezt a lécet túl magasnak, mások túl alacsonynak találják. Mindenesetre ez az alap.
Nem közzétehető sebezhetőségek
Az alapvető biztonság az alapvető biztonsági követelményekre összpontosít.
Az alapítvány önkéntesei néha komoly sebezhetőségeket is találnak. Ez melléktermék és nem az alapítvány célja. Az alábbi módon kezeljük ezt. A komoly sebezhetőségek aktív keresését a DIVD baráti szervezet végzi. Tehát az alapítvány biztonsága soha nem keres aktívan súlyos sebezhetőségeket.
Ha véletlenül komoly sebezhetőséget találnánk, az alábbiakban ismertetjük, hogyan kezeljük azt.
Súlyos sérülékenység gyanúja esetén itt eseti alapon mérlegelik azt a megközelítést, amely a legrövidebb idő alatt a legnagyobb biztonságot nyújtja. Többféle lehetőség is szóba jöhet:
- Ha egy új, még nem ismert sebezhetőségről van szó (nem CVE), akkor több lehetőség is van. Ez attól függ, hogy hol azonosították a sebezhetőséget és milyen súlyosságú. A következő utak jöhetnek szóba:
- Átadás a holland sebezhetőséget feltáró intézetnek. Ők rendelkeznek az infrastruktúrával ahhoz, hogy azonosítsák a sebezhetőség áldozatait, és figyelmeztessenek a kiszivárgásra. Ez az intézkedés az általunk előnyben részesített lehetőség.
- Ha a szoftver készítője megfelelő koordinált sebezhetőségi közzétételi eljárással rendelkezik, akkor ez a sebezhetőség is közvetlenül a készítőhöz kerül. Ez csak akkor történik, ha ez bizalmasan megtehető.
- A sebezhető fél értesítésére a koordinált sebezhetőség közzététele körüli alapszabályokat alkalmazzák.
- Ha ismert sebezhetőségről van szó, akkor a koordinált sebezhetőség-közzétételre vonatkozó alapszabályokat kell követni. Megvizsgálják, hogy a szervezet rendelkezik-e ilyen eljárással.
- Ha nincs CVD-eljárás, akkor felveszik a kapcsolatot azzal a biztonsági ernyőszervezettel, amelyhez tartozik. Ez például az Önkormányzatok Információbiztonsági Szolgálata vagy a nemzeti kormányzat esetében a Nemzeti Kiberbiztonsági Központ.
- Megfontolás tárgyát képezi a jelentés továbbítása a biztonsági forródróton keresztül.
- A súlyos sérülékenységgel kapcsolatos kommunikációt az együttműködési és ellenőrzési irányelvek alapszabályai szerint fogják figyelembe venni. Mivel az új sebezhetőségek megtalálása és közzététele nem célunk, az új sebezhetőségekkel kapcsolatos kommunikáció – ha egyáltalán sor kerül rá – valószínűleg azon a félen keresztül történik, akinek jelentették, a biztonsági forródróton, a DIVD-n vagy egy hasonló szervezeten keresztül.
Példák a nem publikálható sebezhetőségekre: SQL-injekció, cross-site scripting, gyenge jelszavak használata, kiszivárgott jelszavak, távoli kódfuttatás, puffer túlcsordulás és CVE-k.
Példa forgatókönyv súlyos sebezhetőség
Ez a példa egy valós forgatókönyvön és egy ismert sebezhetőségen alapul: egy olyan modul letiltása, amely a jelszavakat tartalmazó fájlokat közvetlenül olvashatóvá tette egy webhely kezdőlapján (a PHP letiltása). Ez egy konfigurációs hiba.
Egy önkéntes a basicsecurity.co.uk oldalon böngészi az információkat. Az önkéntes meglát egy oldalt: „oud.belangrijkeoganisation.nl”, amely tehát gyenge biztonsági szintet képviselhet. Az önkéntes érdeklődik, és meglátogatja az oldalt.
Az oldalra látogatva úgy tűnik, hogy valami baj van a konfigurációval: a gyönyörű weboldal helyett az oldal forráskódja látható. Ez a forráskód egy adatbázis jelszavát és érzékeny fájlokra mutató linkeket tartalmaz.
Az önkéntes tudja, hogy nem ez a szándéka, és konzultál más önkéntesekkel arról, hogy mi a bölcs dolog. Egyéni és ismert sérülékenységről van szó, a CVD szabályokat követik.
Az önkéntes felveszi a kapcsolatot a weboldalhoz tartozó biztonsági szervezettel. A sebezhetőséggel kapcsolatos információk cseréjére kerül sor, és a szervezet követi a CVD-vel és a sebezhetőségek megoldásával kapcsolatos belső folyamatokat.
A szervezet belátható időn belül orvosolta a sebezhetőséget. Néha a szervezet úgy dönt, hogy a bejelentőt jutalmazza valamilyen ajándékkal vagy bejegyzéssel a Hírességek Csarnokába.