Atruna: Šīs lapas oriģināls rakstīts holandiešu valodā. Šī lapa ir automātiski tulkota citās valodās, izmantojot DeepL. Tas var radīt nianšu, toņa un nozīmes atšķirības. Ja rodas šaubas, vienmēr vispirms skatiet holandiešu valodas versiju. Tā kā tulkojumu izmaksas ir augstas, šī lapa satura ziņā var atpalikt no holandiešu valodas versijas. Mēs uzskatām šīs lapas holandiešu valodas versiju par vadošo.
Internet Cleanup Foundation ir izstrādājis rīcības kodeksu, kurā izklāstīti pamatprincipi par to, kādi mērījumi ir un kādi nav publicējami.
Šajā lapā tas ir sīkāk aplūkots ar praktiskiem piemēriem.
Publiski mērījumi ar sabiedrisku mērķi
Principā pamatdrošība nodrošina drošību pamatlīmenī. To var brīvi publicēt, nepalielinot ļaunprātīgas izmantošanas risku vairāk, nekā tas jau ir. Apsveriet mērījumus, kur trūkst parasto drošības pasākumu.
Basisbeveiliging.nl datubāzē ir vairāk nekā 10 miljoni unikālu mērījumu. Visus datu bāzē esošos mērījumus jebkurā laikā var pilnībā publicēt vai nopludināt, neradot jaunus riskus, ko uzbrucējs var izmantot.
Organizācijai ar atbilstošu drošības politiku vienmēr būs zaļš pamatdrošības līmenis: mērījumi paši par sevi nav nekas jauns vai šokējošs, taču dažkārt var būt šokējošs to nepiemērošana.
Pamatdrošības mērījumi ir saistīti ar ētisko hakeru un drošības testēšanu. Pastāv liela līdzība ar profesionālās drošības testēšanas pirmajiem soļiem, piemēram, uzbrukuma virsmas kartēšana. Tas ietver domēnus, porti un programmatūru. Tā ir publiski pieejama informācija, ko ir viegli apkopot plašā mērogā. Ir daudzi uzņēmumi, kas to dara un piedāvā par ļoti zemām izmaksām vai pat publiski un bez maksas.
Basic Security nekad nepublicē nopietnas vai kritiskas ievainojamības. Tā atstāj to citām organizācijām, piemēram, profesionāliem drošības testēšanas uzņēmumiem, piemēram, Secura, Zerocopter, vai brīvprātīgām organizācijām, piemēram, DIVD.
Publicējami secinājumi
Internet Cleanup Foundation publicē informāciju par ievainojamībām un trūkstošajiem drošības pasākumiem. Tas to dara ar mērķi panākt, lai šīs ievainojamības tiktu novērstas. Pamatojoties uz rīcības kodeksu, tiek noteikts, vai ievainojamību var publicēt. Šajā gadījumā tiek ņemtas vērā sabiedrības intereses, proporcionalitāte un subsidiaritāte.
Publicējamās ievainojamības ir publiski pieejamas ikvienam drošības pamatvietnē. Tai var piekļūt arī automātiski.
Publicējamās ievainojamības tiek vērtētas pēc riska pakāpes. Tas ir atšķirīgs riska novērtējums, kas ir izplatīts drošības pasaulē, jo mērījumu spektrs ir atšķirīgs. Drošības pamatspektrā ir četras pakāpes, kas tiek skalētas atkarībā no tā, kas potenciāli varētu notikt nepareizi. Tas ir pretstatā parastajiem drošības testiem, kuros vieni un tie paši secinājumi tiek salīdzināti ar lietām, kas pašlaik patiešām notiek nepareizi. Ja Basic Security kaut ko novērtē kā “augstu”, tad profesionālā drošības testā tas tiks atzīmēts kā “info”, “zems” vai īpašā gadījumā kā “vidējs” atkarībā no testa mērķa.
Laika gaitā drošības pamatpakāpes tiek pakāpeniski mainītas, lai lēnām paaugstinātu drošības pamatpakāpes līmeni. Ja šogad kāds mērījums ir oranžā krāsā, nākamgad tas var būt sarkanā krāsā, lai pievērstu tam lielāku uzmanību. Piemēram, security.txt piemērošana nav obligāta līdz 2023. gada vidum, tāpēc aptuveni šajā laikā ne visas organizācijas piemēros šo standartu. Tomēr līdz 2024. gada vidum tas būs nepieņemami, jo būs pagājis gads, lai to piemērotu. Vairāk par to ir izklāstīts mērījumu politikā.
Šīs ir četras pakāpes, ko mēs izmantojam:
Sarkana: tas ir augsta riska ievainojamība. Šeit runa ir par nepilnību, kas jānovērš. Apskatiet, piemēram, vāju šifrēšanu. Versijas informācijas noplūde (lasiet: uzbrucējam tiek pateikts, ko izpildīt) un tamlīdzīgi.
Oranžā krāsā: tas bieži attiecas uz iestādēm un administratīviem trūkumiem. Arī jauni mērījumi, kuriem galu galā vajadzētu būt sarkaniem, bet ieviešanas nolūkos tie ir oranžā krāsā: lai padarītu mērījumu redzamu un īstenojamu atbildīgajās organizācijās.
Zaļa (zema): mērījums, kas ietver novirzi no drošības, kurai (pagaidām) ir ļoti maza ietekme, jo ir maz cilvēku, kuri var saskarties ar šo problēmu, un tādā gadījumā bieži vien jau ir pakļauti daudz nopietnākām problēmām. Šo līmeni izmanto arī mērījumiem, kas nākotnē var būt saistīti ar juridiskām saistībām, bet šobrīd nav ļoti izplatīti.
Zaļš (ok): Šajā punktā ir nodrošināta drošība.
Konstatējumiem vienmēr tiek pievienota dokumentācija, atsauces un, ja iespējams, otra atzinuma saite, pēc kuras var veikt atkārtotu testu. Tas ir arī mērījumu politikā. Tas ļauj uzzināt par jaunā konstatējuma atbilstību un nekavējoties pārbaudīt, vai ievainojamība ir novērsta.
Publicējamo ievainojamību piemēri ir šādi: nav šifrēšanas, nav DNSSEC, nav security.txt, nav pakalpojuma fiziskās atrašanās vietas, RPKI piemērošana, publiskās versijas informācija.
Uz visu tīmekļa vietnēs sniegto informāciju, tostarp visiem mērījumiem, attiecas mūsu atruna. Tāpēc, izmantojot šos datus, jūs vienmēr rīkojaties uz sava rēķina un riska. Mēs darām visu iespējamo, lai vienmēr publicētu pareizus un aktuālus mērījumus, vairāk par to lasiet mērījumu politikā.
Kā tiek publicēti jauni mērījumi
Pirms jauna mērījuma publicēšanas par to vispirms tiek paziņots jumta organizācijām, lai tās varētu rīkoties. Līdz tam laikam paši mērījumu rezultāti bieži vien vēl nav iedziļinājušies. Vismaz mēnesi vēlāk mērījums kļūst redzams un publiski pieejams.
Pēc tam sekos pārbaudes periods, kura laikā mērījums tiks novērtēts ne vairāk kā oranžā krāsā. Šajā izmēģinājuma periodā ikviens var reaģēt uz mērījumu, un mērījumu var padarīt stingrāku. Šis periods parasti ilgst mēnesi vai divus. Pēc šī perioda mērījumu atkārtoti mēra un, iespējams, nosaka sarkano krāsu.
Piemērs scenārijs publicējama ievainojamība
Organizācijai ir nepieciešama tīmekļa vietne. Šo tīmekļa vietni nodrošina izstrādes aģentūra. Izstrādes aģentūra izmanto standarta programmatūru un galvenokārt koncentrējas uz funkcionalitāti un informāciju.
Tīmekļa vietne tiks palaista, bet drošības jautājumi vēl nav atrisināti. Piemēram, vietne vēl nav pieejama, izmantojot šifrētu savienojumu (1: https), nav garantiju, vai domēna vārds pieder vietnes ip adresei (2: DNSSEC), un ir publiski pieejams pārvaldības panelis (3: pieteikšanās panelis), kurā norādīts, ka tā ir aptuveni programmatūras versija 7.0.2 (4: informācija par versiju).
Šis gadījums uzbrucējam sniedz dažāda veida rokturus, no kuriem var viegli izvairīties. Uzbrucējam nav nepieciešams pielikt gandrīz nekādas pūles, lai tos atrastu, un viņš jau sen un plaši automatizējis šīs zināšanas, lai šādā veidā nodarītu pēc iespējas lielāku kaitējumu.
Šajā gadījumā uzbrucējs var izmantot ievainojamības šādos veidos: var lasīt kopā ar interneta datplūsmu tajā pašā tīklā, piemēram, Wi-Fi karstajā punktā, jo nav https (1: https), tajā pašā tīklā uzbrucējs var novirzīt datplūsmu uz viltotu lapu (2: dnssec), var veikt mēģinājumus pieteikties pārvaldības lapā jebkurā pasaules vietā (3: pieteikšanās panelis) un meklēt un izmantot publiski zināmas ievainojamības jebkurā pasaules vietā (4: informācija par versiju).
Uzbrucējiem jau ir šī informācija, tāpēc ir svarīgi, lai tā būtu pieejama arī tiem, kam jāaizsargājas. Visos šajos uzbrukumos pamatā ir atklātība un laba profesionalitāte.
Ja tiek kompetenti ievērotas zināmās drošības sistēmas un standartu sistēmas, visas šīs ievainojamības nepastāv. Padomājiet par ISO27002, NEN7510, Informācijas drošības pamatprincipu valdību un tamlīdzīgi. Ņemiet vērā, ka šādi ietvari nav praktiski izmantojami un ļauj katram pašam mērīt un novērtēt risinājumus. Rezultātā vienā un tajā pašā situācijā iesācējs satura ziņā uzrakstīs atšķirīgu plānu nekā profesionālis. Drošības pamatprincipos mēs uzstādām noteiktu latiņu, kas ir būtiska visos gadījumos. Vieniem šī latiņa šķiet pārāk augsta, citiem – pārāk zema. Jebkurā gadījumā tas ir pamats.
Nepublicējamas ievainojamības
Drošības pamatprasības ir vērstas uz drošības pamatprasībām.
Fonda brīvprātīgie dažkārt atrod arī nopietnas ievainojamības. Tas ir blakusprodukts, nevis fonda mērķis. Lūk, kā mēs to risinām. Aktīvu nopietnu ievainojamību meklēšanu veic draudzīgā organizācija DIVD. Tātad drošības bāze nekad aktīvi nemeklē nopietnas ievainojamības.
Ja nejauši atklātu nopietnu ievainojamību, turpmāk aprakstīts, kā mēs to novērsīsim.
Ja ir aizdomas par nopietnu ievainojamību, katrā gadījumā atsevišķi tiek apsvērta pieeja, kas nodrošina vislielāko drošību visīsākajā termiņā. Tiek apsvērtas vairākas iespējas:
- Ja tā ir jauna ievainojamība, kas vēl nav zināma (nav CVE), ir vairākas iespējas. Tas ir atkarīgs no tā, kur ievainojamība ir identificēta un kāda ir tās nopietnība. Tiek apsvērti šādi ceļi:
- Nodošana Nīderlandes Ievainojamību atklāšanas institūtam. Viņiem ir infrastruktūra, lai identificētu šīs ievainojamības upurus un brīdinātu par noplūdi. Šai rīcībai mēs dodam priekšroku.
- Ja programmatūras radītājam ir pienācīgs koordinēts ievainojamību atklāšanas process, šī ievainojamība tiek nodota tieši autoram. Tas notiek tikai tad, ja to var darīt konfidenciāli.
- Lai paziņotu neaizsargātajai pusei, tiek piemēroti pamatnoteikumi par koordinētu ievainojamību atklāšanu.
- Kad runa ir par zināmu ievainojamību, tiek ievēroti koordinētas ievainojamību atklāšanas pamatnoteikumi. Tiek pārbaudīts, vai organizācijā ir ieviests šāds process.
- Ja CVD process nav ieviests, sazinās ar drošības jumta organizāciju, kurai tas pieder. Tas ir, piemēram, Informācijas drošības dienests pašvaldībām vai Valsts kiberdrošības centrs valsts valdībai.
- Tiek apsvērta iespēja ziņojumu pārsūtīt, izmantojot drošības informācijas līniju.
- Saziņa par nopietnu neaizsargātību tiks izskatīta saskaņā ar CVD pamatnoteikumiem. Tā kā jaunu ievainojamību atklāšana un publicēšana nav mūsu mērķis, saziņa par jaunām ievainojamībām, ja tāda vispār notiek, visticamāk, notiks ar tās puses starpniecību, kurai par to tika ziņots, ar drošības informācijas līnijas, DIVD vai līdzīgas organizācijas starpniecību.
Nepublicējamo ievainojamību piemēri ir šādi: SQL injekcija, krusteniskā vietnes skriptu izmantošana, vāju paroļu izmantošana, noplūdušas paroles, attālināta koda izpilde, bufera pārpildīšana un CVE.
Smagas ievainojamības scenārija piemērs
Šis piemērs ir balstīts uz patiesu scenāriju un zināmu ievainojamību: moduļa atspējošana, kas padarīja paroles saturošus failus tieši lasāmus vietnes pirmajā lapā (atspējoja PHP). Tā ir konfigurācijas kļūda.
Brīvprātīgais pārlūko informāciju vietnē basicsecurity.co.uk. Brīvprātīgais ierauga vietni: “oud.belangrijkeoganisation.nl”, kurai tādējādi var būt vāja drošība. Brīvprātīgais izrāda interesi un apmeklē šo vietni.
Apmeklējot vietni, izrādās, ka kaut kas nav kārtībā ar konfigurāciju: tā vietā, lai redzētu skaistu vietni, ir redzams vietnes pirmkods. Šajā pirmkodā ir ietverta datubāzes parole un saites uz sensitīviem failiem.
Brīvprātīgais zina, ka tas nav paredzēts, un konsultējas ar citiem brīvprātīgajiem par to, ko būtu prātīgi darīt. Runa ir par individuālu un zināmu neaizsargātību, tiek ievēroti CVD noteikumi.
Brīvprātīgais sazinās ar tīmekļa vietnei piederošo drošības organizāciju. Notiek informācijas apmaiņa par ievainojamību, un organizācija ievēro iekšējos procesus, kas saistīti ar CVD un ievainojamības novēršanu.
Organizācija novērsa šo ievainojamību pārskatāmā nākotnē. Dažreiz organizācija izvēlas apbalvot ziņotāju ar dāvanu vai ierakstu žurnālā. slavas zālē.