Vastutusest loobumine: Selle lehekülje originaal on kirjutatud hollandi keeles. See lehekülg on automaatselt tõlgitud teistesse keeltesse, kasutades DeepL. See võib põhjustada erinevusi nüansside, toonide ja tähenduse osas. Kahtluse korral vaadake alati esmalt hollandikeelset versiooni. Tõlkimise kõrge maksumuse tõttu võib see lehekülg jääda hollandikeelsest versioonist sisuliselt maha. Peame selle lehekülje hollandikeelset versiooni juhtivaks.
Internet Cleanup Foundationil on käitumisjuhend, milles on sätestatud põhiprintsiibid selle kohta, milliseid mõõtmisi avaldatakse ja milliseid mitte.
Sellel leheküljel uuritakse seda lähemalt praktiliste näidete abil.
Avaliku eesmärgiga avalikud mõõtmised
Põhiturvalisus mõõdab põhimõtteliselt turvalisust põhitasandil. Seda saab vabalt avaldada, ilma et see suurendaks kuritarvitamise ohtu rohkem, kui see niigi on. Kaaluge mõõtmist, kus tavalised turvameetmed puuduvad.
Basisbeveiliging.nl andmebaas sisaldab üle 10 miljoni unikaalse mõõtmise. Kõik andmebaasis olevad mõõtmised saab igal ajal täielikult avaldada või lekitada, ilma et see tekitaks uusi riske, mida ründaja saaks ära kasutada.
Asjakohase julgeolekupoliitikaga organisatsioon on põhiturvalisuse osas alati roheline: mõõtmised iseenesest ei ole uudised või šokeerivad, kuid nende puudulikkus võib mõnikord olla.
Põhiturvalisuse mõõtmised on eetilise häkkimise ja turvatestimise valdkonnas. On tugevat sarnasust professionaalse turvatestimise esimeste sammudega, näiteks ründepinna kaardistamisega. See hõlmab domeene, porte ja tarkvara. See on avalik teave, mida on lihtne koguda suures mahus. On palju ettevõtteid, kes seda teevad ja pakuvad seda väga odavalt või isegi avalikult ja tasuta.
Basic Security ei avalda kunagi tõsiseid või kriitilisi haavatavusi. Ta jätab selle teistele organisatsioonidele, näiteks professionaalsetele turvatestimisfirmadele nagu Secura, Zerocopter või vabatahtlikele organisatsioonidele nagu DIVD.
Avaldatavad tulemused
Internet Cleanup Foundation avaldab teavet haavatavuste ja puuduvate turvameetmete kohta. See teeb seda eesmärgiga parandada need haavatavused. Tegevusjuhendi alusel otsustatakse, kas haavatavuse võib avaldada. Seejuures võetakse arvesse avalikku huvi, proportsionaalsust ja subsidiaarsust.
Avaldatavad haavatavused on kõigile avalikult kättesaadavad põhiturvalisuse veebisaidil. Sellele saab ka automaatselt juurde pääseda.
Avaldatavad haavatavused on hinnatud riski järgi. See on erinev riskireiting, mis on turvamaailmas tavaline, sest mõõtmiste spekter on erinev. Põhiturvalisuse spektris on neli astet, mis on skaalutud selle järgi, mis võib potentsiaalselt valesti minna. See erineb tavapärastest turvatestidest, kus samade leidude puhul võrreldakse asju, mis praegu tõesti valesti lähevad. Kui Basic Security hindab midagi “kõrgeks”, siis professionaalses turvatestis pannakse see sõltuvalt testi eesmärgist alla “info”, “madalaks” või erijuhtumil “keskmiseks”.
Põhiturvalisuse astmed muutuvad aja jooksul, et aeglaselt tõsta põhiturvalisuse taset. Kui sel aastal on mõõdik oranž, siis järgmisel aastal võib see olla punane, et sellele rohkem tähelepanu pöörata. Näiteks ei ole security.txt kohaldamine kohustuslik enne 2023. aasta keskpaika, nii et selle aja paiku ei kohalda seda standardit kõik organisatsioonid. Kuid 2024. aasta keskpaigaks oleks see vastuvõetamatu, sest neil on olnud aasta aega selle kohaldamiseks. Selle kohta on rohkem teavet mõõtmispoliitikas.
Need on neli astet, mida me rakendame:
Punane: see kujutab endast kõrge riskiga haavatavust. Siin on tegemist puudusega, mis tuleb parandada. Võtame näiteks nõrga krüpteerimise. Versiooniteabe lekkimine (loe: ründajale ütlemine, mida täita) jms.
Oranž: see puudutab sageli institutsioone ja halduspuudujääke. Samuti uued mõõtmised, mis peaksid lõpuks olema punased, kuid on kasutuselevõtuks oranžiks skaleeritud: et muuta mõõtmine vastutavates organisatsioonides nähtavaks ja rakendatavaks.
Roheline (madal): Mõõtmine, mis hõlmab kõrvalekallet ohutusele, millel on (veel) väga väike mõju, sest inimesi, kes võivad seda probleemi kogeda, on vähe ja sel juhul on nad sageli juba paljude tõsisemate probleemidega kokku puutunud. Seda taset kasutatakse ka mõõtmiste puhul, mis võivad tulevikus kaasa tuua õiguslikke kohustusi, kuid mis ei ole praegu väga levinud.
Roheline (ok): Õige mõõtmine: ohutus on selles punktis tagatud.
Tulemused esitatakse alati koos dokumentatsiooni, viidetega ja võimaluse korral teise arvamuse lingiga, mille alusel saab teha kordusuuringu. Need on ka mõõtmispoliitikas. See võimaldab teada saada, kas uus leid on asjakohane, ja kohe kontrollida, kas haavatavus on kõrvaldatud.
Avaldatavate haavatavuste näited on järgmised: puuduv krüpteerimine, puuduv DNSSEC, puuduv security.txt, teenuse füüsiline asukoht, RPKI rakendamine, avalik versiooniteave.
Kogu veebilehtedel olev teave, sealhulgas kõik mõõtmised, kuuluvad meie vastutuse võtmise kohustuse alla. Seetõttu on nende andmete kasutamine alati teie enda kulul ja vastutusel. Anname endast parima, et alati avaldada korrektsed ja ajakohased mõõtmised, loe selle kohta lähemalt mõõtmispoliitikast.
Kuidas avaldatakse uued mõõtmised
Enne uue mõõtmise avaldamist teatatakse sellest kõigepealt katusorganisatsioonidele, et organisatsioonid saaksid selle alusel meetmeid võtta. Selleks ajaks ei ole mõõtmistulemused ise sageli veel sisukad. Vähemalt kuu aega hiljem muutub mõõtmine nähtavaks ja avalikuks.
Sellele järgneb katseperiood, mille jooksul hinnatakse mõõtmist maksimaalselt oranžiks. Selle katseaja jooksul saab igaüks reageerida mõõtmisele ja mõõtmist võib karmistada. See periood kestab tavaliselt kuu või kaks. Pärast seda ajavahemikku hinnatakse mõõtmine uuesti ja määratakse võimaluse korral punaseks.
Näidisstsenaarium avaldatav haavatavus
Organisatsioon vajab veebisaiti. Selle veebisaidi tarnib arendusagentuur. See arendusagentuur kasutab standardtarkvara ja keskendub peamiselt funktsionaalsusele ja teabele.
Veebileht on käivitumas, kuid turvalisusega ei ole veel tegeletud. Näiteks ei ole sait veel ligipääsetav krüpteeritud ühenduse kaudu (1: https), puuduvad garantiid, kas domeeninimi kuulub saidi ip-aadressile (2: DNSSEC) ja on olemas halduspaneel avalik (3: sisselogimispaneel), mis näitab, et tegemist on tarkvara versiooniga 7.0.2 (4: versiooniinfo).
See juhtum annab ründajale kõikvõimalikud käepidemed, mida on lihtne vältida. Ründaja vajab nende leidmiseks vähe või üldse mitte mingit pingutust ning on juba ammu ja laialdaselt automatiseerinud seda teadmist, et sel viisil võimalikult palju kahju teha.
Selles juhtumiuuringus saab ründaja kasutada haavatavusi järgmistel viisidel: ta saab lugeda koos internetiliiklusega samas võrgus, näiteks Wi-Fi hotspotis, sest https puudub (1: https), samas võrgus saab ründaja suunata liikluse ümber võltslehele (2: dnssec), saab teha katseid sisse logida halduslehele ükskõik kus maailmas (3: sisselogimispaneel) ja otsida ja rakendada avalikult teadaolevaid haavatavusi ükskõik kus maailmas (4: versiooniteave).
Ründajatel on see teave juba olemas, seega on oluline, et ka inimestel, kes peavad kaitsma, oleks see teave olemas. Kõigi nende rünnakute aluseks on avatus ja hea professionaalsus.
Kui tuntud turvaraamistikke ja standardite raamistikke järgitakse pädevalt, ei ole kõiki neid haavatavusi. Mõelge ISO27002-le, NEN7510-le, Baseline Information Security Government’ile jms. Pange tähele, et sellised raamistikud ei ole praktilised ja las igaüks mõõdab ja mõõdab lahendusi ise. Selle tulemusena kirjutab algaja samas olukorras sisult teistsuguse plaani kui professionaal. Põhiturvalisuse puhul seame teatud lati, mis on igal juhul asjakohane. Mõne jaoks on see latt liiga kõrge, teise jaoks liiga madal. Igal juhul on see alus.
Avaldamata haavatavused
Põhiturvalisus keskendub põhilistele turvanõuetele.
Sihtasutuse vabatahtlikud leiavad mõnikord ka tõsiseid haavatavusi. See on kõrvalsaadus, mitte sihtasutuse eesmärk. Siin on, kuidas me sellega toime tuleme. Tõsiste haavatavuste aktiivset otsimist teostab sõbralik organisatsioon DIVD. Seega ei otsi baasi turvalisus kunagi aktiivselt tõsiseid haavatavusi.
Kui me kogemata leiame tõsise haavatavuse, on allpool kirjeldatud, kuidas me sellega toime tuleme.
Kui kahtlustatakse tõsist haavatavust, kaalutakse siinkohal iga juhtumi puhul eraldi lähenemisviisi, mis tagab suurima ohutuse lühima aja jooksul. Kaalutakse mitmeid võimalusi:
- Kui tegemist on uue haavatavusega, mis ei ole veel teada (mitte CVE), on mitmeid võimalusi. See sõltub sellest, kus haavatavus on tuvastatud ja milline on selle raskusaste. Arvesse võetakse järgmisi võimalusi:
- üleandmine Hollandi haavatavuse avalikustamise instituudile. Neil on infrastruktuur, et tuvastada selle haavatavuse ohvrid ja hoiatada lekke eest. See tegevus on meie eelistatud variant.
- Kui tarkvara loojal on nõuetekohane koordineeritud haavatavuse avalikustamise protsess, edastatakse see haavatavus ka otse loojale. See juhtub ainult siis, kui seda saab teha konfidentsiaalselt.
- Haavatava osapoole teavitamiseks kohaldatakse kooskõlastatud haavatavuse avalikustamise põhireegleid.
- Kui tegemist on teadaoleva haavatavusega, järgitakse kooskõlastatud haavatavuse avalikustamise põhireegleid. Uuritakse, kas organisatsioonil on selline protsess olemas.
- Kui CVD-protsess puudub, võetakse ühendust julgeoleku katusorganisatsiooniga, kuhu ta kuulub. See on näiteks kohalike omavalitsuste infoturbeamet või riigi valitsuse puhul riiklik küberturbe keskus.
- Kaalutakse aruande edastamist julgestustelefoni kaudu.
- Tõsisest haavatavusest teavitamine toimub vastavalt koostöö- ja arengukava põhireeglitele. Kuna uute haavatavuste leidmine ja avaldamine ei ole meie eesmärk, toimub uute haavatavuste kohta teavitamine, kui see üldse toimub, tõenäoliselt selle osapoole kaudu, kellele sellest teatati, turvatelefoni, DIVD või muu sarnase organisatsiooni kaudu.
Näited avaldamisele mittekuuluvatest haavatavustest on järgmised: SQL-süstimine, saidiülene skriptimine, nõrkade paroolide kasutamine, lekkinud paroolid, koodi kaugjuhtimine, puhvri ülevoolud ja CVE-d.
Näidisstsenaarium tõsine haavatavus
See näide põhineb tõelisel stsenaariumil ja teadaoleval haavatavusel: sellise mooduli väljalülitamine, mis muutis paroole sisaldavad failid otse loetavaks saidi esilehel (PHP väljalülitamine). See on konfiguratsiooniviga.
Vabatahtlik sirvib teavet veebilehel basicsecurity.co.uk. Vabatahtlik näeb veebilehte: “oud.belangrijkeoganisation.nl”, millel võib seega olla nõrk turvalisus. Vabatahtlik tunneb huvi ja külastab saiti.
Saiti külastades selgub, et konfiguratsioonis on midagi valesti: ilusa veebilehe asemel kuvatakse saidi lähtekoodi. See lähtekood sisaldab andmebaasi parooli ja linke tundlikele failidele.
Vabatahtlik teab, et see ei ole kavatsus, ja konsulteerib teiste vabatahtlikega, mida on mõistlik teha. Tegemist on individuaalse ja teadaoleva haavatavusega, järgitakse CVD reegleid.
Vabatahtlik võtab ühendust veebisaidile kuuluva turvaorganisatsiooniga. Teavet haavatavuse kohta vahetatakse ning organisatsioon järgib CVD ja haavatavuse lahendamisega seotud sisemisi protsesse.
Organisatsioon lahendas haavatavuse prognoositava aja jooksul. Mõnikord otsustab organisatsioon premeerida teatajat maiuspalaga või sissekandega kuulsuste saali.