Een deel van de Nederlandse online IT-infrastructuur draait op museumstukken. Antieke software geschreven in vervlogen tijden waar we met een zachte glimlach op terugkijken. Aan het gebruik van museumstukken kleven allerlei nadelen zoals grote kans op onveiligheid en stijgende kosten omdat er steeds meer specialisme nodig is om de boel te laten draaien. Door upgrades of het stoppen van oude diensten zullen deze museumstukken langzaam van het internet verdwijnen. Maar tot die tijd zijn ze te zien in het wild en in het Basisbeveiliging Museum.
Bezoek het museum nu, want binnenkort kan het leeg zijn!
Wat maakt software museumwaardig
Museumwaardige software was ooit populair maar wordt niet meer onderhouden en verdere ondersteuning is niet gangbaar.
Bij software met afgeschermde broncode zoals die van Microsoft is het helder wanneer iets museumwaardig wordt. We nemen als voorbeeld de populaire webserver “Internet Information Services”. Op de ondersteuningspagina staat dat versie 6.0 sinds juli 2015 (n.Chr.) niet meer wordt ondersteund. Dit is een harde datum. Microsoft biedt in uitzonderlijke gevallen extra ondersteuning, maar daarachter zit een solide business case met prijzen uit de categorie “wij hebben er geen zin in”. Dergelijke ondersteuning is grofweg voor niemand weggelegd.
Wanneer de broncode beschikbaar is onder een open source licentie verloopt ondersteuning radicaal anders. Iedereen kan en mag besluiten om extra energie te stoppen in deze ondersteuning. Vaak is dat proces van tevoren gestroomlijnd met de naam Long Term Support (LTS). Dit heeft ook een zakelijk broertje genaamd Extended Long Term Support (ELTS). Een zogenaamde “LTS-versie” krijgt geen nieuwe mogelijkheden maar kwetsbaarheden en andere vormen van grote hinder worden verholpen.
Een voorbeeld van LTS-software is webserver Nginx versie 1.18. De maker hiervan, F5, is op 20 april 2021 gestopt met ondersteunen. Maar een groep vrijwilligers van het besturingssysteem Debian onderhoudt deze specifieke versie nog steeds als onderdeel van hun besturingssysteem. Wij meten daardoor enkele duizenden installaties op versie 1.18. Oudere maar ook een paar nieuwere versies van Nginx zijn zeldzaam: die worden niet onderhouden en dat zijn dus typisch museumstukken.
Uiteindelijk stopt Long Term Support, maar dat betekent niet altijd het einde van deze software. Bedrijven als Freexian en Redhat bieden Extended Long Term Support (ELTS). De invulling hiervan wisselt van project tot project: wie betaalt bepaalt. De ondersteuning wordt namelijk geleverd aan een krimpende groep gebruikers die eigenlijk moeten upgraden. Een ELTS-contract kan prijzig zijn en biedt niet altijd een oplossing: sommige problemen zijn diepgeworteld en onoplosbaar.
Meting en aanpassing in risico
Basisbeveiliging meet en publiceert versienummers sinds februari 2023 en gaf dat tot nu toe drie beoordelingen: geen informatie (ok), een beetje reclame van een product (laag risico) of een zeer specifieke versie (hoog risico). Deze grofmazige beoordeling leverde kritiek van organisaties die claimen altijd de laatste versies te draaien: het risico is dan niet hoog. Daar hebben ze een punt.
Met de komst van het museum wordt de beoordeling verfijnd. Het publiceren van een zeer specifieke versie wordt nu als midden risico/waarschuwing (oranje) beoordeeld. Een reliek uit de oudheid wordt beoordeeld als hoog risico.
In de tabel staat een voorbeeld van de verschillende beoordelingen:
| Bevinding | Beoordeling | Kleur | Voorbeeld |
|---|---|---|---|
| Geen informatie | Oké | Groen | |
| Reclame zonder details | Laag | Groen | nginx |
| Reclame met detailversie(s) | Midden | Oranje | nginx 1.18.0 |
| Reclame van een museumstuk | Hoog | Rood | nginx 1.6.0 |
Hoe wordt dit gemeten
De meting van een versienummer is bijvangst. Hiervoor wordt geen bijzondere actie verricht. Integendeel: websites geven deze informatie proactief en ongevraagd aan iedere bezoeker. De bezoeker gooit deze informatie doorgaans weg.
Basisbeveiliging meet versies op twee veelgebruikte diensten: websites (http) en beheer op afstand (ssh). De meting wordt uitgevoerd met het programma nmap dat overweg kan met allerlei diensten. Technisch gezien is het weinig ingewikkelder. Bij websites zit de versie vaak in de HTTP headers en bij beheer op afstand wordt dit uitgewisseld tijdens het opzetten van de verbinding.
In de onderstaande afbeelding staat hoe deze meting in zijn werk gaat. Aan de linkerkant staat Basisbeveiliging, aan de rechterkant staat de online dienst die wordt gemeten. De interactie tussen die twee partijen verloopt in twee stappen. Eerst wordt de website opgevraagd. Daarna geeft de online dienst een reactie.
Wat kan ik eraan doen?
Grofweg zijn er twee stappen om te ondernemen om problemen met museumstukken te voorkomen:
- Zorg dat er alleen ondersteunde software wordt gebruikt. Dat kost geld en energie.
- Haal versienummers weg.
Stap twee ligt misschien wat minder voor de hand. Basisbeveiliging gaat ervan uit dat niet iedere organisatie de middelen en capaciteit heeft om alles altijd bij te houden. Ook vinden wij dat het een aanvaller wel erg makkelijk wordt gemaakt wanneer specifieke versies worden gepubliceerd. Het weghalen van een versienummer voorkomt dat een aanvaller zeer doelgericht slachtoffers kan maken. Het weghalen van informatie valt onder hardening en is een onderdeel van security through obscurity. Zo’n stap is weinig werk en past in een defense in depth strategie. Net iets minder prijsgeven helpt, maar voorkom dat het de enige verdedigingslinie is.
Neem snel een kijkje, voordat het museum leeg is! https://basisbeveilging.nl/museum/
Hoe ziet het museum eruit
Op de dag voor de lancering zag het museum er uit zoals op de afbeelding hieronder. De voorpagina bestaat uit een opsomming van museumstukken. Per stuk krijgen ze een omschrijving waarin staat wat het product doet en tot wanneer specifieke versies werden gebruikt. Daaromheen staat waar dit museumstuk wordt gebruikt. In de schermafbeelding is te zien dat niet ondersteunde versies van webserver Nginx 295 keer worden gebruikt. Per keer staat welke versie er wordt gebruikt en op welk adres het museumstuk is te vinden.
Bij lancering stonden er 18 verschillende stukken in het museum. Waaronder programmeertaal PHP5, webserver Internet Information Services 7 en besturingssysteem Debian 7. Ieder van de stukken is voorzien van verwijzingen naar de historie van het product.
Er zijn nog twee andere pagina’s in het museum, deze staan onder de tabbladen “overzicht per sector” en “detailaanzicht per sector”. Op deze pagina’s staan de museumstukken onderverdeeld per sector. Zo is te zien dat 13% van gemeenten werkt met museumstukken. Dat is relatief weinig vergeleken met het onderwijs, waar 61% van de organisaties dit doet. Door op de details van een sector te klikken kan zien welke organisaties precies museumstukken gebruiken. Dit brengt je naar het laatste tabblad waar de naam van de organisatie staat met de domeinen waarop een stuk antiek te vinden is. Het klikken op de domeinnaam leidt de bezoeker door naar de individuele meting in het rapport op basisbeveiliging.nl.
Over basisbeveiliging
Alle metingen in dit artikel zijn te vinden op de website basisbeveiliging.nl. Deze metingen worden voortdurend bijgewerkt voor een up-to-date beeld van de online veiligheid van Nederland. Zo is te zien wanneer organisaties verbeteringen doorvoeren of terugvallen. Alle metingen zijn openbaar en bruikbaar onder een vrije licentie.
Basisbeveiliging.nl is een initiatief van de Internet Cleanup Foundation. Wij zetten ons in voor een veilig online Nederland door middel van onderzoek en open data. Organisaties die ons werk waardevol vinden en hier gebruik van maken vragen we op enige vorm bij te dragen, bijvoorbeeld door de stichting te ondersteunen met deelnemerschap.
