Disclaimer: Originalul acestei pagini a fost scris în olandeză. Această pagină a fost tradusă automat în alte limbi folosind DeepL. Acest lucru poate duce la diferențe de nuanță, ton și sens. În caz de îndoială, consultați întotdeauna mai întâi versiunea olandeză. Din cauza costurilor ridicate ale traducerilor, această pagină poate rămâne în urma versiunii olandeze în ceea ce privește conținutul. Considerăm versiunea în limba olandeză a acestei pagini drept principală.
Internet Cleanup Foundation are un cod de conduită care stabilește principiile de bază cu privire la măsurătorile care sunt și nu sunt publicate.
Această pagină explorează în continuare acest aspect cu exemple practice.
Măsurători publice cu un scop public
În principiu, securitatea de bază măsoară securitatea la nivel de bază. Aceasta poate fi publicată liber fără a crește riscul de abuz dincolo de ceea ce este deja. Luați în considerare măsurarea acolo unde lipsesc măsurile de securitate comune.
Baza de date a Basisbeveiliging.nl conține peste 10 milioane de măsurători unice. Toate măsurătorile din baza de date pot fi publicate integral sau divulgate în orice moment, fără a crea noi riscuri pe care un atacator le poate exploata.
O organizație cu o politică de securitate adecvată va fi întotdeauna verde în ceea ce privește securitatea de bază: măsurătorile în sine nu sunt noi sau șocante, dar lipsa de aplicare poate fi uneori.
Măsurătorile securității de bază sunt în domeniul hackingului etic și al testării securității. Există asemănări puternice cu primii pași ai testării profesionale a securității, cum ar fi cartografierea suprafeței de atac. Aceasta acoperă domenii, porturi și software. Acestea sunt informații publice ușor de colectat pe scară largă. Există multe companii care fac acest lucru și îl oferă la un cost foarte scăzut sau chiar public și gratuit.
Basic Security nu publică niciodată vulnerabilități grave sau critice. Aceasta lasă acest lucru pe seama altor organizații, cum ar fi companiile profesionale de testare a securității precum Secura, Zerocopter sau organizațiile voluntare precum DIVD.
Constatări publicabile
Internet Cleanup Foundation publică informații privind vulnerabilitățile și măsurile de securitate lipsă. Aceasta face acest lucru cu scopul de a rezolva aceste vulnerabilități. Pe baza codului de conduită, se stabilește dacă o vulnerabilitate poate fi publicată. Aici sunt luate în considerare interesul public, proporționalitatea și subsidiaritatea.
Vulnerabilitățile publicabile sunt disponibile publicului larg pe site-ul de securitate de bază. Acesta poate fi, de asemenea, accesat automat.
Vulnerabilitățile publicabile sunt clasificate în funcție de risc. Aceasta este o clasificare diferită a riscului, comună în lumea securității, deoarece spectrul de măsurători este diferit. Spectrul privind securitatea de bază are patru grade care sunt scalate în funcție de ceea ce ar putea merge prost. Acest lucru este în contrast cu testele de securitate obișnuite, care pun aceleași constatări în fața unor lucruri care chiar nu merg bine în prezent. În timp ce securitatea de bază evaluează un lucru ca fiind „ridicat”, într-un test de securitate profesional acesta va fi evaluat ca fiind „info”, „scăzut” sau, într-un caz special, ca fiind „mediu”, în funcție de scopul testului.
Gradațiile privind securitatea de bază se modifică în timp, pentru a ridica treptat nivelul de securitate de bază. În cazul în care o măsură este portocalie în acest an, ea poate fi roșie anul viitor pentru a atrage mai multă atenție asupra ei. De exemplu, aplicarea security.txt nu este obligatorie până la jumătatea anului 2023, astfel încât în acea perioadă nu toate organizațiile vor aplica acest standard. Cu toate acestea, până la jumătatea anului 2024, acest lucru ar fi inacceptabil, deoarece vor avea la dispoziție un an pentru a-l aplica. Pentru mai multe detalii, consultați politica de măsurare.
Acestea sunt cele patru gradații pe care le aplicăm:
Roșu: reprezintă o vulnerabilitate cu risc ridicat. Aici este vorba despre o imperfecțiune care trebuie remediată. Luați în considerare, de exemplu, o criptare slabă. Scurgerea de informații despre versiune (a se citi: spunând unui atacator ce să execute) și altele asemenea.
Portocaliu: aceasta se referă adesea la instituții și deficiențe administrative. De asemenea, noi măsurători care ar trebui să fie în cele din urmă roșii, dar care sunt clasificate drept portocalii pentru introducere: pentru a face măsurătoarea vizibilă și acționabilă la nivelul organizațiilor responsabile.
Verde (scăzut): O măsurătoare care implică o abatere asupra siguranței care are un impact foarte mic (încă), deoarece există puține persoane care ar putea experimenta această problemă și, în acest caz, sunt adesea deja expuse la o gamă largă de probleme mai grave. Acest nivel este, de asemenea, utilizat pentru măsurătorile care pot implica obligații legale în viitor, dar care nu sunt foarte frecvente în prezent.
Verde (ok): O măsurare corectă: siguranța este asigurată în acest punct.
Constatările sunt întotdeauna însoțite de documentație, referințe și, dacă este posibil, un link pentru o a doua opinie, pe baza căruia se poate efectua un nou test. Acestea sunt, de asemenea, incluse în politica de măsurare. Acest lucru permite cunoașterea relevanței unei noi constatări și verificarea imediată a faptului că vulnerabilitatea a fost remediată.
Exemple de vulnerabilități publicabile includ: criptare lipsă, DNSSEC lipsă, security.txt lipsă, locația fizică a serviciului, aplicarea RPKI, informații publice privind versiunea.
Toate informațiile de pe site-urile web, inclusiv toate măsurătorile, fac obiectul declinării noastre de răspundere. Prin urmare, acționarea pe baza acestor constatări este întotdeauna pe propria cheltuială și risc. Facem tot posibilul pentru a publica întotdeauna măsurători corecte și actualizate, citiți mai multe despre acest lucru în politica de măsurare.
Cum sunt publicate noile măsurători
Înainte ca o nouă măsurătoare să fie publicată, aceasta este anunțată mai întâi organizațiilor coordonatoare, astfel încât acestea să poată lua măsuri în consecință. Până atunci, de multe ori rezultatele măsurătorilor în sine nu sunt încă perceptibile. Cel puțin o lună mai târziu, măsurarea devine vizibilă și publică.
Aceasta va fi urmată de o perioadă de probă în timpul căreia măsura va fi considerată cel mult portocalie. În timpul acestei perioade de probă, toată lumea poate reacționa la măsurătoare și aceasta poate fi înăsprită. Această perioadă durează de obicei o lună sau două. După această perioadă, măsurarea este redimensionată și, eventual, setată la roșu.
Exemplu de scenariu de vulnerabilitate publicabilă
O organizație are nevoie de un site web. Acest site web este realizat de o agenție de dezvoltare. Această agenție de dezvoltare utilizează software standard și se concentrează în principal pe funcționalitate și informații.
Site-ul este în curs de lansare, dar securitatea nu a fost încă abordată. De exemplu, site-ul nu este încă accesibil printr-o conexiune criptată (1: https), nu există garanții cu privire la apartenența numelui de domeniu la adresa IP a site-ului (2: DNSSEC) și există un panou de administrare public (3: panou de conectare) care arată că este vorba despre versiunea software 7.0.2 (4: informații despre versiune).
Acest caz oferă unui atacator tot felul de mânere care pot fi evitate cu ușurință. Un atacator are nevoie de puțin sau niciun efort pentru a le găsi și a automatizat mult timp și pe scară largă aceste cunoștințe pentru a face cât mai multe pagube posibile în acest fel.
În acest studiu de caz, un atacator poate exploata vulnerabilitățile în următoarele moduri: poate citi împreună cu traficul pe internet în aceeași rețea, cum ar fi un hotspot Wi-Fi, deoarece lipsește https (1: https), în aceeași rețea atacatorul poate redirecționa traficul către o pagină falsă (2: dnssec), poate încerca să se conecteze la pagina de administrare oriunde în lume (3: panoul de conectare) și poate căuta și aplica vulnerabilități cunoscute public oriunde în lume (4: informații despre versiune).
Atacatorii au deja aceste informații, așa că este important ca și cei care trebuie să se apere să le aibă. În toate aceste atacuri, există o bază în deschidere și profesionalism.
Atunci când cadrele și standardele de securitate cunoscute sunt respectate cu competență, toate aceste vulnerabilități nu sunt prezente. Gândiți-vă la ISO27002, NEN7510, Baseline Information Security Government și altele asemenea. Rețineți că astfel de cadre nu sunt practice și permit fiecăruia să măsoare și să măsoare singur soluțiile. Ca urmare, în aceeași situație, un novice va scrie un plan diferit în ceea ce privește conținutul decât un profesionist. În securitatea de bază, stabilim un anumit bar care este relevant în toate cazurile. Unii consideră această bară prea înaltă, alții o consideră prea joasă. În orice caz, aceasta este baza.
Vulnerabilități nepublicabile
Securitatea de bază se concentrează pe cerințele de securitate de bază.
De asemenea, voluntarii fundației descoperă uneori vulnerabilități grave. Acesta este un produs secundar și nu scopul fundației. Iată cum rezolvăm această problemă. Căutările active de vulnerabilități grave sunt efectuate de organizația prietenă DIVD. Astfel, securitatea bazei nu caută niciodată în mod activ vulnerabilități grave.
În cazul în care descoperim din greșeală o vulnerabilitate gravă, vă prezentăm mai jos modul în care o gestionăm.
Atunci când se suspectează o vulnerabilitate gravă, abordarea care oferă cea mai mare siguranță în cel mai scurt timp este luată în considerare de la caz la caz. Există o serie de opțiuni care sunt luate în considerare:
- Dacă este vorba despre o vulnerabilitate nouă care nu este încă cunoscută (nu este un CVE), există o serie de opțiuni. Depinde unde a fost identificată vulnerabilitatea și care este gravitatea acesteia. Sunt luate în considerare următoarele căi:
- Transmiterea către Institutul olandez pentru divulgarea vulnerabilităților. Acesta are infrastructura necesară pentru a identifica victimele acestei vulnerabilități și pentru a avertiza cu privire la scurgere. Această acțiune este opțiunea noastră preferată.
- Atunci când creatorul software-ului are un proces adecvat de divulgare coordonată a vulnerabilității, această vulnerabilitate este, de asemenea, transmisă direct creatorului. Acest lucru se întâmplă numai atunci când se poate face în mod confidențial.
- Regulile de bază privind divulgarea coordonată a vulnerabilităților sunt aplicate pentru notificarea părții vulnerabile.
- Atunci când este vorba de o vulnerabilitate cunoscută, sunt respectate regulile de bază privind divulgarea coordonată a vulnerabilităților. Se examinează dacă organizația dispune de un astfel de proces.
- În cazul în care nu există un proces de DVC, este contactată organizația de securitate de care aparține. Aceasta este, de exemplu, Serviciul de securitate a informațiilor pentru municipalități sau Centrul național de securitate cibernetică pentru guvernul național.
- Se ia în considerare transmiterea raportului prin intermediul Liniei directe de securitate.
- Comunicarea privind vulnerabilitatea gravă va fi analizată în conformitate cu regulile de bază ale CVD. Deoarece descoperirea și publicarea de noi vulnerabilități nu reprezintă obiectivul nostru, comunicarea cu privire la noile vulnerabilități, dacă va avea loc vreodată, se va face probabil prin intermediul părții căreia i-a fost raportată vulnerabilitatea, al Liniei directe de securitate, al DIVD sau al unei organizații similare.
Exemple de vulnerabilități care nu pot fi publicate includ: SQL injection, cross-site scripting, utilizarea de parole slabe, parole divulgate, execuția de cod de la distanță, depășiri de buffer și CVE-uri.
Exemplu de scenariu de vulnerabilitate gravă
Acest exemplu se bazează pe un scenariu real și pe o vulnerabilitate cunoscută: dezactivarea unui modul care face ca fișierele care conțin parole să poată fi citite direct pe prima pagină a unui site (dezactivarea PHP). Aceasta este o eroare de configurare.
Un voluntar caută informații pe basicsecurity.co.uk. Voluntarul vede un site: „oud.belangrijkeoganisation.nl”, care, prin urmare, poate avea o securitate slabă. Voluntarul devine interesat și vizitează site-ul.
La vizitarea site-ului, se pare că este ceva în neregulă cu configurația: codul sursă al site-ului este afișat, în loc de un site web frumos. Acest cod sursă conține parola unei baze de date și linkuri către fișiere sensibile.
Voluntarul știe că nu aceasta este intenția și se consultă cu alți voluntari cu privire la ce este înțelept să facă. Este vorba despre o vulnerabilitate individuală și cunoscută, regulile CVD sunt respectate.
Voluntarul contactează organizația de securitate care aparține site-ului web. Se face schimb de informații cu privire la vulnerabilitate, iar organizația urmează procesele interne asociate cu CVD și rezolvarea vulnerabilității.
Organizația a rezolvat vulnerabilitatea în viitorul previzibil. Uneori, organizația alege să recompenseze reporterul cu o bunătăți sau cu o intrare în Hall of Fame.