Política de medição Basic security.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

O Basic Security mede e publica todas as medições relativas à segurança em linha que são responsáveis por publicar, mais sobre isso na política de publicação. Também utilizamos as considerações do nosso código de conduta para determinar quais as medidas a adicionar.

Este artigo enumera as medições efectuadas em torno de que técnicas. Encontra uma lista completa, com as respectivas referências, na secção “resumo de todas as medições”.

Esta política de medição está sempre a evoluir e responde a novos desenvolvimentos. Há um certo número de excepções a esta política de medição, que são descritas nas excepções à política de medição.

Lê a nossa declaração de exoneração de responsabilidade antes de utilizares os dados de medição. Se tiveres alguma dúvida, contacta info@internetcleanup.foundation.

Este artigo afirma:

• Informação sobre a atualidade das medições
• Como é que as medições são avaliadas de forma mais rigorosa ao longo do tempo (roteiro)
• Uma visão geral de todas as medições individuais
  • Inclui ligações para a documentação e ferramentas de teste

Atualidade das medições

As medições são efectuadas diariamente ou semanalmente, dependendo da complexidade e da intensidade das medições. Uma única medição de inventário é efectuada uma vez de seis em seis meses porque é ruidosa; a repetição da medição tem lugar uma vez por semana.

Devido à frequência das medições, os dados nos relatórios nunca têm mais de uma semana. Se assim for, é porque algo de especial se está a passar. Ainda estamos a trabalhar na funcionalidade para que as medições com mais de dois meses nunca apareçam nos relatórios e para reduzir esta duração para um mês, no máximo.

Podes sempre ver a antiguidade de uma medição no relatório detalhado. Mostra-o na parte inferior de cada medição. Assim, no exemplo abaixo, podes ver que a medição é a mesma desde há 22 dias e que a última medição teve lugar há 1 dia.

Além disso, cada mapa mostra a qualidade dos dados do mapa. Esta vista geral mostra quais as medições efectuadas e quantas delas estão actualizadas/desactualizadas. Nesta vista geral, as medições com mais de 7 dias são consideradas obsoletas. Isto também pode ser visto no exemplo abaixo.

A qualidade dos dados encontra-se sob a bola no canto superior esquerdo do mapa. Esta bola é colorida em função da qualidade. Se estiver laranja ou vermelha, significa que algo está errado. Normalmente, está sobre um ponto verde. Se tudo estiver atualizado, vê aqui um arco-íris.

Roteiro das medidas de rigor

Com o tempo, o controlo será mais rigoroso. Por exemplo, algumas constatações são atualmente verdes ou cor de laranja, mas passarão a ser vermelhas no futuro.

Uma nova leitura é frequentemente introduzida a laranja ou verde para que as pessoas se possam habituar a ela e agir antes que passe a vermelho.

O seu roteiro ainda é fragmentado e não está definido. Quando são introduzidas medições individuais, é frequente haver alguma menção a este facto. Esta informação ainda está a ser recolhida.

Visão geral de todas as medições

Aqui está uma visão geral de todas as medidas, avaliações, documentação e ferramentas para te medires a ti próprio. Quando tudo isto é aplicado corretamente, a organização é colocada a verde no mapa.

Se uma organização controlar os seus serviços em linha e os minimizar, não é muito difícil chegar a laranja ou mesmo a verde.

Nome de domínio seguro (DNSSEC)

• Objetivo: Proporcionar segurança sobre o nome de domínio e o conteúdo do sítio
• Classificação mais pesada: Vermelho
• Medido com: dnssec.pl tool
• Documentação: internet.co.uk, OpenCRE, Wikipedia
• Pode ser verificado em: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS no sítio Web (HTTPS)

• Objetivo: Aplicar a encriptação: que uma visita a um sítio Web seja confidencial e com integridade. Verifica se a confiança está em ordem e se não existem vulnerabilidades na encriptação.
• Classificação mais pesada:Vermelho
• Medido com: Qualys SSL Labs
• Documentação: Definições TLS, Wikipedia, Lei do Governo Digital
• A ser medido em: Laboratórios SSL

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Sítio sem encriptação (HTTPS)

• Objetivo: Aplicação da encriptação, tal como o TLS no sítio Web
• Classificação mais pesada:Vermelho
• Medido com: O teu próprio scanner
• Documentação: Definições TLS, Wikipedia, Lei do Governo Digital
• A ser medido em: SSL Labs, internet.co.uk

# level: endpoint
plain_http

Transferência de ficheiros (FTP)

• Objetivo: aplicação da cifragem
• Classificação mais pesada:Vermelho
• Medido com: O teu próprio scanner
• Documentação: Wikipédia
• Pode ser verificado em, por exemplo: ftptest.net

# level: endpoint
ftp

Informação sobre a versão do software (Banners)

• Objetivo: remover a informação sobre a versão, uma vez que esta só é útil para os atacantes
• Classificação mais pesada:Vermelho
• Medido com: nmap
• Documentação: Wikipedia, nmap
• Verifica se há: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Segurança de correio eletrónico (STARTTLS, DMARC, DKIM, SPF)

• Objetivo: Garantir a integridade e a confidencialidade do correio eletrónico
• Classificação mais pesada:Vermelho
• Medido por: internet.co.uk
• Documentação: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Pode ser consultado em: internet.co.uk, dmarcian, mxtoolbox, entre outros

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Portais de login

• Objetivo: Não fornecer funcionalidades globais e públicas destinadas a um pequeno grupo de pessoas, especialmente para proteger a funcionalidade de administrador.
• Classificação mais pesada: Vermelho
• Medido com: Núcleos
• Documentação: Wikipédia
• Para ser medido em o.a.: consulta as ligações nos resultados. Existe aqui um portal de início de sessão? Então, o resultado ainda é válido. Estes portais encontram-se numa página especial chamada Login Plaza.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Cookie de rastreio sem consentimento

• Objetivo: Os cookies de rastreio nunca devem ser instalados sem autorização. Ao tornar isto transparente, os criadores de sítios Web podem remover estes cookies.
• Classificação mais elevada: Laranja, Vermelho a partir de janeiro de 2024.
• Medido com: Escantilhão próprio obv Dramaturgo
• Documentação: a definir
• A ser medido em: tbd

Visão geral dos biscoitos de rastreio medidos

Medimos os biscoitos de seguimento abaixo. Trata-se de bolachas de seguimento que o fornecedor indica serem colocadas para fins de marketing. Estes biscoitos de seguimento são de longe os biscoitos de seguimento mais frequentemente colocados de acordo com o nosso inquérito de novembro de 2023.

# level: endpoint
web_privacy_cookie_products_no_consent

Proprietário do endereço Internet (WHOIS)

• Objetivo: Colocar a administração do domínio em ordem. Uma pessoa de fora pode verificar se o sítio pertence à organização correta na SIDN.
• Classificação mais pesada: Laranja
• Medido com: O teu próprio scanner
• Documentação: SIDN, Wikipedia, OpenCRE
• Pode ser verificado em: SIDN

# level: url
whois_domain_ownership

Ligação segura de acordo com os requisitos NCSC-NL (TLS)

• Objetivo: Aplicação da cifragem, medição dos requisitos legais
• Classificação mais pesada:Laranja
• Medido por: internet.co.uk
• Documentação: Lei, Interpretação da lei, Requisitos técnicos
• A ser medido em, por exemplo: internet.co.uk

# level: endpoint
internet_nl_web_tls

Segurança.txt

• Objetivo: poder receber notificações sobre vulnerabilidades graves em linha.
• Classificação mais pesada:Laranja
• Medido por: internet.co.uk
• Documentação: internet.co.uk, Wikipedia, securitytxt.org
• A ser medido em, por exemplo: internet.co.uk

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Encaminhamento fiável do tráfego da Internet (RPKI)

• Objetivo: Garantir que o tráfego da Internet passa pelo caminho certo
• Classificação mais pesada:Laranja
• Medido por: internet.co.uk
• Documentação: Wikipédia
• Pode ser consultado em: internet.co.uk, ripe

# level: endpoint
internet_nl_web_rpki_exists

Cabeçalho HSTS

• Objetivo: Aplicar a encriptação nos sítios Web enquanto os navegadores não o fizerem
• Classificação mais pesada:Laranja
• Medido com: O teu próprio scanner
• Documentação: MDN, Wikipédia, Lei do Governo Digital
• Pode ser consultado em: securityheaders.com, internet.co.uk, entre outros
• Nota que includesubdomains e preload são ignorados, no caso de o preload não ser atualizado e um visitante aterrar num subdomínio sem um cabeçalho HSTS.

# level: endpoint
http_security_header_strict_transport_security

A visita ao site respeita a privacidade

• Objetivo: Confidencialidade de uma visita, para que não te sejam dirigidos anúncios após a visita
• Classificação mais pesada:Laranja
• Medido com: O teu próprio scanner
• Documentação: Brochura sobre a criação de sítios respeitadores da privacidade, Disconnect.me, proibição do Google Analytics
• A ser medido em: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Serviços redundantes (portões abertos)

• Objetivo: Reduzir ao mínimo os serviços em linha. A Internet pública só precisa de conter serviços que devem estar disponíveis para todos em todo o mundo.
• Classificação mais pesada:Laranja
• Medido com: Nmap
• Documentação: Wikipédia (portões abertos)
  • Verifica se há: ipvoid

# level: endpoint
ports

STARTTLS Presença (correio eletrónico)

• Objetivo: poder enviar correio eletrónico encriptado para o servidor de correio como remetente.
• Classificação mais pesada:Laranja
• Medido por: internet.co.uk
• Documentação: internet.co.uk
  • A ser medido em, por exemplo: internet.co.uk

# level: endpoint
internet_nl_mail_starttls_tls_available

Encriptação de correio eletrónico de acordo com os requisitos do NCSC

• Objetivo: poder enviar correio eletrónico encriptado para o servidor de correio como remetente.
• Classificação mais pesada:Laranja
• Medido por: internet.co.uk
• Documentação: internet.co.uk
  • A ser medido em, por exemplo: internet.co.uk

# level: endpoint
internet_nl_mail_dashboard_tls

Localização do servidor (Geolocalização IP)

• Objetivo: Processar dados nos NL/UE, medir os requisitos legais. Assegura que todos os serviços estão no seu próprio território (legal).
• Classificação mais elevada:Verde (durante o período de introdução),Laranja após outubro de 2023
• Medido com: Maxmind, Ripe (para algumas correcções)
• Documentação: Lei que proíbe o tratamento de dados fora da UE (Matomo)
• Podes ser verificado em: InfoByIP, geolocation.com, iplocation.io (nem todos estes sites têm a mesma base de dados de geolocalização)

# level: url
location_server
location_mail_server
location_third_party_website_content

Outros cabeçalhos de sítios Web (X-Frame-Options, etc.)

• Objetivo: Proteger as definições quando visitas um sítio Web
• Classificação mais pesada:Laranja (sem CSP E x-frame-options),Verde (resto)
• Medido com: O teu próprio scanner
• Documentação: Geral (OWASP), cabeçalho CSP, Política de permissões, Política de referenciador, X-Content-Type-Options, Clickjacking,
• Pode ser consultado em: securityheaders.com, internet.co.uk, entre outros

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)