Deze maand een extra leuke verassing: een overzicht van publieke login portals van de overheid. We hadden natuurlijk de VPN portals wel verwacht, maar er is ook meer dan teveel te vinden dat naar onze mening niet publiek hoort.
Deze portals zijn te vinden op een nieuw onderdeel van de basisbeveiliging site: Login Plaza. We hopen dat dit niet de ‘voorpagina’ word van allerlei ambtenaren wanneer ze de linkjes kwijt zijn naar deze systemen :).
De metingen zijn nog aan het inladen: we zitten nu op 20% en hebben meer dan 600 portals gevonden. Dat belooft wat 🙂
Overheid: Het is tijd om het aanvalsoppervlak te reduceren.
Overheid ❤️ phpMyAdmin
Een voorbeeld is database-beheer tool phpMyAdmin: een web interface om de inhoud van je database aan te passen. Het is een geliefde tool, wij kennen em in hart en nieren… maar is het nou echt de bedoeling dat de hele wereld hierop mag proberen in te loggen? Bij de overheid? Wij denken van niet. Ons advies is dus: weghalen. Gewoon achter het VPN en niet op een ‘verborgen adres’ please…
Van het Ministerie van Binnenlandse Zaken tot Economische Zaken (oh en LNV, VWS), allerlei gemeenschappelijke regelingen en de Belastingdienst: iedere overheid gebruikt dit pakket en geeft de hele wereld de kans om op in te loggen. Zoek zelf maar naar phpMyAdmin op Login Plaza, hier.
Mag dat? Proberen in te loggen mag bij de overheid, maar je moet je altijd aan de spelregels houden van Coordinated Vulnerability Disclosure.
Hoe meten we dit?
Er zijn twee manieren waarop we dit meten. De eerste is een ‘ontdekking’ en de tweede is een ‘verificatie’.
De ‘ontdekking‘ fase bestaat uit het proberen van allerlei verschillende paden waarop bekende software te vinden is. Hier word dus gekeken of de map “phpMyAdmin” bestaat op het domein https://example.nl: https://example.nl/phpMyAdmin/
Dit gebeurd op een heel lage intensiteit. Over langere tijd checken we op honderden verschillende stukken software. We doen hier met opzet lang over zodat het niet in de weg zit van ander verkeer. Om het nog minder intens te maken doen we dit ook maar eens per twee maanden. In mei komt dus de tweede ronde.
De ‘verificatie‘ fase is een doelgerichte check. We kijken alleen of het gevonden portal er nog staat. Dat zijn dus net zoveel verzoeken als portals: meestal 1 of 2. Dit doen we om de dag zodat de gegevens op de site actueel zijn. Zo kan een beheerder ook zien dat een portal is verdwenen en het probleem is opgelost.
Zonder oordeel op de kaart
Binnenkort zullen we ook een oordeel plakken aan deze bevindingen. Deze zal grofweg op de volgende manier worden gekleurd op de kaart:
Rood: een login-portaal voor beheer: zoals phpMyAdmin, Django Admin, Grafana, Metabase en dergelijke producten.
Oranje: een login-portaal voor het beheren van een content-management systeem zoals WordPress, Drupal, Typo3 of minder intense tools als Matomo. Eind van 2023 word dit ook rood.
Groen: een login-portaal voor het gebruiken van een VPN. Waarom hier een web portaal voor nodig is? Mogelijk word dit dus ook rood, maar hier zit voor ons nog wat huiswerk: we zien namelijk dat er meer dan 20 verschillende producten worden gebruikt en we zullen moeten verdiepen in hoe ze werken en wat realistisch is qua oordeel.
