Odmítnutí odpovědnosti: Originál této stránky je v nizozemštině. Tato stránka byla automaticky přeložena do jiných jazyků pomocí DeepL. To může mít za následek rozdíly v nuancích, tónu a významu. V případě pochybností vždy nejprve nahlédněte do nizozemské verze. Vzhledem k vysokým nákladům na překlady může tato stránka obsahově zaostávat za nizozemskou verzí. Nizozemskou verzi této stránky považujeme za vedoucí.
Nadace Internet Cleanup Foundation má kodex chování, který stanoví základní zásady, jaká měření se zveřejňují a jaká ne.
Na této stránce je tato problematika dále rozebrána na praktických příkladech.
Veřejná měření s veřejným účelem
Základní zabezpečení v zásadě zajišťuje bezpečnost na základní úrovni. To lze volně zveřejnit, aniž by se zvýšilo riziko zneužití nad rámec toho, co už je. Zvažte měření, kde běžná bezpečnostní opatření chybí.
Databáze Basisbeveiliging.nl obsahuje více než 10 milionů unikátních měření. Všechna měření v databázi mohou být kdykoli plně zveřejněna nebo uniknout, aniž by vznikla nová rizika, která by mohl útočník zneužít.
Organizace s odpovídající bezpečnostní politikou bude mít v oblasti základního zabezpečení vždy zelenou: měření sama o sobě nejsou novinkou ani šokujícím zjištěním, ale jejich nedostatečná aplikace někdy ano.
Měření základní bezpečnosti se týká oblasti etického hackingu a testování bezpečnosti. Existují zde velké podobnosti s prvními kroky profesionálního testování bezpečnosti, jako je mapování povrchu útoku. To zahrnuje domény, porty a software. Jedná se o veřejné informace, které lze snadno shromažďovat ve velkém měřítku. Existuje mnoho společností, které se tímto zabývají a nabízejí je za velmi nízkou cenu nebo dokonce veřejně a zdarma.
Společnost Basic Security nikdy nezveřejňuje závažné nebo kritické zranitelnosti. Přenechává to jiným organizacím, například profesionálním společnostem zabývajícím se testováním bezpečnosti, jako je Secura, Zerocopter, nebo dobrovolným organizacím, jako je DIVD.
Publikovatelná zjištění
Nadace Internet Cleanup Foundation zveřejňuje informace o zranitelnostech a chybějících bezpečnostních opatřeních. Činí tak s cílem zajistit opravu těchto zranitelností. Na základě kodexu chování se určuje, zda může být zranitelnost zveřejněna. Přitom se zohledňuje veřejný zájem, proporcionalita a subsidiarita.
Publikovatelné zranitelnosti jsou veřejně dostupné všem na základních webových stránkách zabezpečení. K těm lze přistupovat i automaticky.
Publikovatelné zranitelnosti jsou hodnoceny podle rizika. Jedná se o odlišné hodnocení rizik, které je běžné ve světě bezpečnosti, protože spektrum měření je odlišné. Spektrum na základní zabezpečení má čtyři stupně, které jsou odstupňovány podle toho, co by se mohlo potenciálně pokazit. To je na rozdíl od obvyklých bezpečnostních testů, které proti sobě staví stejná zjištění a věci, které se skutečně pokazí právě teď. Tam, kde základní zabezpečení hodnotí něco jako „vysoké“, v profesionálním testu zabezpečení se to podle účelu testu zařadí jako „info“, „nízké“ nebo ve zvláštním případě jako „střední“.
Odstupňování základního zabezpečení se v průběhu času mění, aby se pomalu zvyšovala laťka základního zabezpečení. Pokud je v tomto roce měření oranžové, může být v příštím roce červené, aby se na něj více upozornilo. Například použití standardu security.txt je povinné až od poloviny roku 2023, takže přibližně v té době nebudou všechny organizace tento standard používat. V polovině roku 2024 by to však bylo nepřijatelné, protože budou mít rok na jeho aplikaci. Více informací o této problematice naleznete v zásadách měření.
Jedná se o čtyři stupně, které používáme:
Červená: představuje vysoce rizikovou zranitelnost. Zde se jedná o nedokonalost, kterou je třeba opravit. Vezměme si například slabé šifrování. Únik informací o verzi (čti: sdělování útočníkovi, co má spustit) a podobně.
Oranžová barva: často se týká institucí a administrativních nedostatků. Také nová měření, která by nakonec měla být červená, ale pro zavedení jsou škálována jako oranžová: aby bylo měření viditelné a proveditelné v odpovědných organizacích.
Zelená (nízká): V tomto případě se jedná o odchylku od bezpečnosti, která má (zatím) velmi malý dopad, protože tento problém může mít jen málo lidí, kteří jsou již často vystaveni celé řadě závažnějších problémů. Tato úroveň se používá také pro měření, která mohou v budoucnu zahrnovat právní povinnosti, ale dnes nejsou příliš častá.
Zelená (v pořádku): Správné měření: v tomto bodě je zajištěna bezpečnost.
K nálezům je vždy přiložena dokumentace, reference a pokud možno odkaz na druhé stanovisko, na jehož základě lze provést opakovaný test. Tyto údaje jsou rovněž uvedeny v zásadách měření. To umožňuje poznat relevantnost nového nálezu a okamžitě ověřit, že zranitelnost byla odstraněna.
Příklady publikovatelných zranitelností: chybějící šifrování, chybějící DNSSEC, chybějící security.txt, fyzické umístění služby, použití RPKI, informace o veřejné verzi.
Na všechny informace na webových stránkách, včetně všech měření, se vztahuje naše prohlášení o vyloučení odpovědnosti. Jednání na základě těchto zjištění je proto vždy na vaše vlastní náklady a riziko. Snažíme se vždy zveřejňovat správné a aktuální míry, více informací o tom najdete v zásadách měření.
Jak se zveřejňují nová měření
Před zveřejněním nového měření je nejprve oznámeno zastřešujícím organizacím, aby se jím mohly zabývat. Do té doby často nejsou samotné výsledky měření ještě pronikavé. Nejméně o měsíc později se měření stává viditelným a veřejným.
Poté bude následovat zkušební doba, během níž bude měření hodnoceno nejvýše oranžovou barvou. Během této zkušební doby může každý na měření reagovat a měření může být zpřísněno. Toto období obvykle trvá měsíc nebo dva. Po uplynutí tohoto období se měření znovu škáluje a případně se nastaví na červenou barvu.
Příklad scénáře publikovatelné zranitelnosti
Organizace potřebuje webové stránky. Tyto webové stránky dodává vývojářská agentura. Tato vývojová agentura používá standardní software a zaměřuje se především na funkčnost a informace.
Webové stránky budou spuštěny, ale bezpečnost zatím nebyla řešena. Například web zatím není přístupný přes šifrované připojení (1: https), není zaručeno, zda doménové jméno patří k ip adrese webu (2: DNSSEC), a je zde veřejný panel správy (3: panel přihlášení), který ukazuje, že se jedná o verzi softwaru 7.0.2 (4: informace o verzi).
Tento případ dává útočníkovi nejrůznější úchyty, kterým se lze snadno vyhnout. Útočník k jejich nalezení nepotřebuje téměř žádné úsilí a má tyto znalosti dlouhodobě a široce zautomatizované, aby tímto způsobem napáchal co nejvíce škod.
V této případové studii může útočník zneužít zranitelnosti následujícími způsoby: může číst spolu s internetovým provozem ve stejné síti, například na hotspotu Wi-Fi, protože chybí protokol https (1: https), ve stejné síti může útočník přesměrovat provoz na falešnou stránku (2: dnssec), lze se pokusit přihlásit na stránku správy kdekoli na světě (3: přihlašovací panel) a vyhledat a použít veřejně známé zranitelnosti kdekoli na světě (4: informace o verzi).
Útočníci již tyto informace mají, proto je důležité, aby je měli i ti, kteří se musí bránit. Ve všech těchto útocích je základem otevřenost a dobrá profesionalita.
Pokud jsou kompetentně dodržovány známé bezpečnostní rámce a standardy, všechny tyto zranitelnosti se nevyskytují. Vzpomeňte si na ISO27002, NEN7510, Baseline Information Security Government a podobně. Všimněte si, že takové rámce nejsou praktické a nechť si každý měří a posuzuje řešení sám. Výsledkem je, že ve stejné situaci napíše začátečník jiný plán z hlediska obsahu než profesionál. V základním zabezpečení nastavujeme určitou laťku, která je relevantní ve všech případech. Pro někoho je tato laťka příliš vysoká, pro jiného příliš nízká. V každém případě je to základ.
Nezveřejnitelné zranitelnosti
Základní zabezpečení se zaměřuje na základní požadavky na zabezpečení.
Dobrovolníci nadace také někdy nacházejí závažné chyby. To je vedlejší produkt, nikoliv cíl nadace. Zde je uvedeno, jak se s tím vypořádáváme. Aktivní vyhledávání závažných zranitelností provádí spřátelená organizace DIVD. Základna zabezpečení tedy nikdy aktivně nevyhledává závažné zranitelnosti.
Pokud náhodou zjistíme závažnou zranitelnost, níže uvádíme, jak ji řešíme.
V případě podezření na závažnou zranitelnost se v každém jednotlivém případě zvažuje přístup, který zajistí největší bezpečnost v nejkratším čase. Zvažuje se několik možností:
- Pokud se jedná o novou zranitelnost, která ještě není známá (nejedná se o CVE), existuje několik možností. Záleží na tom, kde byla zranitelnost identifikována a jaká je její závažnost. V úvahu přicházejí následující cesty:
- Předání nizozemskému Institutu pro odhalování zranitelností. Mají infrastrukturu, která umožňuje identifikovat oběti této zranitelnosti a varovat před únikem. Tuto akci upřednostňujeme.
- Pokud má tvůrce softwaru správný proces koordinovaného odhalování zranitelností, je tato zranitelnost předána přímo tvůrci. To se děje pouze tehdy, když to lze provést důvěrně.
- Základní pravidla týkající se koordinovaného odhalení zranitelnosti se použijí pro oznámení zranitelné straně.
- Pokud jde o známou zranitelnost, dodržují se základní pravidla týkající se koordinovaného odhalování zranitelností. Zkoumá se, zda organizace takový proces zavedla.
- Pokud není zaveden žádný proces CVD, je kontaktována zastřešující bezpečnostní organizace, do které patří. Jedná se například o Službu informační bezpečnosti pro obce nebo Národní centrum kybernetické bezpečnosti pro státní správu.
- Zvažuje se předání zprávy prostřednictvím horké bezpečnostní linky.
- Komunikace v souvislosti s vážnou zranitelností bude posuzována podle základních pravidel CVD. Protože vyhledávání a zveřejňování nových zranitelností není naším cílem, komunikace o nových zranitelnostech, pokud k ní vůbec dojde, bude pravděpodobně probíhat prostřednictvím strany, které byla nahlášena, bezpečnostní horké linky, DIVD nebo podobné organizace.
Mezi příklady nezveřejnitelných zranitelností patří: SQL injection, cross-site scripting, používání slabých hesel, únik hesel, vzdálené spuštění kódu, přetečení bufferu a CVE.
Příklad scénáře závažné zranitelnosti
Tento příklad je založen na skutečném scénáři a známé zranitelnosti: zakázání modulu, který umožňoval přímé čtení souborů obsahujících hesla na titulní stránce webu (zakázání PHP). Jedná se o chybu konfigurace.
Dobrovolník si prohlíží informace na webu basicsecurity.co.uk. Dobrovolník vidí stránku: „oud.belangrijkeoganisation.nl“, která proto může mít slabé zabezpečení. Dobrovolníka to zaujme a stránku navštíví.
Při návštěvě webu se zdá, že něco není v pořádku s konfigurací: místo krásného webu je vidět zdrojový kód webu. Tento zdrojový kód obsahuje heslo k databázi a odkazy na citlivé soubory.
Dobrovolník ví, že to není jeho záměr, a konzultuje s ostatními dobrovolníky, co je rozumné udělat. Jedná se o individuální a známou zranitelnost, dodržují se pravidla CVD.
Dobrovolník kontaktuje bezpečnostní organizaci, která patří k dané webové stránce. Vymění si informace o zranitelnosti a organizace postupuje podle interních procesů spojených s CVD a řešením zranitelnosti.
Organizace tuto zranitelnost v dohledné době vyřešila. Někdy se organizace rozhodne odměnit oznamovatele nějakou dobrotou nebo zápisem do síně slávy.