Polityka publikacji

Zastrzeżenie: Oryginał tej strony został napisany w języku niderlandzkim. Ta strona została automatycznie przetłumaczona na inne języki za pomocą DeepL. Może to skutkować różnicami w niuansach, tonie i znaczeniu. W razie wątpliwości należy zawsze najpierw zapoznać się z wersją holenderską. Ze względu na wysokie koszty tłumaczeń, niniejsza strona może pozostawać w tyle za wersją holenderską pod względem treści. Uważamy holenderską wersję tej strony za wiodącą.

Internet Cleanup Foundation posiada kodeks postępowania, który określa podstawowe zasady dotyczące tego, jakie pomiary są, a jakie nie są publikowane.

Ta strona omawia tę kwestię na praktycznych przykładach.

Pomiary publiczne mające cel publiczny

Zasadniczo Basic Security zapewnia bezpieczeństwo na poziomie podstawowym. Można je swobodnie publikować bez zwiększania ryzyka nadużyć ponad to, co już jest. Należy rozważyć zmierzenie, gdzie brakuje powszechnych środków bezpieczeństwa.

Baza danych Basisbeveiliging.nl zawiera ponad 10 milionów unikalnych pomiarów. Wszystkie pomiary w bazie danych mogą zostać opublikowane w całości w dowolnym momencie lub wyciec, bez tworzenia nowych zagrożeń, które atakujący może wykorzystać.

Organizacja posiadająca odpowiednią politykę bezpieczeństwa zawsze będzie zielona w zakresie podstawowych zabezpieczeń: pomiary same w sobie nie są nowością ani szokujące, ale brak ich zastosowania może być czasami szokujący.

Pomiary podstawowych zabezpieczeń znajdują się w obszarze etycznego hakowania i testowania bezpieczeństwa. Istnieją silne podobieństwa z pierwszymi krokami profesjonalnego testowania bezpieczeństwa, takimi jak mapowanie powierzchni ataku. Obejmuje to domeny, porty i oprogramowanie. Są to informacje publiczne, które łatwo zebrać na dużą skalę. Istnieje wiele firm, które to robią i oferują to po bardzo niskich kosztach lub nawet publicznie i za darmo.

Basic Security nigdy nie publikuje poważnych lub krytycznych luk w zabezpieczeniach. Pozostawia to innym organizacjom, takim jak profesjonalne firmy testujące bezpieczeństwo, takie jak Secura, Zerocopter lub organizacje wolontariackie, takie jak DIVD.

Ustalenia nadające się do publikacji

Internet Cleanup Foundation publikuje informacje na temat luk w zabezpieczeniach i brakujących środków bezpieczeństwa. Robi to w celu naprawienia tych luk. Na podstawie kodeksu postępowania określa się, czy dana luka może zostać opublikowana. W tym przypadku brany jest pod uwagę interes publiczny, proporcjonalność i pomocniczość.

Luki w zabezpieczeniach, które można opublikować, są publicznie dostępne dla wszystkich na podstawowej stronie bezpieczeństwa. Dostęp do niej można również uzyskać automatycznie.

Możliwe do opublikowania luki w zabezpieczeniach są oceniane według ryzyka. Jest to inna ocena ryzyka powszechna w świecie bezpieczeństwa, ponieważ spektrum pomiarów jest inne. Spektrum podstawowych zabezpieczeń ma cztery stopnie, które są skalowane na podstawie tego, co może potencjalnie pójść źle. Kontrastuje to ze zwykłymi testami bezpieczeństwa, które porównują te same wyniki z rzeczami, które naprawdę idą źle. Tam, gdzie Basic Security ocenia coś jako „wysokie”, w profesjonalnym teście bezpieczeństwa zostanie to ocenione jako „info”, „niskie” lub w szczególnym przypadku jako „średnie”, w zależności od celu testu.

Stopnie podstawowego bezpieczeństwa zmieniają się w czasie, aby powoli podnosić poprzeczkę podstawowego bezpieczeństwa. Tam, gdzie pomiar jest pomarańczowy w tym roku, może być czerwony w przyszłym roku, aby zwrócić na niego większą uwagę. Na przykład stosowanie security.txt nie jest obowiązkowe do połowy 2023 r., więc mniej więcej w tym czasie nie wszystkie organizacje będą stosować ten standard. Jednak do połowy 2024 r. byłoby to niedopuszczalne, ponieważ będą miały rok na jego zastosowanie. Więcej informacji na ten temat znajduje się w polityce pomiarów.

Są to cztery stopnie, które stosujemy:

Czerwony: oznacza lukę w zabezpieczeniach wysokiego ryzyka. W tym przypadku chodzi o niedoskonałość, którą należy naprawić. Weźmy na przykład słabe szyfrowanie. Wyciek informacji o wersji (czytaj: mówienie atakującemu, co ma wykonać) i tym podobne.

Pomarańczowy: często dotyczy instytucji i niedociągnięć administracyjnych. Również nowe pomiary, które ostatecznie powinny być czerwone, ale są skalowane jako pomarańczowe do wprowadzenia: aby pomiar był widoczny i możliwy do podjęcia działań w odpowiedzialnych organizacjach.

Zielony (niski): Pomiar obejmujący odchylenie w zakresie bezpieczeństwa, które ma bardzo niewielki wpływ (jeszcze), ponieważ niewiele osób może doświadczyć tego problemu, a w takim przypadku często są one już narażone na wiele poważniejszych kwestii. Poziom ten jest również stosowany w przypadku pomiarów, które mogą wiązać się ze zobowiązaniami prawnymi w przyszłości, ale obecnie nie są zbyt powszechne.

Zielony (ok): Prawidłowy pomiar: w tym momencie zapewnione jest bezpieczeństwo.

Wyniki są zawsze dostarczane wraz z dokumentacją, referencjami i, jeśli to możliwe, linkiem do drugiej opinii, na podstawie której można przeprowadzić ponowny test. Są one również zawarte w polityce pomiarów. Pozwala to na poznanie znaczenia nowego odkrycia i natychmiastową weryfikację, czy luka została naprawiona.

Przykłady możliwych do opublikowania luk w zabezpieczeniach obejmują: brak szyfrowania, brak DNSSEC, brak security.txt, fizyczną lokalizację usługi, zastosowanie RPKI, publiczne informacje o wersji.

Wszystkie informacje na stronach internetowych, w tym wszystkie pomiary, podlegają naszemu wyłączeniu odpowiedzialności. Korzystanie z tych informacji odbywa się zawsze na własny koszt i ryzyko użytkownika. Dokładamy wszelkich starań, aby zawsze publikować prawidłowe i aktualne pomiary, przeczytaj więcej na ten temat w polityce pomiarów.

Jak publikowane są nowe pomiary?

Zanim nowy pomiar zostanie opublikowany, jest on najpierw ogłaszany organizacjom parasolowym, aby mogły one podjąć działania na jego podstawie. Do tego czasu same wyniki pomiarów często nie są jeszcze wnikliwe. Co najmniej miesiąc później pomiar staje się widoczny i publiczny.

Po tym nastąpi okres próbny, podczas którego pomiar będzie oceniany co najwyżej na pomarańczowo. Podczas tego okresu próbnego każdy może zareagować na pomiar i pomiar może zostać zaostrzony. Okres ten trwa zazwyczaj miesiąc lub dwa. Po tym okresie pomiar jest ponownie skalowany i ewentualnie ustawiany na kolor czerwony.

Przykładowy scenariusz podatności możliwy do opublikowania

Organizacja potrzebuje strony internetowej. Strona ta jest dostarczana przez agencję programistyczną. Agencja ta korzysta ze standardowego oprogramowania i koncentruje się głównie na funkcjonalności i informacjach.

Strona zaczyna działać, ale nie zajęto się jeszcze kwestią bezpieczeństwa. Na przykład witryna nie jest jeszcze dostępna za pośrednictwem szyfrowanego połączenia (1: https), nie ma gwarancji, czy nazwa domeny należy do adresu IP witryny (2: DNSSEC) i istnieje publiczny panel zarządzania (3: panel logowania) pokazujący, że jest to wersja oprogramowania 7.0.2 (4: informacje o wersji).

Ten przypadek daje atakującemu wszelkiego rodzaju uchwyty, których można łatwo uniknąć. Atakujący nie potrzebuje wiele wysiłku, aby je znaleźć i od dawna i szeroko zautomatyzował tę wiedzę, aby wyrządzić jak najwięcej szkód w ten sposób.

W tym studium przypadku atakujący może wykorzystać luki w następujący sposób: może czytać wraz z ruchem internetowym w tej samej sieci, takiej jak hotspot Wi-Fi, ponieważ brakuje protokołu https (1: https), w tej samej sieci atakujący może przekierować ruch na fałszywą stronę (2: dnssec), można podejmować próby zalogowania się na stronę zarządzania w dowolnym miejscu na świecie (3: panel logowania) oraz wyszukiwać i stosować publicznie znane luki w dowolnym miejscu na świecie (4: informacje o wersji).

Atakujący mają już te informacje, więc ważne jest, aby ludzie, którzy muszą się bronić, również je mieli. We wszystkich tych atakach podstawą jest otwartość i dobry profesjonalizm.

Gdy znane ramy bezpieczeństwa i standardy są kompetentnie przestrzegane, wszystkie te luki nie występują. Pomyśl o ISO27002, NEN7510, Baseline Information Security Government i tym podobnych. Należy pamiętać, że takie ramy nie są praktyczne i pozwalają każdemu samodzielnie mierzyć i mierzyć rozwiązania. W rezultacie w tej samej sytuacji nowicjusz napisze inny plan pod względem treści niż profesjonalista. W podstawowym bezpieczeństwie ustawiamy pewną poprzeczkę, która jest istotna we wszystkich przypadkach. Niektórzy uważają tę poprzeczkę za zbyt wysoką, inni za zbyt niską. W każdym razie jest to podstawa.

Luki w zabezpieczeniach niepodlegające publikacji

Podstawowe zabezpieczenia koncentrują się na podstawowych wymaganiach bezpieczeństwa.

Wolontariusze fundacji również czasami znajdują poważne luki w zabezpieczeniach. Jest to produkt uboczny, a nie cel fundacji. Oto jak sobie z tym radzimy. Aktywne wyszukiwanie poważnych luk w zabezpieczeniach jest wykonywane przez zaprzyjaźnioną organizację DIVD. Tak więc bezpieczeństwo bazy nigdy aktywnie nie wyszukuje poważnych luk.

Jeśli przypadkowo znajdziemy poważną lukę w zabezpieczeniach, poniżej przedstawiamy sposób postępowania z nią.

W przypadku podejrzenia poważnej podatności, podejście zapewniające największe bezpieczeństwo w najkrótszym czasie jest rozważane indywidualnie dla każdego przypadku. Rozważanych jest kilka opcji:

  1. Jeśli jest to nowa luka, która nie jest jeszcze znana (nie jest to CVE), istnieje wiele opcji. Zależy to od tego, gdzie luka została zidentyfikowana i jaka jest jej waga. Rozważane są następujące ścieżki:
  2. Jeśli chodzi o znaną podatność, przestrzegane są podstawowe zasady dotyczące skoordynowanego ujawniania podatności. Sprawdzane jest, czy organizacja wdrożyła taki proces.
  3. Rozważane jest przekazanie raportu za pośrednictwem infolinii ds. bezpieczeństwa.
  4. Komunikacja dotycząca poważnej luki w zabezpieczeniach będzie rozpatrywana zgodnie z podstawowymi zasadami CVD. Ponieważ znajdowanie i publikowanie nowych luk w zabezpieczeniach nie jest naszym celem, komunikacja na temat nowych luk w zabezpieczeniach, jeśli w ogóle będzie miała miejsce, prawdopodobnie będzie odbywać się za pośrednictwem strony, której zgłoszono lukę, infolinii ds. bezpieczeństwa, DIVD lub podobnej organizacji.

Przykłady luk niepodlegających publikacji obejmują: SQL injection, cross-site scripting, użycie słabych haseł, wyciek haseł, zdalne wykonanie kodu, przepełnienia bufora i CVE.

Przykładowy scenariusz poważnej podatności

Ten przykład opiera się na prawdziwym scenariuszu i znanej luce: wyłączenie modułu, który sprawiał, że pliki zawierające hasła były bezpośrednio odczytywane na pierwszej stronie witryny (wyłączenie PHP). Jest to błąd konfiguracji.

Wolontariusz przegląda informacje na stronie basicsecurity.pl. Wolontariusz widzi stronę: „oud.belangrijkeoganisation.nl”, która może mieć słabe zabezpieczenia. Wolontariusz jest zainteresowany i odwiedza stronę.

Po wejściu na stronę okazuje się, że coś jest nie tak z konfiguracją: zamiast pięknej witryny widać jej kod źródłowy. Ten kod źródłowy zawiera hasło do bazy danych i linki do poufnych plików.

Wolontariusz wie, że nie jest to jego intencją i konsultuje się z innymi wolontariuszami w sprawie tego, co powinien zrobić. Chodzi o indywidualną i znaną podatność na zagrożenia, zasady CVD są przestrzegane.

Wolontariusz kontaktuje się z organizacją bezpieczeństwa należącą do strony internetowej. Następuje wymiana informacji na temat podatności, a organizacja postępuje zgodnie z wewnętrznymi procesami związanymi z CVD i usuwaniem podatności.

Organizacja usunęła lukę w przewidywalnym czasie. Czasami organizacja decyduje się nagrodzić reportera gadżetem lub wpisem do hali sławy.