Atsakomybės apribojimas: šio puslapio originalas parašytas olandų kalba. Šis puslapis buvo automatiškai išverstas į kitas kalbas naudojant DeepL. Dėl to gali skirtis niuansai, tonas ir prasmė. Jei abejojate, visada pirmiausia peržiūrėkite olandišką versiją. Dėl didelių vertimų išlaidų šis puslapis turinio požiūriu gali atsilikti nuo olandiškos versijos. Šio puslapio olandiškąją versiją laikome pagrindine.
„Internet Cleanup Foundation” turi elgesio kodeksą, kuriame nustatyti pagrindiniai principai, kokie matavimai skelbiami, o kokie ne.
Šiame puslapyje tai išsamiau nagrinėjama pateikiant praktinių pavyzdžių.
Viešieji matavimai, kuriais siekiama viešųjų tikslų
Iš esmės „Basic Security” užtikrina saugumą pagrindiniu lygmeniu. Tai gali būti laisvai skelbiama nedidinant piktnaudžiavimo rizikos daugiau, nei ji jau yra. Apsvarstykite galimybę matuoti, kur trūksta bendrų saugumo priemonių.
Basisbeveiliging.nl duomenų bazėje yra daugiau kaip 10 milijonų unikalių matavimų. Visi duomenų bazėje esantys matavimai gali būti bet kada paskelbti visi arba nutekinti, nesukeliant naujos rizikos, kuria galėtų pasinaudoti užpuolikas.
Organizacija, turinti tinkamą saugumo politiką, visada turės žalią pagrindinį saugumą: matavimai patys savaime nėra naujiena ar šokiruojantys, tačiau kartais gali būti, kad jie nėra taikomi.
Pagrindinio saugumo matavimai atliekami etiško įsilaužimo ir saugumo testavimo srityse. Yra daug panašumų su pirmaisiais profesionalaus saugumo testavimo etapais, tokiais kaip atakos paviršiaus žemėlapio sudarymas. Tai apima domenus, prievadus ir programinę įrangą. Tai vieša informacija, kurią lengva surinkti dideliu mastu. Yra daug įmonių, kurios tai daro ir siūlo tai labai pigiai arba net viešai ir nemokamai.
„Basic Security” niekada neskelbia rimtų ar kritinių pažeidžiamumų. Tai palieka kitoms organizacijoms, pavyzdžiui, profesionalioms saugumo testavimo bendrovėms, tokioms kaip „Secura”, ” Zerocopter”, arba savanoriškoms organizacijoms, tokioms kaip DIVD.
Skelbtini rezultatai
„Internet Cleanup Foundation” skelbia informaciją apie pažeidžiamumus ir trūkstamas saugumo priemones. Jis tai daro siekdamas, kad šios spragos būtų ištaisytos. Remiantis elgesio kodeksu nustatoma, ar pažeidžiamumą galima skelbti. Šiuo atveju atsižvelgiama į viešąjį interesą, proporcingumą ir subsidiarumą.
Viešai skelbiamos pažeidžiamosios vietos yra viešai prieinamos visiems pagrindinėje saugumo svetainėje. Ją taip pat galima pasiekti automatiškai.
Skelbiamos pažeidžiamosios vietos vertinamos pagal riziką. Tai kitoks rizikos vertinimas, įprastas saugumo pasaulyje, nes skiriasi matavimų spektras. Pagrindinio saugumo spektras turi keturis laipsnius, kurie skirstomi pagal tai, kas potencialiai gali nutikti. Tai yra priešingybė įprastiems saugumo testams, kuriuose tos pačios išvados supriešinamos su dalykais, kurie iš tikrųjų dabar yra blogi. Kai „Basic Security” kažką vertina kaip „aukštą”, profesionaliame saugumo teste, priklausomai nuo testo tikslo, tai bus įvertinta kaip „info”, „žemas” arba ypatingu atveju kaip „vidutinis”.
Laikui bėgant pagrindinio saugumo laipsniai keičiasi, kad būtų galima pamažu kelti pagrindinio saugumo kartelę. Jei šiais metais matavimas yra oranžinės spalvos, kitais metais jis gali būti raudonos spalvos, kad į jį būtų atkreiptas didesnis dėmesys. Pavyzdžiui, security.txt taikymas nėra privalomas iki 2023 m. vidurio, todėl maždaug tuo metu ne visos organizacijos taikys šį standartą. Tačiau iki 2024 m. vidurio tai bus nepriimtina, nes jos turės metus laiko jį taikyti. Daugiau apie tai rašoma matavimo politikoje.
Tai keturios mūsų taikomos pakopos:
Raudona: tai yra didelės rizikos pažeidžiamumas. Čia kalbama apie trūkumą, kurį reikia ištaisyti. Panagrinėkite, pavyzdžiui, silpną šifravimą. Informacijos apie versiją nutekėjimas (skaitykite: nurodymas užpuolikui, ką vykdyti) ir pan.
Oranžinė spalva: tai dažnai susiję su institucijomis ir administraciniais trūkumais. Taip pat nauji matavimai, kurie galiausiai turėtų būti raudonos spalvos, tačiau įvedimo tikslais yra oranžinės spalvos: kad matavimai būtų matomi ir atsakingos organizacijos galėtų imtis veiksmų.
Žalia (maža): Tai matavimas, susijęs su nukrypimu nuo saugos, kuris (kol kas) turi labai nedidelį poveikį, nes su šia problema gali susidurti nedaug žmonių, o tokiu atveju jie dažnai jau yra susidūrę su daugeliu rimtesnių problemų. Šis lygis taip pat naudojamas matavimams, kurie ateityje gali būti susiję su teisiniais įsipareigojimais, tačiau šiandien nėra labai dažni.
Žalia (gerai): Šiame taške užtikrinama sauga.
Išvados visada pateikiamos su dokumentais, nuorodomis ir, jei įmanoma, antrosios nuomonės nuoroda, kuria remiantis galima atlikti pakartotinį tyrimą. Tai taip pat nurodyta matavimo politikoje. Tai leidžia sužinoti naujos išvados svarbą ir iš karto patikrinti, ar pažeidžiamumas pašalintas.
Viešai skelbiamų pažeidžiamumų pavyzdžiai: nėra šifravimo, nėra DNSSEC, nėra security.txt, fizinė paslaugos vieta, RPKI taikymas, viešos versijos informacija.
Visai svetainėse pateiktai informacijai, įskaitant visus matavimus, taikoma mūsų atsakomybės atsisakymo nuostata. Todėl vadovaudamiesi šiomis išvadomis visada veikiate savo sąskaita ir rizika. Stengiamės visada skelbti teisingus ir naujausius matmenis, daugiau apie tai skaitykite matavimų politikoje.
Kaip skelbiami nauji matavimai
Prieš paskelbiant naują matavimą, apie jį pirmiausia pranešama skėtinėms organizacijoms, kad jos galėtų imtis veiksmų. Iki to laiko patys matavimo rezultatai dažnai dar nebūna įžvalgūs. Mažiausiai po mėnesio matavimas tampa matomas ir viešas.
Po to bus taikomas bandomasis laikotarpis, per kurį matavimas bus įvertintas ne daugiau kaip oranžine spalva. Per šį bandomąjį laikotarpį visi gali reaguoti į matavimą ir matavimas gali būti sugriežtintas. Šis laikotarpis paprastai trunka mėnesį ar du. Pasibaigus šiam laikotarpiui, matavimas iš naujo įvertinamas ir galbūt nustatomas raudonasis.
Scenarijaus pavyzdys skelbiama pažeidžiamoji vieta
Organizacijai reikia interneto svetainės. Šią svetainę pristato plėtros agentūra. Ši kūrimo agentūra naudoja standartinę programinę įrangą ir daugiausia dėmesio skiria funkcionalumui ir informacijai.
Svetainė pradės veikti, tačiau dar nesprendžiamas saugumo klausimas. Pavyzdžiui, svetainė dar nepasiekiama šifruotu ryšiu (1: https), nėra garantijų, ar domeno vardas priklauso svetainės ip adresui (2: DNSSEC), o valdymo skydas yra viešas (3: prisijungimo skydas), rodantis, kad tai yra maždaug 7.0.2 programinės įrangos versija (4: informacija apie versiją).
Šiuo atveju užpuolikas turi įvairių rankenų, kurių galima lengvai išvengti. Užpuolikui nereikia beveik jokių pastangų joms surasti, jis jau seniai ir plačiai automatizavo šias žinias, kad tokiu būdu padarytų kuo daugiau žalos.
Šiuo atveju užpuolikas gali pasinaudoti pažeidžiamumais šiais būdais: gali skaityti kartu su interneto srautu tame pačiame tinkle, pavyzdžiui, „Wi-Fi” prieigos taške, nes nėra https (1: https), tame pačiame tinkle užpuolikas gali nukreipti srautą į netikrą puslapį (2: dnssec), galima bandyti prisijungti prie valdymo puslapio bet kurioje pasaulio vietoje (3: prisijungimo skydelis) ir ieškoti bei taikyti viešai žinomas pažeidžiamybes bet kurioje pasaulio vietoje (4: informacija apie versiją).
Užpuolikai jau turi šią informaciją, todėl svarbu, kad ją turėtų ir žmonės, kurie turi gintis. Visų šių išpuolių pagrindas yra atvirumas ir geras profesionalumas.
Kai kompetentingai laikomasi žinomų saugumo sistemų ir standartų sistemų, visų šių pažeidžiamumų nėra. Prisiminkite ISO27002, NEN7510, Baseline Information Security Government ir pan. Atkreipkite dėmesį, kad tokios sistemos nėra praktiškos ir tegul kiekvienas pats matuoja ir vertina sprendimus. Dėl to toje pačioje situacijoje naujokas parašys kitokio turinio planą nei profesionalas. Baziniame saugume nustatome tam tikrą kartelę, kuri aktuali visais atvejais. Vieniems ši kartelė atrodo per aukšta, kitiems – per žema. Bet kuriuo atveju tai yra pagrindas.
Nepublikuojamos pažeidžiamosios vietos
Pagrindinis saugumas skirtas pagrindiniams saugumo reikalavimams.
Fondo savanoriai taip pat kartais randa rimtų pažeidžiamumų. Tai yra šalutinis produktas, o ne fondo tikslas. Štai kaip mes su tuo kovojame. Aktyvias rimtų pažeidžiamumų paieškas atlieka draugiška organizacija DIVD. Taigi bazinė apsauga niekada aktyviai neieško rimtų pažeidžiamumų.
Jei netyčia rastume rimtą pažeidžiamumą, toliau pateikiame, kaip jį pašalinsime.
Kai įtariamas rimtas pažeidžiamumas, kiekvienu konkrečiu atveju svarstomas metodas, kuris užtikrina didžiausią saugumą per trumpiausią laiką. Svarstomos kelios galimybės:
- Jei tai nauja pažeidžiamoji vieta, kuri dar nėra žinoma (ne CVE), yra kelios galimybės. Tai priklauso nuo to, kur pažeidžiamumas buvo nustatytas ir kokio rimtumo jis yra. Nagrinėjami šie keliai:
- Perduokite Nyderlandų pažeidžiamumų atskleidimo institutui. Jie turi infrastruktūrą, leidžiančią nustatyti šio pažeidžiamumo aukas ir įspėti apie nutekėjimą. Šiam veiksmui teikiame pirmenybę.
- Kai programinės įrangos kūrėjas tinkamai vykdo koordinuotą pažeidžiamumo atskleidimo procesą, šis pažeidžiamumas taip pat perduodamas tiesiogiai kūrėjui. Taip atsitinka tik tada, kai tai galima padaryti konfidencialiai.
- Siekiant pranešti pažeidžiamai šaliai, taikomos pagrindinės taisyklės, susijusios su koordinuotu pažeidžiamumo atskleidimu.
- Kai kalbama apie žinomą pažeidžiamumą, laikomasi pagrindinių taisyklių, susijusių su koordinuotu pažeidžiamumo atskleidimu. Nagrinėjama, ar organizacijoje yra įdiegtas toks procesas.
- Jei CVD procesas netaikomas, kreipiamasi į saugumo skėtinę organizaciją, kuriai ji priklauso. Tai, pavyzdžiui, Savivaldybių informacijos saugumo tarnyba arba Nacionalinis kibernetinio saugumo centras, skirtas nacionalinei vyriausybei.
- Svarstoma galimybė perduoti pranešimą per karštąją saugumo liniją.
- Bendravimas dėl rimto pažeidžiamumo bus svarstomas pagal BTM pagrindines taisykles. Kadangi naujų pažeidžiamumų paieška ir skelbimas nėra mūsų tikslas, bendravimas apie naujus pažeidžiamumus, jei jis apskritai kada nors vyks, greičiausiai vyks per šalį, kuriai buvo pranešta apie pažeidžiamumą, Saugumo karštąją liniją, DIVD ar panašią organizaciją.
Nepublikuojamų pažeidžiamumų pavyzdžiai: SQL injekcija, kryžminis svetainės skriptų naudojimas, silpnų slaptažodžių naudojimas, nutekinti slaptažodžiai, nuotolinis kodo vykdymas, buferio perpildymas ir CVE.
Didelio pažeidžiamumo scenarijaus pavyzdys
Šis pavyzdys pagrįstas tikru scenarijumi ir žinomu pažeidžiamumu: išjungtas modulis, dėl kurio slaptažodžius turinčius failus buvo galima tiesiogiai skaityti pirmajame svetainės puslapyje (išjungus PHP). Tai konfigūracijos klaida.
Savanoris ieško informacijos svetainėje basicsecurity.co.uk. Savanoris pamato svetainę: „oud.belangrijkeoganisation.nl”, kuri gali būti silpnai apsaugota. Savanoris susidomi ir apsilanko svetainėje.
Apsilankius svetainėje paaiškėja, kad kažkas negerai su konfigūracija: vietoj gražios svetainės rodomas svetainės išeities kodas. Šiame pirminiame kode yra duomenų bazės slaptažodis ir nuorodos į slaptus failus.
Savanoris žino, kad taip nesiekiama, ir tariasi su kitais savanoriais, ką būtų protinga daryti. Kalbama apie individualų ir žinomą pažeidžiamumą, laikomasi CVD taisyklių.
Savanoris kreipiasi į interneto svetainei priklausančią saugumo organizaciją. Apsikeičiama informacija apie pažeidžiamumą, o organizacija laikosi vidinių procesų, susijusių su CVD ir pažeidžiamumo šalinimu.
Organizacija pažeidžiamumą pašalino per artimiausią laiką. Kartais organizacija nusprendžia apdovanoti pranešėją dovanėle arba įrašu į šlovės salėje.