internetcleanup-foundation

Nieuwe meting: Overheids-niveau TLS (juli 2023)

Met de verplichting van TLS voor de overheid, wordt vanaf nu ook de internet.nl TLS meting meegenomen. Deze meting verschilt van de andere metingen rondom TLS en HSTS op basisbeveiliging. In dit artikel staan de verschillen.

Het eerste rapport met deze meting staat live op 4 juli 2023.

De nieuwe meting

De nieuwe meting wordt geintroduceerd als oranje. Hoewel het een wettelijke verplichting is, en alles zegt dat dit rood zou moeten zijn, beginnen nieuwe metingen volgens ons publicatiebleid altijd ten hoogste op oranje.

We houden deze meting nog op oranje totdat is uitgekristaliseerd hoe de handhaving werkt, dat er wordt gehandhaafd en of er eventuele uitzonderingen ontstaan de komende tijd. Deze meting wordt op dit moment alleen uitgevoerd op hoofd-domeinen.

De meting wordt verder toegelicht met de volgende bronnen:

De verplichting zelf: officielebekendmakingen.nl
De veelgestelde vragen rondom deze meting: digitaleoverheid.nl
De eisen rondom TLS van het NCSC: ncsc.nl

Deze meting omvat 20 sub-metingen die soms wel en soms niet relevant zijn. Deze afzonderlijke punten publiceren we niet, om zo de lezer van de site niet te overladen met metingen. Het testrapport is te zien op internet.nl, volg daarvoor de link bij “show measured data” zoals in het screenshot hieronder.

Screenshot van de meting op het niveau oranje

Anders dan de huidige TLS/HSTS metingen

Zoals gezegd: Op basisbeveiliging testen we al HSTS en TLS. Maar toch is deze meting anders.

De andere TLS meting is afkomstig van Qualys SSL Labs. Deze commerciele partij gebruikt dit als marketingstool voor hun dienstverlening. Deze meting past niet hetzelfde beleid toe als het NCSC, maar een algemener beleid. Er zijn twee belangrijke meetwaarden in SSL Labs die niet uit de meting van internet.nl komen, namelijk:

Of er specifieke en state of the art kwetsbaarheden aanwezig zijn in de verbinding. Regelmatig komen er nieuwe uit die voor veel problemen zorgen. Een bekend en wat ouder voorbeeld is Heartbleed, maar zo zijn er nog 10.
Of er vertrouwen is in het certificaat. Zijn de naam, tijd, geldigheid, CA, revocation nog op orde.

De HSTS meting van basisbeveiliging is ook anders. Wij volgen namelijk redirects, waar internet.nl dat expliciet niet doet. Voor een goede HSTS meting zou iedere stap in de ketting aan redirects HSTS moeten hebben, maar dat meten we op dit moment niet: alleen de laatste. Deze twee HSTS metingen vullen elkaar nu dus aan.

Eigenaar van 8% overheidsdomeinen onduidelijk (Mei 2023)

Bij 8% van de overheidsdomeinen is het niet te achterhalen of de overheid eigenaar is. Dat is te verdelen in twee categorien: er zijn 95 domeinen zonder informatie en 68 domeinen met een onjuiste eigenaar.

Juiste houderinformatie geeft vertrouwen: iemand kan hierdoor checken of de site eigendom is van de overheid. De overheid heeft nog een andere reden om eigenaar te zijn: zelf bepalen wat er met een domein gebeurt nadat een project of contract afloopt.

Dit is het overzicht van eigendom van domeinen op dit moment:

Overheid	Domeinen	Geen eigenaar	Onjuiste eigenaar	Juiste eigenaar
Gemeenten	431	32	8	391
Provincies	13	2	0	11
Overheid	1546	61	60	1425
TOTAAL	1990	95 (4.77%)	68 (3.41%)	1827 (91.81%)

Overzichtstabel juistheid houders van domeinen.

Houder van een domein

Iedere domeinnaam is uniek en heeft een eigenaar. De adminstratie van alle .nl domeinen zoals rijksoverheid.nl wordt bijgehouden door “Stichting Internet Domeinregistratie Nederland”: SIDN.

Om te zien wie eigenaar is van een domein kan je op de site van het SIDN de administratie doorzoeken. In het onderstaande voorbeeld zie je het zoekresultaat voor de site “rijksoverheid.nl”.

Screenshot met de houdergegevens van rijksoverheid.nl. Je kan dit zelf proberen op de site https://www.sidn.nl/nl-domeinnaam/domeinnaam-zoeken/

In het screenshot zit een highlight op de informatie uit het “houder” veld: “Rijksoverheid”, dit is de naam van de eigenaar van het domein.

De nieuwe meting op basisbeveiliging.nl controleert of de eigenaar van het domein juist is. Hieruit kunnen drie conclusies komen:

Geen eigenaar: het is niet te zien van wie het domein is omdat het “Houder” veld leeg is. Dit wordt beoordeeld met Oranje.
Onjuiste eigenaar: een tussenpartij, een persoon, een onduidelijke organisatie of een geanonimiseerde organisatie (en nog wat andere gevallen) is allemaal onjuist. Dit wordt beoordeeld met Oranje. Wij verwachten dat “Gemeente Texel” eigenaar is van “texel.nl”.
Juiste eigenaar: Is de registratie in te zien en behoort die tot een van de goedgekeurde organisaties? Dan wordt dat beoordeeld als Groen.

Bepaling van de meting

Het is lastig om te bepalen wie de juiste eigenaar is. Dat gebeurd dan ook voor een deel met de hand. Dit is een detail-overzicht van hoe we de juiste eigenaar vaststellen.

In deze gevallen zien wij de juiste eigenaar:

De houder is ongeveer hetzelfde als het domein. Bijvoorbeeld “rijksoverheid” op “rijksoverheid.nl”.
De houder is een overheidsorganisatie, ziekenhuis of andere aanverwante entiteit.
De houder is een bedrijf/organisatie en deze staat genoemd op de voorpagina van de site of onder contactgegevens. Bijvoorbeeld in het e-mail adres of bij de copyright informatie.
Sites met een rijksoverheidslogo mogen alleen op een naam van een overheid staan.
De houder bestaat uit een onbekend deel, maar ook een bekend deel zoals: “TweeToffePeren B.V. i.o. Rijkswaterstaat” op een site van Rijkswaterstaat.
Bij onduidelijkheden wordt altijd kort gezocht naar wie de eigenaar is. Bijvoorbeeld kan bij ICT-samenwerkingsverbanden de gebruikte naam niet direct worden herleid omdat er een “abstracte” naam wordt gebruikt waar geen van de deelnemers wordt genoemd.

In deze gevallen zien we een onjuiste eigenaar:

Bedrijfsnaam van een ontwikkelbedrijf, consultancybedrijf, juristenbureau of andere ontwikkelaar. “TweeToffePeren B.V.” terwijl de site zegt: Rijkswaterstaat.
Namen van personen.
Afgeschermde gegevens. Houder hoeft niet afgeschermd te zijn omdat het altijd gaat over namen van organisaties.
Namen van organisaties die geen of ‘generieke’ resultaten hebben in zoekmachines. Het is dus niet duidelijk van wie het is.
Onherleidbare informatie als “Crediteurenadministratie X-12391”.
Een leeg veld.

In dit voorbeeld staat dat de eigenaar onbekend is. Er staat “Privacy protected by Hostnet”. De juiste houder zou “Trimbos-Instituut” kunnen zijn, of een andere organisatie in dezelfde strekking.

Dank aan SIDN

Informatie over eigenaarschap is afkomstig uit de WHOIS database van Stichting Internet Domeinregistratie Nederland (SIDN) en wordt verwerkt en gepubliceerd met toestemming.

Je kan controleren van wie een domein is op de volgende pagina: https://www.sidn.nl/nl-domeinnaam/domeinnaam-zoeken/

Bij iedere meting wordt verwezen naar het WHOIS register van het SIDN als second opinion.

De Helpdesk, aflevering 4 – “gesloten” poort en G1 certificaten

In de helpdesk kijken we naar vragen die binnenkomen via de mail en geven we een kort antwoord op vragen die vaker binnenkomen.

Poort 8080 is gesloten (of toch open)

We kregen een korte mail met de melding: “Poort 8080 staat niet open”. Dus wij tikken in onze browser: http://[gemeentesite].nl:8080. In plaats van ‘geen gehoor’ wordt de gebruiker doorgestuurd naar de site van een gemeente. Daarna proberen we de site http://[gemeentesite].nl:9090, en daar gebeurd niets.

Conclusie: op poort 8080 gebeurd wel iets, dus deze poort staat open met iets overbodigs. We kunnen niet zien wat en of dit een uitzondering waard is. Dus de conclusie ‘overbodige poort’ blijft staan.

Screenshot bij het bezoeken van het hoofd-domein op dit adres op :8080. De melding op deze pagina zegt dat je mogelijk iets bijzonders moet hebben gedaan om geblokkeerd te worden. Daaronder valt dus ook gewoon bezoeken 🙂

Fix voor uitzondering G1 certificaten

De overheid geeft een certificaat uit dat by design niet wordt vertrouwd in browsers. Dit is het G1 certificaat. We hebben al wat jaren code in Basisbeveiliging die hiervoor een uitzondering toevoegt. Of… dat dachten we.

We ontvingen een mailtje met de vraag of we een G1 certificaat konden uitzonderen. We hadden zoiets van: dit doen we toch al?

Dit was het begin van een paar uur lang debuggen. Uit de logs konden we halen dat deze uitzondering is aangeroepen na de ‘niet vertrouwd’ conclusie van de TLS meting. We hebben de code erbij gepakt en het met de hand aanroepen van alle functies ging goed.

We hebben de code lokaal en op de server gedraaid als allerlei gebruikers: werkt altijd. We hebben extreem gedetailleerde logging toegevoegd aan deze code en we zagen dat alleen op de server, tijdens het meten via een worker, een specifieke SSL foutmelding optrad.

De conclusie is dat een van de componenten om parallel te kunnen meten (“gevent” voor de nerds) de SSL bibliotheek aanpast wat kan zorgen voor ander gedrag. Nadat we de worker hadden omgezet naar ‘prefork’ zagen we dat het probleem was opgelost.

We hebben deze taak dus overgezet naar een prefork worker. Dat kost wat meer geheugen maar dan hebben we wel zekerheid dat de meting goed gaat.

Inmiddels is de helft van de uitzondering-checks er doorheen en zijn er 83 G1 certificaten gevonden. We zien dit certificaat o.a. op sites als api.kvk.nl, isb.rdw.nl, en data.* subdomeinen van gemeenten.

Overzicht van uitzonderingsmetingen op het domein van de vraagsteller…

Overheid ❤️ phpMyAdmin: 10% weg in 7 dagen

Wil je bovenstaande stickers hebben? Ga naar de sticker swap…

phpMyAdmin is populaire software voor het beheren van databases via de browser. Dit hoort niet online te staan bij professionele organisaties. Vorige week deelden we onze bevinden: 300+ phpMyAdmins bij de overheid. In een week is er al 10% offline gehaald. In dit artikel de getallen en ook een aantal redenen waarom je phpMyAdmin offline wil halen.

Voor beheerders: De hertests beginnen later deze week, de uitkomsten kan je natuurlijk vinden op het Login Plaza.

Al 10% opgeruimd

Een week geleden deelden we op linked in dat de overheid meer dan 300 phpMyAdmin portals online heeft staan. Dat maakte behoorlijk veel los. We ontvingen een aantal belletjes en overzichten van wat mensen aan het opruimen zijn.

Slechts één week is erg kort in overheidsland, maar toch is het leuk om te kijken wat er veranderd. Hiervoor hebben we een steekproef gedaan naar de aanwezigheid van 316 gevonden portals. Dit zijn de uitkomsten:

Originele meting: 316 portals
Hertests vanaf…
- een Nederlands Ziggo IP: 287
- een Proxy in Nederland: 271
- het IP van basisbeveiliging: 288

Er zijn in een week ±30 phpMyAdmin portals opgeruimd uit de steekproef. Dat is 10%. Daarvoor alle lof naar de beheerders hiervan!

Waarom moet phpMyAdmin weg?

Dat de overheid phpMyAdmin gebruikt verbaast ons niets: iedereen gebruikt dit want het is fantastisch. Toch is het niet de bedoeling dat dit word aangeboden via het publieke internet.

Hieronder staan een aantal redenen waarom de overheid door moet gaan met het offline halen van phpMyAdmin:

Het kost meer management, patchwerk en onderhoud: phpMyAdmin en onderliggende technologie PHP bevatten regelmatig kwetsbaarheden. Net als alle andere software. Iets online zetten vereist dus constante verzorging. Je kan software beter vergelijken met een tijdbom. Als die bom afgaat moet je meteen (in de nacht) patchen, anders heeft een aanvaller al je data. Je moet dus al weten dat je het draait, welke versie, hoe je dat update, hoe het eventueel uit moet etc: dat is duur en irritant. Het bespaart dus geld, tijd en stress om dingen niet publiek te zetten. Er worden regelmatig nieuwe kwetsbaarheden gevonden en gepubliceerd. Zie bijvoorbeeld dit archief van phpMyAdmin aanvallen. Een aanvaller hoeft niet slim te zijn, die kan ook gewoon wachten en ter zijner tijd een goedkope 0day (=nieuwe onbekende kwetsbaarheid) aanschaffen en inzetten. Wie is er sneller? Jij of de aanvaller? Het is beter deze race niet aan te gaan.
Er is een grote kans dat kwaadwillenden en ethisch interessante bedrijven al 0days hebben liggen voor PHP/phpMyAdmin. Er valt veel te halen, daarom is het ontwikkelen van een kwetsbaarheid geld/tijd waard. Als er niets meer te halen is… dan is de aanval waardeloos. Vanuit deze gedachte kan je zeggen dat het online plaatsen van overbodige systemen de groei stimuleert van deze (illegale) markt.
phpMyAdmin online aanbieden voldoet niet aan de ISO27002-2022 eisen. Dit zijn eisen die de overheid volgt, onder andere door opvolging van de Baseline Informatiebeveiliging Overheid. Uit ISO27002-2022 halen we o.a:
- 8.3 e) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen, toepassingsgegevens of systemen
- 8.9 c) onnodige functies en diensten uitschakelen of beperken;
- 8.9 d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
- Voor gemeenten zie je dergelijke informatie ook terug in het harderning beleid van de IBD.
- Let op: normenkaders noemen nooit expliciet stukken software. Iedereen moet hierdoor zelf uitvinden wat de bedoeling is: met pluriformiteit en onveiligheid als gevolg. Wij vullen dit nu concreet in en leggen de lat behoorlijk laag.
Het staat incompetent. Zeker als je core-business beveiliging is, zoals bij de volgende organisaties:
- http://veiligheidsberaad.nl/phpmyadmin/ (via http! :))
- https://ftp.oostvaarderskliniek.nl/phpMyAdmin/ (❤️ opgeruimd)
- https://alertonline.nl/phpmyadmin/ (❤️ opgeruimd)
- https://meldknop.nl (❤️ opgeruimd)

Updates (maart 2023)

Nieuwe metingen

Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.

Functionaliteit basisbeveiliging.nl

Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
- Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
- Zoeken naar “https://cip-overheid.nl” levert het UWV
- Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
- Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Linkjes naar diverse pagina’s zijn nu ook te zien in de adresbalk . Je kan dus makkelijk een pagina zoals de kaart van de overheid of de kaart van waterschappen delen.
De pas-toe-of-leg-uit pagina is gefixt.
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.

Nieuwe zoekfunctie op basisbeveiliging.nl. Zoeken naar Arnhem levert diverse resultaten over organisaties bij Arnhem.

Data op Basisbeveiliging

Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.

Nieuwe metingen (maart 2023) – Login Plaza

Deze maand een extra leuke verassing: een overzicht van publieke login portals van de overheid. We hadden natuurlijk de VPN portals wel verwacht, maar er is ook meer dan teveel te vinden dat naar onze mening niet publiek hoort.

Deze portals zijn te vinden op een nieuw onderdeel van de basisbeveiliging site: Login Plaza. We hopen dat dit niet de ‘voorpagina’ word van allerlei ambtenaren wanneer ze de linkjes kwijt zijn naar deze systemen :).

De metingen zijn nog aan het inladen: we zitten nu op 20% en hebben meer dan 600 portals gevonden. Dat belooft wat 🙂

Overheid: Het is tijd om het aanvalsoppervlak te reduceren.

Overheid ❤️ phpMyAdmin

Een voorbeeld is database-beheer tool phpMyAdmin: een web interface om de inhoud van je database aan te passen. Het is een geliefde tool, wij kennen em in hart en nieren… maar is het nou echt de bedoeling dat de hele wereld hierop mag proberen in te loggen? Bij de overheid? Wij denken van niet. Ons advies is dus: weghalen. Gewoon achter het VPN en niet op een ‘verborgen adres’ please…

Van het Ministerie van Binnenlandse Zaken tot Economische Zaken (oh en LNV, VWS), allerlei gemeenschappelijke regelingen en de Belastingdienst: iedere overheid gebruikt dit pakket en geeft de hele wereld de kans om op in te loggen. Zoek zelf maar naar phpMyAdmin op Login Plaza, hier.

Mag dat? Proberen in te loggen mag bij de overheid, maar je moet je altijd aan de spelregels houden van Coordinated Vulnerability Disclosure.

Hoe meten we dit?

Er zijn twee manieren waarop we dit meten. De eerste is een ‘ontdekking’ en de tweede is een ‘verificatie’.

De ‘ontdekking‘ fase bestaat uit het proberen van allerlei verschillende paden waarop bekende software te vinden is. Hier word dus gekeken of de map “phpMyAdmin” bestaat op het domein https://example.nl: https://example.nl/phpMyAdmin/

Dit gebeurd op een heel lage intensiteit. Over langere tijd checken we op honderden verschillende stukken software. We doen hier met opzet lang over zodat het niet in de weg zit van ander verkeer. Om het nog minder intens te maken doen we dit ook maar eens per twee maanden. In mei komt dus de tweede ronde.

De ‘verificatie‘ fase is een doelgerichte check. We kijken alleen of het gevonden portal er nog staat. Dat zijn dus net zoveel verzoeken als portals: meestal 1 of 2. Dit doen we om de dag zodat de gegevens op de site actueel zijn. Zo kan een beheerder ook zien dat een portal is verdwenen en het probleem is opgelost.

Zonder oordeel op de kaart

Binnenkort zullen we ook een oordeel plakken aan deze bevindingen. Deze zal grofweg op de volgende manier worden gekleurd op de kaart:

Rood: een login-portaal voor beheer: zoals phpMyAdmin, Django Admin, Grafana, Metabase en dergelijke producten.

Oranje: een login-portaal voor het beheren van een content-management systeem zoals WordPress, Drupal, Typo3 of minder intense tools als Matomo. Eind van 2023 word dit ook rood.

Groen: een login-portaal voor het gebruiken van een VPN. Waarom hier een web portaal voor nodig is? Mogelijk word dit dus ook rood, maar hier zit voor ons nog wat huiswerk: we zien namelijk dat er meer dan 20 verschillende producten worden gebruikt en we zullen moeten verdiepen in hoe ze werken en wat realistisch is qua oordeel.

Twaalf van de nu gevonden 52 phpMyAdmin login portalen… en de metingen worden nog geladen.

De Helpdesk, aflevering 3 – Diensten voor medewerkers en onjuiste header metingen

In de helpdesk kijken we naar vragen die binnenkomen via de mail en geven we een kort antwoord op vragen die vaker binnenkomen.

Dienst voor medewerkers via het open internet

Een organisatie die graag mailtjes stuurt maakt gebruik van een standaardpakket. Medewerkers kunnen op die omgeving inloggen en de nieuwsbrieven opstellen.

Wij raden aan om dit soort diensten niet publiek te zetten: die vraag was voorgelegd aan de hoster. De hoster geeft aan bang te zijn om deze aanpassing door te voeren. Het zou meer problemen leveren dan het oplost. Dus ze gaan dat niet doen.

Oplossing: In dit geval zien we een Plesk PHP omgeving staan. Beiden zijn bekend en geroemd om hun vele kwetsbaarheden. Dat betekent voor een aanvaller: “Rustig wachten op de dag… van een nieuwe kwetsbaarheid… van een nieuwe kwetsbaarheid“. Dan kan IT weer fijn in het midden van de nacht / carnaval stekkers ergens uit halen, patchen, datalekmeldingen sturen enzovoorts. All in a good days work: maar je kan ook kiezen voor nachtrust, een goede reputatie en een stabiele dienstverlening.

Het is alsof je een deel van de interne organisatie buiten het gebouw naast de ingang zet. In plaats van binnen met verwarming, een beveiligingspoortje en een receptie. Iedereen kan er naartoe lopen en proberen binnen te komen: via gokken op het loginformulier of via een (nieuwe) kwetsbaarheid. Net zoals je bij een bedrijf een veiligheidspoortje hebt, wil je voor de toegang tot dit soort diensten altijd een controle uitvoeren.

Daar is in dit geval ook wel een poging tot gedaan. In plaats van de dienst op het standaard poort 443 aan te bieden, word deze “verborgen” op poort 8443. Dat soort security through obscurity werkt vertragend, maar uiteindelijk niet.

Er zijn diverse manieren om diensten te verbergen voor de buitenwereld. Het mooiste is achter een VPN, waarbij er publiek niets meer te vinden is. Een medewerker logt in op het deel VPN en kan dan naar mailing.intern.belangrijkeorganisatie.nl gaan om het werk te doen. Het is ook mogelijk om toegang op basis van certificaat of IP in te richten: dan kan een buitenstaander zien dat er nog wel *iets* is, maar niet meer wat. Dat is natuurlijk minder mooi en uiteindelijk ook meer werk. Er zijn vast nog wel andere oplossingen te bedenken. Wij gaan altijd voor de optie om zo min mogelijk diensten over het open internet aan te bieden.

Onjuiste header meting

We kregen de melding dat we onterecht bevinden dat bepaalde http security headers ontbreken. We gingen op onderzoek uit.

Oplossing: Hier hebben we inderdaad een fout gemaakt. We stuurde een “Host” header mee, maar hielden geen rekening met dat we konden worden doorgestuurd. Dat betekent dat we de verkeerde site (“Host”) opvroegen nadat we werden doorgestuurd naar een andere site.

We hebben dit aangepast.

Ook zagen we dat we http headers aan het meten waren op sites als http://example.nl:443. Dan sturen we dus met opzet een onversleuteld verzoek naar een versleutelde pagina. Een gemiddelde webserver geeft dan een behulpzame waarschuwing dat dit niet is wat je wil. Om ook daar op headers te controleren gaat wel erg ver, dus dat hebben we even uitgezet. We kijken daar wel naar andere dingen zoals versienummers bijvoorbeeld.

De Helpdesk, aflevering 1 – Intrusion attacks en beheer op een vreemde poort

In de helpdesk kijken we naar vragen die binnenkomen via de mail en geven we een kort antwoord op vragen die vaker binnenkomen.

Intrusion attacks bij bezoeken site…

De eerste vraag gaat over een firewall. Deze ziet een intrusion attack als we de website bezoeken via http://. Het verkeer via https werd geweigerd. Dus basisbeveiliging ziet alleen een blokkade-website en dat is niet de site die de beheerder verwachtte.

Oplossing: Als je niet gemeten wil worden, dus bijvoorbeeld ip-restricties toepast, dan moet je dat op alle endpoints doen: ook op http://. Ons vermoeden: De firewall herkent ons gewone bezoek niet als een bekend IP, dus blokkeert dat als ‘intrusion’. Maar we zouden deze website helemaal niet mogen zien natuurlijk, want het is maar een gewoon websitebezoek.

Fortinet firewall blokkeert bezoek aan http:// website

Beheer op een vreemde poort

De tweede vraag ging over een vreemd poortnummer. We geven daar een oranje beoordeling aan. De hoster van de site gebruikte dit poortnummer om beheer uit te voeren via het plesk beheersysteem.

Oplossing: Voor iedere vorm van beheer (van overheidssites) raden we een VPN/afgescheiden netwerk aan. Hierdoor is zo’n beheerpanel niet meer bereikbaar via het publieke internet: dus veel minder mensen die het kunnen vinden en er een aanval kunnen uitvoeren. Er zijn natuurlijk regelmatig kwetsbaarheden in dit soort beheerpanelen: ze geliefd door aanvallers.

Op de schermprint zie je geen 2e factor, wat wel gebruikelijk is voor beheerpanelen. Het kan natuurlijk zijn dat je die vraag pas krijgt nadat je een inlogpoging hebt gedaan… of niet.

Plesk inlogpaneel op een vreemd poortnummer

Lubach bezoekt 1800 overheidssites, gelukkig is er nog veel meer!

In deze afgelopen uitzending van de Avondshow met Arjen Lubach wordt het enorme aantal overheidswebsites besproken. Onderzoeker Tex heeft gedaan wat menselijk mogelijk was: alle 1800 sites bezoeken en drie maanden geen daglicht gezien. Dat kon nog in tijden van corona. We weten hoe het voelt.

Het doel was om het antwoord te vinden op een simpele vraag. Maar het kan zijn dat je zelfs na het bezoeken van al deze sites geen antwoord hebt. We zien namelijk dat ieder van die sites gemiddeld zo’n 10 “subdomeinen” heeft met informatie en dienstverlening voor specifieke doelgroepen.

De 1800 sites die zijn bezocht door Tex staan in het websiteregister rijksoverheid. Wat daar niet in staat zijn de sites van gemeenten, provincies, waterschappen, regionale samenwerkingsverbanden (bijvoorbeeld het afvalverwerkingsbedrijf enzo) en alle semi-overheidsbedrijven.

Maar hoeveel sites zijn er dan? Dat weten we ook niet precies: dat weet niemand. In onze database staan zo’n 90.000 adressen, waarvan het ruime overgrote merendeel van de overheid is. Wekelijks komen er meer bij.

Waarom weten we dit?

Wij meten al deze sites op veiligheid. Dat doen we niet meer met menselijke onderzoekers, maar met een heel leger aan hamsters in luxe kooitjes. Zij bezoeken regelmatig de sites om te kijken of ze voldoen aan bijvoorbeeld de basis veiligheidsafspraken.

De resultaten daarvan worden dagelijks gepubliceerd op https://basisbeveiliging.nl.

Onderzoeker Tex die de 1800 sites laat zien tijdens de Avondshow met Arjen Lubach. Beeld van de VPRO via YouTube.

Nieuwe metingen (februari 2023) – Security.txt, RPKI

Security.txt

We kijken en publiceren nu ook metingen over security.txt. We beoordelen deze op drie manieren:

Aanwezig: dan is het goed
Ontbreekt op een subdomein: dan krijg je een info score (dit is nu groen). Eigenlijk hoort security.txt op alle domeinen en subdomeinen beschikbaar te zijn, maar dat is een klus. Dus we beoordelen alleen het ontbreken op het hoofddomein nu als onvoldoende (oranje).
Ontbreekt op domein: je krijgt dan een oranje score. Het niet hebben van een security.txt bestand betekent dat je kritieke informatie over kwetsbaarheden kan missen. Het samenstellen van een security.txt bestand kan o.a. door dit formuliertje in te vullen. Zet dan het bestand op je webserver. We meten dit elke paar dagen. Het oplossen hiervan is vooral procesmatig (wie krijgt de meldingen), het maken en plaatsen van een tekstbestandje is een kwetsie van een paar minuten en een kleine wijziging.

Deze nieuwe meting komt van internet.nl, en is ontwikkeld door dcypher en internet.nl.

RPKI Aanwezigheid

We kijken nu of RPKI aanwezig is voor webservers en e-mail diensten. We beoordelen dit op de volgende manieren:

Aanwezig: we keuren het goed. Andere RPKI metingen tonen we niet, het kan dus zijn dat de geldigheid is verlopen of dat de RPKI naar de nameserver niet juist is. Met deze ene meting proberen we het belangrijkste resultaat te vatten. Als iedereen dit goed doet, dan kunnen we de volgende aanzetten.
Afwezig: we keuren het als ‘middenmoot’ dus oranje. RPKI is kritiek voor een veilig internet, maar een organisatie kan naast melden/waarschuwen niet direct actie ondernemen omdat de organisatie niet geheel verantwoordelijk is voor het onderliggende internetverkeer. Een organisatie kan wel kiezen om naar een andere hoster te gaan bijvoorbeeld: maar het is makkelijker als groep klanten druk uit te oefenen om dit gewijzigd te krijgen.

Deze nieuwe meting komt van internet.nl, en is ontwikkeld door het Nationaal Cyber Security Centrum (NCSC) en internet.nl.

Auteur: internetcleanup-foundation

Nieuwe meting: Overheids-niveau TLS (juli 2023)

De nieuwe meting

Anders dan de huidige TLS/HSTS metingen

Eigenaar van 8% overheidsdomeinen onduidelijk (Mei 2023)

Houder van een domein

Bepaling van de meting

Dank aan SIDN

De Helpdesk, aflevering 4 – “gesloten” poort en G1 certificaten

Poort 8080 is gesloten (of toch open)

Fix voor uitzondering G1 certificaten

De Helpdesk, aflevering 3 – Diensten voor medewerkers en onjuiste header metingen

Dienst voor medewerkers via het open internet

Onjuiste header meting

De Helpdesk, aflevering 1 – Intrusion attacks en beheer op een vreemde poort

Intrusion attacks bij bezoeken site…

Beheer op een vreemde poort

Lubach bezoekt 1800 overheidssites, gelukkig is er nog veel meer!

Nieuwe metingen (februari 2023) – Security.txt, RPKI

Security.txt

RPKI Aanwezigheid

Zo zien de resultaten eruit