Odmietnutie zodpovednosti: Pôvodná verzia tejto stránky je napísaná v holandčine. Táto stránka bola automaticky preložená do iných jazykov pomocou DeepL. To môže mať za následok rozdiely v nuansách, tóne a význame. V prípade pochybností si vždy najprv prečítajte holandskú verziu. Vzhľadom na vysoké náklady na preklady môže táto stránka obsahovo zaostávať za holandskou verziou. Holandskú verziu tejto stránky považujeme za vedúcu.
Nadácia Internet Cleanup Foundation má kódex správania, ktorý stanovuje základné zásady týkajúce sa toho, aké merania sa zverejňujú a aké nie.
Na tejto stránke sa tomu venujeme podrobnejšie na praktických príkladoch.
Verejné merania s verejným účelom
Základné zabezpečenie v zásade zabezpečuje bezpečnosť na základnej úrovni. Tá môže byť voľne zverejnená bez toho, aby sa zvýšilo riziko zneužitia nad rámec toho, čo už je. Zvážte meranie, kde chýbajú bežné bezpečnostné opatrenia.
Databáza Basisbeveiliging.nl obsahuje viac ako 10 miliónov jedinečných meraní. Všetky merania v databáze môžu byť kedykoľvek zverejnené v plnom rozsahu alebo uniknúť bez toho, aby vznikli nové riziká, ktoré môže útočník zneužiť.
Organizácia s primeranou bezpečnostnou politikou bude mať v oblasti základnej bezpečnosti vždy zelenú: samotné merania nie sú novinkou ani šokujúce, ale ich nedostatočné uplatňovanie môže byť niekedy šokujúce.
Merania základnej bezpečnosti sú v oblasti etického hackingu a testovania bezpečnosti. Existujú veľké podobnosti s prvými krokmi profesionálneho testovania bezpečnosti, ako je mapovanie povrchu útoku. To zahŕňa domény, porty a softvér. Ide o verejné informácie, ktoré sa dajú ľahko zhromažďovať vo veľkom rozsahu. Existuje mnoho spoločností, ktoré to robia a ponúkajú to za veľmi nízke náklady alebo dokonca verejne a zadarmo.
Spoločnosť Basic Security nikdy nezverejňuje závažné alebo kritické zraniteľnosti. Prenecháva to iným organizáciám, napríklad profesionálnym spoločnostiam zaoberajúcim sa testovaním bezpečnosti, ako sú Secura, Zerocopter, alebo dobrovoľným organizáciám, ako je DIVD.
Zistenia, ktoré možno publikovať
Nadácia Internet Cleanup Foundation zverejňuje informácie o zraniteľnostiach a chýbajúcich bezpečnostných opatreniach. Robí tak s cieľom dosiahnuť opravu týchto zraniteľností. Na základe kódexu správania sa určí, či sa zraniteľnosť môže zverejniť. Tu sa zohľadňuje verejný záujem, proporcionalita a subsidiarita.
Zraniteľnosti, ktoré možno zverejniť, sú verejne dostupné pre všetkých na základnej webovej lokalite zabezpečenia. Prístup k nim je možný aj automaticky.
Zraniteľnosti, ktoré možno zverejniť, sú hodnotené podľa rizika. Ide o iné hodnotenie rizík, ktoré je bežné vo svete bezpečnosti, pretože spektrum meraní je odlišné. Spektrum na základnom zabezpečení má štyri stupne, ktoré sú odstupňované podľa toho, čo by sa potenciálne mohlo pokaziť. Je to na rozdiel od bežných bezpečnostných testov, ktoré proti sebe stavajú tie isté zistenia o veciach, ktoré sa v súčasnosti naozaj pokazia. Tam, kde základné zabezpečenie hodnotí niečo ako „vysoké“, v profesionálnom bezpečnostnom teste to bude zaradené ako „info“, „nízke“ alebo v špeciálnom prípade ako „stredné“ v závislosti od účelu testu.
Odstupňovanie základnej bezpečnosti sa časom mení, aby sa pomaly zvyšovala latka základnej bezpečnosti. Ak je meranie v tomto roku oranžové, v budúcom roku môže byť červené, aby sa naň viac upozornilo. Napríklad uplatňovanie security.txt nie je povinné až do polovice roka 2023, takže približne v tom čase nebudú všetky organizácie uplatňovať tento štandard. V polovici roka 2024 by to však už bolo neprijateľné, pretože budú mať rok na jeho uplatnenie. Viac informácií o tom nájdete v politike merania.
Toto sú štyri stupne, ktoré uplatňujeme:
Červená: predstavuje vysoko rizikovú zraniteľnosť. Tu ide o nedokonalosť, ktorú je potrebné odstrániť. Zoberme si napríklad slabé šifrovanie. Únik informácií o verzii (čítaj: informovanie útočníka, čo má vykonať) a podobne.
Oranžová farba: často sa týka inštitúcií a administratívnych nedostatkov. Taktiež nové merania, ktoré by mali byť nakoniec červené, ale na zavedenie sú škálované ako oranžové: aby bolo meranie viditeľné a uskutočniteľné v zodpovedných organizáciách.
Zelená (nízka): Meranie zahŕňajúce odchýlku v oblasti bezpečnosti, ktorá má (zatiaľ) veľmi malý vplyv, pretože existuje len málo ľudí, ktorí sa môžu stretnúť s týmto problémom, a v takom prípade sú už často vystavení širokému spektru závažnejších problémov. Táto úroveň sa používa aj pre merania, ktoré môžu v budúcnosti zahŕňať právne povinnosti, ale v súčasnosti nie sú veľmi časté.
Zelená (v poriadku): Správne meranie: v tomto bode je zaistená bezpečnosť.
K nálezom sa vždy poskytuje dokumentácia, odkazy a podľa možnosti aj odkaz na druhé stanovisko, na základe ktorého sa môže vykonať opakovaný test. Tieto informácie sú tiež uvedené v zásadách merania. To umožňuje poznať relevantnosť nového nálezu a okamžite overiť, či bola zraniteľnosť odstránená.
Medzi príklady zverejniteľných zraniteľností patria: chýbajúce šifrovanie, chýbajúci DNSSEC, chýbajúci security.txt, fyzické umiestnenie služby, použitie RPKI, informácie o verejnej verzii.
Na všetky informácie na webových stránkach vrátane všetkých meraní sa vzťahuje naše vyhlásenie o vylúčení zodpovednosti. Konanie na základe týchto zistení je preto vždy na vaše vlastné náklady a riziko. Robíme všetko pre to, aby sme vždy zverejňovali správne a aktuálne miery, viac sa o tom dočítate v zásadách merania.
Ako sa zverejňujú nové merania
Pred zverejnením nového merania sa najprv oznámi zastrešujúcim organizáciám, aby mohli prijať opatrenia. Vtedy ešte samotné výsledky merania často nie sú prehľadné. Najmenej o mesiac neskôr sa meranie stáva viditeľným a verejným.
Potom bude nasledovať skúšobné obdobie, počas ktorého bude meranie hodnotené nanajvýš oranžovou farbou. Počas tohto skúšobného obdobia môže každý na meranie reagovať a meranie sa môže sprísniť. Toto obdobie zvyčajne trvá mesiac alebo dva. Po uplynutí tohto obdobia sa meranie opätovne skvalitní a prípadne sa nastaví na červenú farbu.
Príklad scenára zverejniteľnej zraniteľnosti
Organizácia potrebuje webovú stránku. Túto webovú stránku dodáva vývojová agentúra. Táto vývojová agentúra používa štandardný softvér a zameriava sa najmä na funkčnosť a informácie.
Webová stránka je v prevádzke, ale bezpečnosť ešte nebola vyriešená. Napríklad stránka ešte nie je prístupná cez šifrované pripojenie (1: https), nie je zaručené, či názov domény patrí k ip adrese stránky (2: DNSSEC) a je verejný panel správy (3: panel prihlásenia), ktorý ukazuje, že ide o verziu softvéru 7.0.2 (4: informácie o verzii).
Tento prípad poskytuje útočníkovi všetky druhy úchytiek, ktorým sa dá ľahko vyhnúť. Útočník nepotrebuje takmer žiadne úsilie na ich nájdenie a má tieto znalosti dlhodobo a široko zautomatizované, aby týmto spôsobom spôsobil čo najviac škôd.
V tejto prípadovej štúdii môže útočník zneužiť zraniteľnosti nasledujúcimi spôsobmi: môže čítať spolu s internetovou prevádzkou v tej istej sieti, napríklad v hotspote Wi-Fi, pretože chýba protokol https (1: https), v tej istej sieti môže útočník presmerovať prevádzku na falošnú stránku (2: dnssec), môže sa pokúsiť prihlásiť na stránku správy kdekoľvek na svete (3: prihlasovací panel) a vyhľadávať a uplatňovať verejne známe zraniteľnosti kdekoľvek na svete (4: informácie o verziách).
Útočníci už tieto informácie majú, preto je dôležité, aby ich mali aj ľudia, ktorí sa musia brániť. Pri všetkých týchto útokoch je základom otvorenosť a dobrá profesionalita.
Ak sa kompetentne dodržiavajú známe bezpečnostné rámce a štandardy, všetky tieto zraniteľnosti sa nevyskytujú. Spomeňte si na ISO27002, NEN7510, Baseline Information Security Government a podobne. Upozorňujeme, že takéto rámce nie sú praktické a nech si každý meria a meria riešenia sám. Výsledkom je, že v rovnakej situácii začiatočník napíše obsahovo iný plán ako profesionál. V základnom zabezpečení sme si stanovili určitú latku, ktorá je relevantná vo všetkých prípadoch. Niektorým sa táto latka zdá príliš vysoká, iným príliš nízka. V každom prípade je to základ.
Nezverejniteľné zraniteľnosti
Základné zabezpečenie sa zameriava na základné bezpečnostné požiadavky.
Dobrovoľníci nadácie niekedy nájdu aj závažné zraniteľnosti. Je to vedľajší produkt, nie cieľ nadácie. Tu je uvedený spôsob, ako to riešime. Aktívne vyhľadávanie závažných zraniteľností vykonáva spriatelená organizácia DIVD. Základňa zabezpečenia teda nikdy aktívne nevyhľadáva závažné zraniteľnosti.
Ak náhodou nájdeme závažnú zraniteľnosť, nižšie je uvedený postup, ako ju vyriešiť.
Pri podozrení na závažnú zraniteľnosť sa v každom jednotlivom prípade zvažuje prístup, ktorý poskytuje najväčšiu bezpečnosť v najkratšom čase. Zvažuje sa niekoľko možností:
- Ak ide o novú zraniteľnosť, ktorá ešte nie je známa (nie je to CVE), existuje niekoľko možností. Záleží na tom, kde bola zraniteľnosť identifikovaná a aká je jej závažnosť. Do úvahy prichádzajú tieto cesty:
- Odovzdanie holandskému inštitútu pre zverejňovanie zraniteľností. Majú infraštruktúru na identifikáciu obetí tejto zraniteľnosti a varovanie pred únikom. Tento postup je našou uprednostňovanou možnosťou.
- Ak má tvorca softvéru riadny proces koordinovaného zverejňovania zraniteľností, táto zraniteľnosť sa tiež odovzdá priamo tvorcovi. To sa deje len vtedy, keď sa to dá urobiť dôverne.
- Na oznámenie zraniteľnej strany sa uplatňujú základné pravidlá týkajúce sa koordinovaného zverejnenia zraniteľnosti.
- Ak ide o známu zraniteľnosť, dodržiavajú sa základné pravidlá týkajúce sa koordinovaného zverejňovania zraniteľností. Skúma sa, či má organizácia takýto proces zavedený.
- Ak nie je zavedený žiadny proces CVD, kontaktuje sa bezpečnostná zastrešujúca organizácia, do ktorej patrí. Je to napríklad Informačná bezpečnostná služba pre obce alebo Národné centrum kybernetickej bezpečnosti pre štátnu správu.
- Zvažuje sa postúpenie správy prostredníctvom bezpečnostnej horúcej linky.
- Komunikácia v súvislosti so závažnou zraniteľnosťou sa bude posudzovať podľa základných pravidiel CVD. Keďže vyhľadávanie a zverejňovanie nových zraniteľností nie je naším cieľom, komunikácia o nových zraniteľnostiach, ak k nej vôbec dôjde, bude pravdepodobne prebiehať prostredníctvom strany, ktorej bola nahlásená, bezpečnostnej linky, DIVD alebo podobnej organizácie.
Medzi príklady zraniteľností, ktoré nie je možné zverejniť, patria: SQL injection, cross-site scripting, používanie slabých hesiel, uniknuté heslá, vzdialené vykonávanie kódu, pretečenie buffera a CVE.
Príklad scenára závažnej zraniteľnosti
Tento príklad je založený na skutočnom scenári a známej zraniteľnosti: vypnutie modulu, ktorý umožňoval priame čítanie súborov obsahujúcich heslá na úvodnej stránke webu (vypnutie PHP). Ide o chybu konfigurácie.
Dobrovoľník si prezerá informácie na stránke basicsecurity.co.uk. Dobrovoľník vidí stránku: „oud.belangrijkeoganisation.nl“, ktorá preto môže mať slabé zabezpečenie. Dobrovoľníka to zaujme a navštívi túto stránku.
Pri návšteve stránky sa zdá, že niečo nie je v poriadku s konfiguráciou: namiesto krásnej webovej stránky je vidieť zdrojový kód stránky. Tento zdrojový kód obsahuje heslo k databáze a odkazy na citlivé súbory.
Dobrovoľník vie, že to nie je jeho zámer, a konzultuje s ostatnými dobrovoľníkmi, čo je rozumné urobiť. Ide o individuálnu a známu zraniteľnosť, dodržiavajú sa pravidlá CVD.
Dobrovoľník kontaktuje bezpečnostnú organizáciu, ktorá patrí k webovej stránke. Vymenia sa informácie o zraniteľnosti a organizácia postupuje podľa interných procesov súvisiacich s CVD a riešením zraniteľnosti.
Organizácia vyriešila zraniteľnosť v dohľadnom čase. Niekedy sa organizácia rozhodne odmeniť oznamovateľa dobrotou alebo zápisom do sieni slávy.