Vooraankondiging uitbreiding meting: overbodige dienstverlening

De meting “overbodige dienstverlening” kijkt naar of een dienst wordt aangeboden aan de juiste doelgroep. Hiermee bedoelen we dat een dienst via het internet bereikbaar is door iedereen ter wereld, terwijl dit waarschijnlijk niet de bedoeling is.

Wat meten we nu al en waarom?

Over het algemeen draaien websites op standaard poorten: 80 en 443, deze hoef je niet in de browser in te vullen omdat de browser dit al weet. Sommige websites draaien op alternatieve poorten zoals 8443 en 8080. Hier staat vaak een functionaliteit die bedoeld is voor een kleine groep gebruikers/beheerders. Dit toch aanbieden aan de hele wereld heeft een groot risico: Een lek in deze software of onderliggende infrastructuur kan door iedereen ter wereld worden uitgebuit. Daarom is het belangrijk om zo min mogelijk diensten aan te bieden via het publieke internet. Bijvoorbeeld door ze af te schermen middels filtering en/of alleen aan te bieden via een beveiligd netwerk zoals een VPN.

Specifiek voor websites maken we al wel uitzonderingen. Een voorbeeld is dat VPN software VMWare poort 8443 gebruikt, juist om de boel af te schermen. Dit afschermen van gegevens wordt natuurlijk niet negatief beoordeeld.

Wat wordt er straks extra gemeten

Er wordt gekeken naar diensten die specifiek bedoeld zijn voor het uitwisselen van gegevens in bulk. Bijvoorbeeld bestandsoverdracht en databases. Wij verwachten dat er geen denkbaar scenario is waarbij een dergelijke dienst publiek benaderbaar moet zijn.

De uitzondering op de regel is het File Transfer Protocol (FTP, waar ook TLS wordt ondersteund!) dat van oudsher bedoeld is om bestanden te delen met de buitenwereld en ooit zat ingebakken in alle browsers. Omdat FTP ooit integraal onderdeel was van het publieke internet wordt deze uitzondering behouden. We meten de aanwezigheid van FTP en of hier versleuteling op wordt toegepast sinds 2018.

Met deze uitbreiding wordt er gekeken naar de beschikbaarheid van de volgende vormen van bestandsoverdracht:

  • Bestandsdeling voor kantooromgevingen: Windows File Sharing (Netbios/Samba)
  • Populaire databases: Oracle, MySQL, Postgres, Mongo en dergelijke

De meting wordt een combinatie van een poortscan (veelal onbetrouwbaar ivm firewalls die willekeurige resultaten geven) en verbindingstest met een programma dat het protocol spreekt om er zeker van te zijn dat er geen sprake is van een false positive. Er wordt niet gekeken of er versleuteling wordt toegepast, of er authenticatie nodig is, er worden geen pogingen gedaan om in te loggen en er wordt ook niet gekeken of en welke data te vinden is.

Beoordeling

Voor zover er geen redelijk scenario is om deze diensten publiek aan te bieden, wordt dit altijd negatief beoordeeld. Dit zal als oranje worden beoordeeld.

Is dit nieuw nieuws?

Nee: deze metingen worden al decennia gepubliceerd op vele online scanplatforms. Het zoeken naar “online portscan” levert honderden diensten die poorten meten en publiceren. Dit zijn ook grote merken als Shodan en Censys. Alle securitybedrijven in Nederland kunnen deze dienst verlenen of bieden dit aan in standaardpakketten. Er zijn ook honderden tools die deze metingen kunnen verrichten. De bekendste hiervan is nmap.

Het is ook al lang juridisch uitgekauwd hoe het zit met portscans. Dat mag afhankelijk van de motivatie. In dit geval is de motivatie duidelijk: het veilig maken van Nederland.

Nieuw is dat deze situatie wordt beoordeeld en inzichtelijk wordt gemaakt voor een specifieke doelgroep.