Izjava o omejitvi odgovornosti: izvirnik te strani je napisan v nizozemščini. Ta stran je bila samodejno prevedena v druge jezike z uporabo spletne strani DeepL. To lahko povzroči razlike v odtenkih, tonu in pomenu. Če ste v dvomih, se vedno najprej posvetujte z nizozemsko različico. Zaradi visokih stroškov prevodov lahko ta stran vsebinsko zaostaja za nizozemsko različico. Nizozemsko različico te strani obravnavamo kot vodilno.
Fundacija Internet Cleanup Foundation ima kodeks ravnanja, ki določa osnovna načela o tem, katere meritve se objavijo in katere ne.
Na tej strani je to podrobneje predstavljeno s praktičnimi primeri.
Javna merjenja z javnim namenom
Osnovna varnost načeloma zagotavlja varnost na osnovni ravni. To se lahko prosto objavi, ne da bi se tveganje zlorabe povečalo bolj, kot je že zdaj. Razmislite o merjenju, pri katerem so običajni varnostni ukrepi pomanjkljivi.
Podatkovna zbirka Basisbeveiliging.nl vsebuje več kot 10 milijonov edinstvenih meritev. Vse meritve v zbirki podatkov je mogoče kadar koli objaviti v celoti ali jih izpustiti, ne da bi pri tem nastala nova tveganja, ki bi jih napadalci lahko izkoristili.
Organizacija z ustrezno varnostno politiko bo pri osnovni varnosti vedno zelena: meritve same po sebi niso novost ali šokantna novost, vendar pa je včasih lahko pomanjkljiva uporaba.
Meritve osnovne varnosti so na področju etičnega hekanja in varnostnega testiranja. Obstajajo velike podobnosti s prvimi koraki profesionalnega varnostnega testiranja, kot je kartiranje površine napada. Ta zajema domene, vrata in programsko opremo. To so javne informacije, ki jih je enostavno zbrati v velikem obsegu. To počnejo številna podjetja, ki to ponujajo po zelo nizki ceni ali celo javno in brezplačno.
Basic Security nikoli ne objavlja resnih ali kritičnih ranljivosti. To prepušča drugim organizacijam, na primer profesionalnim podjetjem za testiranje varnosti, kot sta Secura in Zerocopter, ali prostovoljnim organizacijam, kot je DIVD.
Ugotovitve, ki jih je mogoče objaviti
Fundacija Internet Cleanup Foundation objavlja informacije o ranljivostih in manjkajočih varnostnih ukrepih. To počne z namenom, da se te ranljivosti odpravijo. Na podlagi kodeksa ravnanja se določi, ali se lahko ranljivost objavi. Pri tem se upoštevajo javni interes, sorazmernost in subsidiarnost.
Ranljivosti, ki jih je mogoče objaviti, so javno dostopne vsem na osnovnem spletnem mestu za varnost. Do tega lahko dostopate tudi samodejno.
Ranljivosti, ki jih je mogoče objaviti, so ocenjene glede na tveganje. Gre za drugačno oceno tveganja, ki je običajna v svetu varnosti, saj je spekter meritev drugačen. Spekter na področju osnovne varnosti ima štiri stopnje, ki so razvrščene glede na to, kaj bi lahko šlo narobe. To je v nasprotju z običajnimi varnostnimi testi, pri katerih se iste ugotovitve primerjajo s stvarmi, ki gredo zdaj res narobe. Če osnovna varnost nekaj vrednoti kot “visoko”, bo pri profesionalnem varnostnem testu to ocenjeno kot “info”, “nizko” ali v posebnem primeru kot “srednje”, odvisno od namena testa.
Stopnjevanje osnovne varnosti se sčasoma spreminja in počasi dviguje prag osnovne varnosti. Če je meritev letos oranžna, je lahko naslednje leto rdeča, da se nanjo bolj opozori. Na primer, uporaba standarda security.txt ni obvezna do sredine leta 2023, zato približno takrat tega standarda ne bodo uporabljale vse organizacije. Do sredine leta 2024 pa bo to nesprejemljivo, saj bodo imele eno leto časa, da ga uporabijo. Več o tem je navedeno v politiki merjenja.
To so štiri stopnje, ki jih uporabljamo:
Rdeča: gre za ranljivost z visokim tveganjem. Tu gre za pomanjkljivost, ki jo je treba odpraviti. Na primer šibko šifriranje. uhajanje informacij o različici (beri: sporočanje napadalcu, kaj naj izvede) in podobno.
Oranžna: pogosto gre za institucije in upravne pomanjkljivosti. Tudi nove meritve, ki bi morale biti rdeče, vendar so za uvedbo označene kot oranžne: da bi bila meritev vidna in izvedljiva v odgovornih organizacijah.
Zelena (nizka): Meritev vključuje odstopanje od varnosti, ki ima (še) zelo majhen vpliv, saj se s to težavo lahko sreča le malo ljudi, ki so pogosto že izpostavljeni številnim resnejšim težavam. Ta raven se uporablja tudi za meritve, ki lahko v prihodnosti vključujejo pravne obveznosti, vendar danes niso zelo pogoste.
Zelena (v redu): Na tej točki je zagotovljena varnost.
Ugotovitve so vedno opremljene z dokumentacijo, referencami in, če je mogoče, s povezavo na drugo mnenje, na podlagi katerega se lahko opravi ponovni test. To je prav tako navedeno v pravilniku o meritvah. To omogoča poznavanje pomembnosti nove ugotovitve in takojšnje preverjanje, ali je bila ranljivost odpravljena.
Primeri ranljivosti, ki jih je mogoče objaviti, so: manjkajoče šifriranje, manjkajoči DNSSEC, manjkajoči security.txt, fizična lokacija storitve, uporaba RPKI, informacije o javni različici.
Za vse informacije na spletnih straneh, vključno z vsemi meritvami, velja naša izjava o omejitvi odgovornosti. Na podlagi teh ugotovitev torej vedno ukrepate na lastne stroške in tveganje. Trudimo se, da bi vedno objavili pravilne in posodobljene meritve, več o tem si preberite v pravilniku o meritvah.
Kako se objavljajo nove meritve
Pred objavo nove meritve je ta najprej objavljena v krovnih organizacijah, da lahko organizacije sprejmejo ukrepe v zvezi z njo. Do takrat rezultati meritev samih pogosto še niso vpogledni. Vsaj mesec dni pozneje meritev postane vidna in javna.
Temu bo sledilo poskusno obdobje, v katerem bo meritev ocenjena z največ oranžno barvo. V tem poskusnem obdobju se lahko vsi odzovejo na meritev in meritev se lahko poostri. To obdobje običajno traja mesec ali dva. Po tem obdobju se meritev ponovno razvrsti in po možnosti nastavi na rdečo vrednost.
Primer scenarija ranljivosti, ki jo je mogoče objaviti
Organizacija potrebuje spletno stran. To spletno stran je izdelala razvojna agencija. Razvojna agencija uporablja standardno programsko opremo ter se osredotoča predvsem na funkcionalnost in informacije.
Spletno mesto je že v delovanju, vendar varnost še ni urejena. Na primer, spletno mesto še ni dostopno prek šifrirane povezave (1: https), ni zagotovil, ali ime domene pripada naslovu ip spletnega mesta (2: DNSSEC), in je upravljalna plošča javna (3: prijavna plošča), ki kaže, da gre za različico programske opreme 7.0.2 (4: informacije o različici).
V tem primeru ima napadalec na voljo vse vrste ročajev, ki se jim lahko zlahka izogne. Napadalec se mora malo ali nič truditi, da jih najde, to znanje pa je že dolgo in široko avtomatiziral, da bi na ta način naredil čim več škode.
V tej študiji primera lahko napadalec izkoristi ranljivosti na naslednje načine: bere lahko skupaj z internetnim prometom v istem omrežju, kot je vroča točka Wi-Fi, ker manjka https (1: https), v istem omrežju lahko napadalec preusmeri promet na lažno stran (2: dnssec), poskuša se prijaviti na stran za upravljanje kjer koli na svetu (3: prijavna plošča) ter poišče in uporabi javno znane ranljivosti kjer koli na svetu (4: informacije o različici).
Napadalci te informacije že imajo, zato je pomembno, da jih imajo tudi ljudje, ki se morajo braniti. Pri vseh teh napadih sta osnova odprtost in dobra strokovnost.
Če se pravilno upoštevajo znani varnostni okviri in standardni okviri, vseh teh ranljivosti ni. Pomislite na standarde ISO27002, NEN7510, Baseline Information Security Government in podobno. Upoštevajte, da takšni okviri niso praktični in naj vsak sam meri in meri rešitve. Posledično bo v isti situaciji začetnik napisal vsebinsko drugačen načrt kot strokovnjak. Pri osnovni varnosti smo postavili določeno letvico, ki je ustrezna v vseh primerih. Nekaterim se ta letvica zdi previsoka, drugim se zdi prenizka. V vsakem primeru je to osnova.
Ranljivosti, ki jih ni mogoče objaviti
Osnovna varnost se osredotoča na osnovne varnostne zahteve.
Prostovoljci fundacije včasih najdejo tudi resne ranljivosti. To je stranski produkt in ne cilj fundacije. Tukaj je opisano, kako to rešujemo. Aktivno iskanje resnih ranljivosti izvaja prijateljska organizacija DIVD. Zato varnostna baza nikoli ne išče resnih ranljivosti.
Če po naključju odkrijemo resno ranljivost, v nadaljevanju predstavljamo, kako jo odpravimo.
Kadar obstaja sum, da gre za resno ranljivost, je treba za vsak primer posebej preučiti pristop, ki zagotavlja največjo varnost v najkrajšem možnem času. Upoštevane so številne možnosti:
- Če gre za novo ranljivost, ki še ni znana (ni CVE), obstaja več možnosti. To je odvisno od tega, kje je bila ranljivost ugotovljena in kakšna je njena resnost. Upoštevane so naslednje poti:
- Predaja nizozemskemu inštitutu za razkrivanje ranljivosti. Imajo infrastrukturo za prepoznavanje žrtev te ranljivosti in opozarjanje na uhajanje. Ta ukrep je naša najprimernejša možnost.
- Če ima ustvarjalec programske opreme ustrezen postopek usklajenega razkrivanja ranljivosti, se ta ranljivost posreduje neposredno ustvarjalcu. To se zgodi le, če je to mogoče storiti zaupno.
- Pri obveščanju ranljive strani se uporabljajo osnovna pravila o usklajenem razkritju ranljivosti.
- Ko gre za znano ranljivost, se upoštevajo osnovna pravila o usklajenem razkritju ranljivosti. Preveri se, ali ima organizacija vzpostavljen takšen postopek.
- Če postopek CVD ni vzpostavljen, se vzpostavi stik s krovno varnostno organizacijo, ki ji pripada. To je na primer služba za informacijsko varnost za občine ali nacionalni center za kibernetsko varnost za nacionalno vlado.
- Razmišlja se o tem, da bi poročilo posredovali prek varnostne linije.
- Komunikacija v zvezi z resno ranljivostjo bo obravnavana v skladu s temeljnimi pravili CVD. Ker iskanje in objavljanje novih ranljivosti ni naš cilj, bo komunikacija o novih ranljivostih, če se sploh kdaj pojavi, verjetno potekala prek stranke, ki je bila o njej obveščena, varnostne vroče linije, DIVD ali podobne organizacije.
Primeri ranljivosti, ki jih ni mogoče objaviti, vključujejo: Vbrizgavanje SQL, navzkrižno pisanje skript, uporaba šibkih gesel, uhajanje gesel, izvajanje oddaljene kode, prelivi medpomnilnika in CVE.
Primer scenarija hude ranljivosti
Ta primer temelji na resničnem scenariju in znani ranljivosti: onemogočanje modula, ki je omogočal neposredno branje datotek z gesli na prvi strani spletnega mesta (onemogočanje PHP). To je napaka v konfiguraciji.
Prostovoljec pregleduje informacije na spletnem mestu basicsecurity.co.uk. Prostovoljec vidi spletno mesto: “oud.belangrijkeoganisation.nl”, ki ima morda šibko zaščito. Prostovoljca to zanima in obišče spletno mesto.
Ob obisku spletnega mesta se zdi, da je s konfiguracijo nekaj narobe: namesto lepe spletne strani je prikazana izvorna koda spletnega mesta. Ta izvorna koda vsebuje geslo podatkovne zbirke in povezave do občutljivih datotek.
Prostovoljec se zaveda, da to ni njegov namen, in se posvetuje z drugimi prostovoljci o tem, kaj je pametno storiti. Gre za posameznika in znano ranljivost, pravila CVD se upoštevajo.
Prostovoljec stopi v stik z varnostno organizacijo, ki je lastnik spletnega mesta. Izmenjajo se informacije o ranljivosti, organizacija pa sledi notranjim postopkom, povezanim s CVD in reševanjem ranljivosti.
Organizacija je ranljivost odpravila v predvidljivem času. Včasih se organizacija odloči, da bo poročevalca nagradila z dobrotami ali vpisom v dvorano slavnih.