Odricanje od odgovornosti: Izvorna verzija ove stranice napisana je na nizozemskom jeziku. Ova je stranica automatski prevedena na druge jezike pomoću DeepL-a. To može dovesti do razlika u nijansama, tonu i značenju. U slučaju sumnje, uvijek se prvo posavjetujte s nizozemskom verzijom. Zbog visokih troškova prijevoda, moguće je da ova stranica sadržajno zaostaje za nizozemskom verzijom. Smatramo da je nizozemska verzija ove stranice mjerodavna.
Zaklada Internet Cleanup koristi kodeks ponašanja koji sadrži temeljna načela o tome koja se mjerenja objavljuju, a koja ne.
Na ovoj se stranici to detaljnije objašnjava praktičnim primjerima.
Javna mjerenja s javnom svrhom
U načelu, Basisbeveiliging mjeri sigurnost na osnovnoj razini. To se može slobodno objaviti bez povećanja rizika od zlouporabe nego što već jest. Razmislite o mjerenju gdje nedostaju uobičajene sigurnosne mjere.
Baza podataka Basisbeveiliging.nl sadrži više od 10 milijuna jedinstvenih mjerenja. Sva mjerenja u bazi podataka mogu se u bilo kojem trenutku u potpunosti objaviti ili procuriti, a da to ne stvara nove rizike koje bi napadač mogao iskoristiti.
Organizacija s odgovarajućom sigurnosnom politikom uvijek će biti zelena na osnovnoj sigurnosti: mjerenja sama po sebi nisu vijest ili šokantna, ali nedostatak primjene ponekad može biti.
Mjerenja osnovne sigurnosti nalaze se u području etičkog hakiranja i sigurnosnih testiranja. Postoje snažne sličnosti s prvim koracima profesionalnih sigurnosnih testova, kao što je mapiranje površine napada. To se odnosi na domene, portove i softver. Ovo su javne informacije koje se lako mogu prikupiti u velikim razmjerima. Postoje mnoge tvrtke koje to rade i nude po vrlo niskim cijenama ili čak javno i besplatno.
Basisbeveiliging nikada ne objavljuje ozbiljne ili kritične ranjivosti. To prepušta drugim organizacijama, kao što su profesionalne tvrtke za sigurnosno testiranje kao što su Secura, Zerocopter ili volonterske organizacije kao što je DIVD.
Objavljivi nalazi
Zaklada Internet Cleanup objavljuje informacije o ranjivostima i nedostajućim sigurnosnim mjerama. To čini s ciljem rješavanja tih ranjivosti. Na temelju kodeksa ponašanja utvrđuje se može li se ranjivost objaviti. Ovdje se razmatra opći interes, proporcionalnost i supsidijarnost.
Objavljive ranjivosti javno su vidljive svima na web stranici basisbeveiliging. Mogu se konzultirati i automatski.
Objavljive ranjivosti procjenjuju se na temelju rizika. Ovo je drugačija klasifikacija rizika od one koja je uobičajena u svijetu sigurnosti jer je spektar mjerenja drugačiji. Spektar na temelju osnovne sigurnosti ima četiri stupnja koji se skaliraju prema onome što potencijalno može poći po zlu. To je u suprotnosti s uobičajenim sigurnosnim testovima, u kojima se isti nalazi uspoređuju sa stvarima koje trenutno idu po zlu. Tamo gdje Basisbeveiliging nešto ocjenjuje kao „visoko”, to će se u profesionalnom sigurnosnom testu postaviti kao „info”, „nisko” ili u posebnom slučaju kao „srednje”, ovisno o svrsi testa.
Stupnjevi na temelju osnovne sigurnosti mijenjaju se tijekom vremena kako bi se polako podigla letvica osnovne sigurnosti. Tamo gdje je mjerenje ove godine narančasto, sljedeće godine može biti crveno kako bi se na njega skrenulo više pozornosti. Takva je primjena security.txt obvezna tek sredinom 2023., tako da oko tog vremena neće sve organizacije primijeniti ovaj standard. Međutim, to bi bilo neprihvatljivo sredinom 2024. jer su tada imali godinu dana da ga primijene. Više o tome možete pročitati u politici mjerenja.
Ovo su četiri stupnja koja primjenjujemo:
Crveno: ovo označava ranjivost visokog rizika. Ovdje se radi o nesavršenosti koju treba riješiti. Razmislite, na primjer, o slaboj enkripciji. Propuštanje informacija o verziji (čitaj: reći napadaču koji napad treba izvesti) i slično.
Narančasto: ovo se često odnosi na postavke i administrativne nesavršenosti. Također, nova mjerenja koja bi u konačnici trebala biti crvena, ali se uvode kao narančasta: kako bi se mjerenje učinilo vidljivim i djelotvornim za odgovorne organizacije.
Zeleno (nisko): Mjerenje koje se odnosi na odstupanje u sigurnosti koje (još) ima vrlo mali utjecaj jer je malo ljudi koji mogu iskusiti ovaj problem, a u tom su slučaju često već izloženi širokom rasponu ozbiljnijih stvari. Ova se razina također koristi za mjerenja koja bi u budućnosti mogla donijeti zakonske obveze, ali danas nisu baš uobičajena.
Zeleno (ok): Ispravno mjerenje: sigurnost je zajamčena u ovom trenutku.
Nalazi su uvijek popraćeni dokumentacijom, referencama i, gdje je to moguće, vezom za drugo mišljenje na kojoj se može provesti ponovno testiranje. Oni se također nalaze u politici mjerenja. To omogućuje stjecanje znanja o relevantnosti novog nalaza i izravnu provjeru je li ranjivost riješena.
Primjeri objavljivih ranjivosti su: nedostajuća enkripcija, nedostatak DNSSEC-a, nedostatak security.txt, fizička lokacija usluge, primjena RPKI, javne informacije o verziji.
Sve informacije na web stranicama, dakle i sva mjerenja, podliježu našoj izjavi o odricanju odgovornosti. Stoga je postupanje na temelju ovih nalaza uvijek na vlastiti trošak i rizik. Dajemo sve od sebe da uvijek objavljujemo točna i ažurna mjerenja, pročitajte više o tome u politici mjerenja.
Kako se objavljuju nova mjerenja
Prije objave novog mjerenja, ono se prvo najavljuje krovnim organizacijama kako bi organizacije mogle poduzeti mjere u vezi s tim. Rezultati mjerenja često još nisu vidljivi. Najmanje mjesec dana kasnije mjerenje postaje vidljivo i javno.
Nakon toga slijedi probno razdoblje u kojem se mjerenje ocjenjuje najviše kao narančasto. Tijekom tog probnog razdoblja svatko može reagirati na mjerenje i mjerenje se može dodatno poboljšati. Ovo razdoblje obično traje mjesec ili dva. Nakon tog razdoblja mjerenje se ponovno ocjenjuje i može se postaviti na crveno.
Primjer scenarija objavljive ranjivosti
Organizaciji je potrebna web stranica. Ovu web stranicu isporučuje razvojna agencija. Ova razvojna agencija koristi standardni softver i uglavnom se fokusira na funkcionalnost i informacije.
Web stranica se aktivira, ali se još nije razmatrala sigurnost. Na primjer, stranica još nije dostupna putem šifrirane veze (1: https), nema jamstava da naziv domene pripada IP adresi stranice (2: DNSSEC) i postoji javna upravljačka ploča (3: ploča za prijavu) koja pokazuje da se radi o softverskoj verziji 7.0.2 (4: informacije o verziji).
Ovaj slučaj daje napadaču sve vrste alata koji se lako mogu spriječiti. Napadač se ne mora truditi da ih pronađe, a to znanje ima dugo i široko automatizirano kako bi nanio što više štete.
U ovom slučaju, napadač može zloupotrijebiti ranjivosti na sljedeće načine: mogu čitati internetski promet na istoj mreži, kao što je wifi hotspot, jer nedostaje https (1: https), na istoj mreži napadač može preusmjeriti promet na lažnu stranicu (2: dnssec), ljudi mogu pokušati prijaviti se na stranicu za upravljanje s bilo kojeg mjesta na svijetu (3: ploča za prijavu) i tražiti i primijeniti javno poznate ranjivosti s bilo kojeg mjesta na svijetu (4: informacije o verziji).
Napadači već imaju ove informacije, stoga je važno da ih imaju i ljudi koji se moraju braniti. Sve ove napade temelje se na javnosti i dobrom umijeću.
Kada se poznati sigurnosni okviri i standardni okviri stručno prate, sve ove ranjivosti nisu prisutne. Razmislite o ISO27002, NEN7510, Osnovnoj informacijskoj sigurnosti Vlade i slično. Imajte na umu da takvi okviri nisu praktični i svatko sam mjeri i primjenjuje rješenja. Kao rezultat toga, u istoj situaciji početnik će napisati drugačiji plan od profesionalca. Uz osnovnu sigurnost postavljamo određenu letvicu koja je relevantna u svim slučajevima. Neki smatraju da je ova letvica previsoka, drugi smatraju da je preniska. U svakom slučaju, to je osnova.
Neobjavljive ranjivosti
Basisbeveiliging se fokusira na osnovne sigurnosne zahtjeve.
Volonteri zaklade ponekad također pronalaze ozbiljne ranjivosti. Ovo je usputni ulov, a ne cilj zaklade. Ovdje je opisano kako se nosimo s tim. Aktivno traženje ozbiljnih ranjivosti provodi prijateljska organizacija DIVD. Stoga Basisbeveiliging nikada aktivno ne traži ozbiljne ranjivosti.
Ako bismo ipak slučajno pronašli ozbiljnu ranjivost, u nastavku je opisano kako se nosimo s tim.
U slučaju sumnje na ozbiljnu ranjivost, za svaki se slučaj razmatra pristup koji pruža najveću sigurnost u najkraćem roku. Postoji nekoliko opcija koje se razmatraju:
- Je li to nova ranjivost koja još nije poznata (nema CVE), tada postoji nekoliko opcija. Ovisi o tome gdje je ranjivost utvrđena i koliko je ozbiljna. Razmatraju se sljedeći putovi:
- Prijenos na Nizozemski institut za otkrivanje ranjivosti. Oni imaju infrastrukturu za identifikaciju žrtava ove ranjivosti i upozoravanje na curenje. Ova akcija je naša preferirana.
- Kada proizvođač softvera ima dobar proces Koordiniranog otkrivanja ranjivosti, ova se ranjivost također prosljeđuje izravno proizvođaču. To se događa samo kada se može vjerovati.
- Primjenjuju se pravila igre oko Koordiniranog otkrivanja ranjivosti kako bi se obavijestila ranjiva strana.
- Kada se radi o poznatoj ranjivosti, slijede se pravila igre oko Koordiniranog otkrivanja ranjivosti. Provjerava se je li organizacija uspostavila takav proces.
- Ako nije uspostavljen CVD proces, kontaktira se sigurnosna krovna organizacija kojoj ta organizacija pripada. To je, na primjer, Služba za informacijsku sigurnost za općine ili Nacionalni centar za kibernetičku sigurnost za nacionalnu vladu.
- Razmatra se prosljeđivanje obavijesti putem Sigurnosne kontaktne točke.
- Komunikacija o ozbiljnoj ranjivosti razmatra se prema pravilima igre CVD-a. Budući da pronalaženje i objavljivanje novih ranjivosti nije naš cilj, komunikacija o novim ranjivostima, ako se to ikada dogodi, vjerojatno će se odvijati putem stranke kojoj je prijavljena, Sigurnosne kontaktne točke, DIVD-a ili slične organizacije.
Primjeri neobjavljivih ranjivosti su: SQL injekcija, skriptiranje na više web-mjesta, korištenje slabih lozinki, procurile lozinke, izvršavanje udaljenog koda, preljevi međuspremnika i CVE-ovi.
Primjer scenarija ozbiljne ranjivosti
Ovaj se primjer temelji na istinitom scenariju i poznatoj ranjivosti: isključivanje modula zbog kojeg su datoteke s lozinkama bile izravno čitljive na naslovnici stranice (isključivanje PHP-a). Ovo je pogreška u konfiguraciji.
Volonter pregledava informacije na basisbeveiliging.nl. Volonter vidi stranicu: „oud.belangrijkeoganisatie.nl”, sa slabom sigurnošću. Volonter se zainteresira i posjeti stranicu.
Prilikom posjeta stranici ispada da nešto nije u redu s konfiguracijom: izvorni kod stranice je vidljiv umjesto lijepe web stranice. U ovom izvornom kodu nalazi se lozinka baze podataka i veze na osjetljive datoteke.
Volonter zna da to nije namjera i savjetuje se s drugim volonterima što je pametno učiniti. Ovo se odnosi na pojedinačnu i poznatu ranjivost, slijede se pravila CVD-a.
Volonter kontaktira sigurnosnu organizaciju koja pripada web stranici. Razmjenjuju se informacije o ranjivosti i organizacija slijedi interne procese koji pripadaju CVD-u i rješavanju ranjivosti.
Organizacija je riješila ranjivost u razumnom roku. Ponekad organizacija odluči nagraditi prijavitelja poklonom ili spominjanjem u kući slavnih.