Tutkimus RFC 9116:n käyttöönotosta suomalaisten organisaatioiden fi-verkkotunnuksissa
Jokinen, Esa (2023)
Jokinen, Esa
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202303274242
https://urn.fi/URN:NBN:fi:amk-202303274242
Tiivistelmä
RFC 9116 määrittelee verkkopalveluille polun "/.well-known/security.txt", jota organisaatiot voivat käyttää tietoturvayhteystietojensa ja -käytäntöjensä julkaisemiseen, jotta tietoturvatutkijoiden on helpompi ilmoittaa löytämistään haavoittuvuuksista. Haavoittuvuuksista on pystyttävä viestimään luottamuksellisesti, jotta ne ehditään korjata ennen kuin ne pääsevät julkisuuteen. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio avustaa haavoittuvuuden löytäjää parempaan yhteistyöhön ohjelmistovalmistajien ja järjestelmäintegroijien kanssa. Tässä tutkimuksessa selvitettiin, onko RFC 9116:sta konkreettista apua haavoittuvuuksista viestimisessä.
Tutkimuskysymyksinä oli selvittää, miten yleistä security.txt:n julkaiseminen on suomalaisissa organisaatioissa, millaisia tietoja niissä on julkaistu, sekä miten hyvin toteutuneet käytännöt noudattavat RFC 9116:n asettamia määrittelyjä ja ottavat huomioon sen nostamia turvallisuusnäkökohtia. Tutkimusjoukoksi valittiin suomalaisten organisaatioiden hallinnassa olevat fi-verkkotunnukset (n=366990 lokakuussa 2022 ja n=367942 helmikuussa 2023). Tutkimusaineisto kerättiin kaikkien verkkotunnusten juuren ja www-aliverkkotunnuksen kaikista sallituista HTTPS- ja HTTP-poluista. Ilmiöön liittymättömien havaintojen hylkäämissyyt tilastoitiin ja ilmiöön liittyvien havaintojen sisältöä analysoitiin. Näin tuotettiin kattavaa ja luotettavaa tietoa security.txt:n käytöstä, mistä on apua kyberturvallisuuden tilannekuvan muodostamisessa ja aiheeseen liittyvän opastuksen tuottamisessa.
RFC 9116:n käyttöönottoa voidaan tutkimusjoukon osalta pitää vielä marginaalisena ilmiönä, sillä security.txt:n on julkaistu vain 2,2 ‰:ssa kaikista verkkotunnuksista. Tiedosto ladattiin luotettua varmennetta käyttävässä yhteydessä 85 %:ssa verkkotunnuksista ja oli tarjolla vain salaamattomalla yhteydellä 6 %:ssa. Tiedostojen sisällöissä on suurta vaihtelevuutta, mikä hankaloittaa niiden koneluettavuutta. Kymmenen suurinta toimijaa on julkaissut tiedoston 85 %:ssa sen julkaisseista verkkotunnuksista. Näiden joukossa on myös palveluntarjoajia ja ohjelmistotuottajia, jotka ovat julkaisseet tiedoston asiakkaidensa verkkotunnuksissa. Koska yksittäisillä toimijoilla on täten suuri vaikutus verkkotunnuskohtaisiin tuloksiin, analysoitiin tuloksia myös saman toimijan julkaisemat tiedostot yhdistäen. Vaikka OpenPGP:tä tarjotaan salausmenetelmänä yhteydenottoihin, on sen käyttö tiedostojen allekirjoittamiseen hyvin harvinaista. Ilmiön seurantaa on syytä jatkaa, mikä tutkimusta varten kehitettyjen työkalujen avulla on jatkossa pitkälti automatisoitua. RFC 9116 defines a web service path "/.well-known/security.txt" organisations can use for publishing their vulnerability disclosure contacts and policies for security researchers. This communication should be confidential as the organisations must be able to address the vulnerability before it becomes public. The NCSC-FI vulnerability coordination helps the finders of vulnerabilities to co-operate with the software manufacturers and system integrators. This study examines whether RFC 9116 concretely provides a useful tool for this communication with Finnish organisations.
The research questions were how common publishing security.txt is in Finnish organisations, what kind of information is published, and how well the published files follow the specifications and security considerations of RFC 9116. The research group was the .fi domain names registered to Finnish organisations (n=366990 in October 2022 and n=367942 in February 2023). The data was collected from the domain apex and www subdomain using all the relevant HTTPS and HTTP paths. Statistics from the observations not related to the phenomenon as well as the reason to disregard them were made and the related observations were analysed further. This provided comprehensive and reliable information on the use of security.txt, which is helpful for situation awareness in cyber security and in producing guidance related to the topic.
The use of RFC 9116 within the research group was quite marginal as only 2.2 ‰ of the domains published the security.txt file in at least one of the paths examined. The connection used for retrieving the file was secured with a trusted certificate in 85 % of the domain names, and only available with plain text protocol in 6 %. The contents of the files varied decreasing machine readability. Ten largest actors published the file for 85 % of the domain names, allowing a single actor to affect the results significantly. Therefore, the combined domains from a single actor were analysed, too. Despite OpenPGP was offered as an encryption method for the communication, signing the files with OpenPGP was rare. It is recommended continuing monitoring the phenomenon, which will be largely automated in the future with the help of the tools developed for this research.
Tutkimuskysymyksinä oli selvittää, miten yleistä security.txt:n julkaiseminen on suomalaisissa organisaatioissa, millaisia tietoja niissä on julkaistu, sekä miten hyvin toteutuneet käytännöt noudattavat RFC 9116:n asettamia määrittelyjä ja ottavat huomioon sen nostamia turvallisuusnäkökohtia. Tutkimusjoukoksi valittiin suomalaisten organisaatioiden hallinnassa olevat fi-verkkotunnukset (n=366990 lokakuussa 2022 ja n=367942 helmikuussa 2023). Tutkimusaineisto kerättiin kaikkien verkkotunnusten juuren ja www-aliverkkotunnuksen kaikista sallituista HTTPS- ja HTTP-poluista. Ilmiöön liittymättömien havaintojen hylkäämissyyt tilastoitiin ja ilmiöön liittyvien havaintojen sisältöä analysoitiin. Näin tuotettiin kattavaa ja luotettavaa tietoa security.txt:n käytöstä, mistä on apua kyberturvallisuuden tilannekuvan muodostamisessa ja aiheeseen liittyvän opastuksen tuottamisessa.
RFC 9116:n käyttöönottoa voidaan tutkimusjoukon osalta pitää vielä marginaalisena ilmiönä, sillä security.txt:n on julkaistu vain 2,2 ‰:ssa kaikista verkkotunnuksista. Tiedosto ladattiin luotettua varmennetta käyttävässä yhteydessä 85 %:ssa verkkotunnuksista ja oli tarjolla vain salaamattomalla yhteydellä 6 %:ssa. Tiedostojen sisällöissä on suurta vaihtelevuutta, mikä hankaloittaa niiden koneluettavuutta. Kymmenen suurinta toimijaa on julkaissut tiedoston 85 %:ssa sen julkaisseista verkkotunnuksista. Näiden joukossa on myös palveluntarjoajia ja ohjelmistotuottajia, jotka ovat julkaisseet tiedoston asiakkaidensa verkkotunnuksissa. Koska yksittäisillä toimijoilla on täten suuri vaikutus verkkotunnuskohtaisiin tuloksiin, analysoitiin tuloksia myös saman toimijan julkaisemat tiedostot yhdistäen. Vaikka OpenPGP:tä tarjotaan salausmenetelmänä yhteydenottoihin, on sen käyttö tiedostojen allekirjoittamiseen hyvin harvinaista. Ilmiön seurantaa on syytä jatkaa, mikä tutkimusta varten kehitettyjen työkalujen avulla on jatkossa pitkälti automatisoitua.
The research questions were how common publishing security.txt is in Finnish organisations, what kind of information is published, and how well the published files follow the specifications and security considerations of RFC 9116. The research group was the .fi domain names registered to Finnish organisations (n=366990 in October 2022 and n=367942 in February 2023). The data was collected from the domain apex and www subdomain using all the relevant HTTPS and HTTP paths. Statistics from the observations not related to the phenomenon as well as the reason to disregard them were made and the related observations were analysed further. This provided comprehensive and reliable information on the use of security.txt, which is helpful for situation awareness in cyber security and in producing guidance related to the topic.
The use of RFC 9116 within the research group was quite marginal as only 2.2 ‰ of the domains published the security.txt file in at least one of the paths examined. The connection used for retrieving the file was secured with a trusted certificate in 85 % of the domain names, and only available with plain text protocol in 6 %. The contents of the files varied decreasing machine readability. Ten largest actors published the file for 85 % of the domain names, allowing a single actor to affect the results significantly. Therefore, the combined domains from a single actor were analysed, too. Despite OpenPGP was offered as an encryption method for the communication, signing the files with OpenPGP was rare. It is recommended continuing monitoring the phenomenon, which will be largely automated in the future with the help of the tools developed for this research.