features Archives - Internet Cleanup Foundation

Nieuwe kaart: basisonderwijs. 10% sites plaatst zomaar volgkoekjes, slechtst beveiligde onderwijslaag maar plukjes groen geven hoop

Vanaf 24 mei publiceert basisbeveiliging online veiligheidsmetingen van het basisonderwijs. Met meer dan 6000 vestigingen is dit de grootste kaart tot nu toe. De kaart is hier te bekijken.

De belangrijkste bevindingen:

De slechtst beveiligde onderwijslaag, maar plukjes groen geven hoop
2% is veilig (133), 13% komt in de buurt, 83% onveilig, 2% onbekend/todo
10% van de voorpagina’s van websites plaatst ongevraagd volgkoekjes
Risico’s zijn gelijk verdeeld over denominatie

Plukjes groen

Eerst het goede nieuws. Want tussen een zee van rood vallen plukjes groene instellingen op. Dit zijn samenwerkende basisscholen die het beheer van hun websites hebben gecentraliseerd. Zo scoren bijvoorbeeld de instellingen van Eenbes tussen Eindhoven en Helmond allemaal groen. Iedere school van deze samenwerking heeft een eigen website. We zien ook elders groene plukjes, zoals bij Iris in Kampen en PCBO in Apeldoorn.

Het leuke is dat Eenbes op haar eigen site ook een kaart heeft staan. Deze past precies op de positief beoordeelde instellingen in dezelfde regio. Zie de vergelijking hieronder. Basisbeveiliging staat links, Eenbes rechts.

Positief beoordeelde basisscholen in de regio Eindhoven/Helmond matchen exact de scholen van een samenwerking Eenbes.

10% ongevraagde volgkoekjes

We meten op 619 van de 6083 voorpagina’s ongevraagde volgkoekjes. Dat is iets meer dan op 10% van de sites van basisscholen.

Dit is uit te splitsen naar geloof (denominatie). Wanneer we dit doen ontstaat er een vrij gelijkmatige verdeling met één uitzondering. Dat zijn de gereformeerd vrijgemaakte basisscholen. Dit ontstaat omdat een enkele scholengroep (LEV-WN) hierin met 22 verschillende websites oververtegenwoordigd is.

Denominatie	Aantal hoofddomeinen	Met ongevraagde volgcookies	Percentage
Totaal	6083	619	10.18%
Openbaar	1913	198	10.35%
Rooms-Katholiek	1825	176	9.64%
Protestants-Christelijk	1484	152	10.24%
Algemeen bijzonder	315	26	8.25%
Reformatorisch	159	4	2.52%
Gereformeerd vrijgemaakt	108	34	31.48%
Antroposofisch	74	6	8.11%
Islamitisch	69	10	14.49%
Samenwerking PC, RK	51	4	7.84%
Interconfessioneel	25	2	8.00%
Bijzonder	23	3	13.04%
Samenwerking Opb., PC	8	1	12.50%
Evangelisch	7	2	28.57%
Hindoeïstisch	6	1	16.67%

Verdeling volgcookies op voorpagina’s per denominatie in het basisonderwijs.

De verdeling van de cookies schiet duidelijk één kant op: YouTube. Een quick-fix hiervoor is om youtube-noocookie.com te gebruiken, beter nog is om het filmpje te laden vanaf de website zelf of een leverancier die geen secundair belang heeft bij het aanbieden van video’s.

Leverancier	Ongevraagd volgkoekje	Aantal[1]
YouTube	VISITOR_INFO1_LIVE	634
Facebook	_fbp	91
LinkedIn	li_sugr	10
Google Ads	_gcl_au	4
LinkedIn	UserMatchHistory	3
Snowplow	_sp_id.<HASH_OR_ID>	2

[1]: Sommige instellingen gebruiken dezelfde site. Het aantal ontvangen cookies op het hoofddomein is absoluut. Daarom worden sommige cookies dubbel geteld.

Gebaseerd op de metingen bij het voortgezet en middelbaar beroepsonderwijs verwachten we dat alle metingen dezelfde gelijkmatigheid zullen hebben.

Slechtst scorende onderwijslaag

Ondanks de plukjes groen en het kleine online oppervlak per instelling scoort het basisonderwijs het slechtst van de onderwijslagen. We zien dat terug in de locatie van de dienstverlening (buiten de EU), nihile adoptie van security.txt en DMARC en ondermaatse privacy op websites.

Het is echter niet hopeloos: door het kleine online oppervlak (weinig domeinnamen/online diensten) en korte lijnen zal het leveranciers niet al te lastig zijn om beveiligingsmaatregelen door te voeren. Dit is bijna een ‘walk in the park’ vergeleken met de nachtmerrie van grote organisaties om ook maar het kleinste beetje beweging voor elkaar te krijgen.

De onderwijslagen zijn te vergelijken op alle metingen in het klassement. Dat is hier te vinden. Hieronder staat een screenshot van de vergelijking op moment van publicatie.

Veel voeten in de aarde

Het maken van deze kaart heeft veel meer voeten in de aarde gehad dan alle voorgaande kaarten. Daarom zijn we ook een stuk later met de publicatie. Dat komt omdat er 6000 instellingen tegelijkertijd worden getoond: iets dat we nog niet eerder hebben gedaan. Maar laten we bij het begin beginnen.

De informatie over basisscholen komt uit open data van de Dienst Uitvoering Onderwijs. Instellingen kunnen deze informatie vrijwillig aanvullen en is hierdoor vaak niet up to date of onvolledig. Bij 900 instellingen is de website met de hand vervangen of aangevuld. Informatie uit andere sites zoals scholenopdekaart.nl is niet gebruikt ivm copyright. Wij werken met een vrije licentie.

Ook is van de meeste basisscholen contactinformatie (e-mail) verzameld. Veel hiervan is geautomatiseerd, aangevuld met de hand door vrijwilligers en een deel is gegokt op basis van meest voorkomende adressen. De reacties hierop waren vaak: haal ons uit het databestand. De mailing is gelukkig eenmalig.

Dan is er nog een probleem: naamgeving. Er zijn 92 basisscholen genaamd “de regenboog” 🌈 . Wij houden van regenbogen, maar het is wel handig dat het gaat over de juiste regenboog in de juiste plaats. Daarom staat er nu overal in welke plaats de instelling zit. Om de instellingen verder uniek te maken hebben we het identificatienummer van de instelling (BRIN) aan de naam toegevoegd. Je kan helaas niet zoeken op plaatsnaam, omdat dan bijvoorbeeld “Gemeente Amsterdam” niet meer is te vinden door teveel resultaten.

De site is ook op allerlei plekken sneller gemaakt. Ons motto daarbij is: meer data maakt een snellere site. Dat zie je meteen terug bij het laden van de pagina: alleen de getoonde kaarten worden geladen. De zoekmachine wordt afzonderlijk geladen en is door tuning vlotter geworden. De kaart zelf had lange laadtijden (en kan nog verder worden versneld), maar ook dit is versneld door animaties te beperken.

Voor mensen die een groter scherm hebben is goed nieuws: je kan nu rapporten direct vanaf de kaart openen. Hierdoor is het makkelijker om instellingen met elkaar te vergelijken. Op de kaart: klik met de rechtermuisknop op een organisatie en selecteer de “embedded” / “ingebed” optie. Hieronder een voorbeeld van hoe dat eruit ziet.

Achter de schermen zijn er nog veel meer uitdagingen geweest, maar hiervoor schrijven we een aparte blogpost.

Ter afsluiting: mooie kaarten

Omdat de gegevens van openstreetmap en basisscholen er tof uitzien hierbij een aantal mooie screenshots.

Updates Februari 2024

Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023.

Klassement

Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met elkaar vergelijken op alle metingen. Lees meer hierover in de blogpost.

Upgrades overzicht metingen

De voorste pagina van het rapport bevat een overzicht van alle metingen. Dit wordt o.a. gebruikt voor compliance door een aantal organisaties. Om dit nog makkelijker te maken zijn de volgende dingen toegevoegd:

Er staat een datum & tijd op de volledige schermweergave
De lijst is als CSV te downloaden, zodat deze makkelijk te delen is met collega’s
Als iets vaker dan 1x voorkomt staat het erbij
Het verklaringssymbool verschijnt nu alleen als alle bevindingen zijn verklaard

Voorbeeld datum en tijd voor compliance doeleinden

Onlangs bekeken

Op de voorpagina en de rapportenpagina staan nu de onlangs bekeken rapporten. Deze lijst wordt in de browser opgeslagen en scheelt weer wat klikken.

Totalen slechtste en beste

De totalen van beste en slechtste worden nu in de tabbladen weergegeven, zoals te zien is in de schermafbeelding hieronder.

Overige kleine wijzigingen

De kaart voor de zorg heeft twee subkaarten: GGD en Ziekenhuizen
Er zijn ±15.000 domeinen uit de database verwijderd die al een tijd op “soft delete” stonden.
De kaarten laden iets sneller omdat popups nu ad-hoc worden aangemaakt
De keuzenlijsten van organisaties bij rapporten en de voorpagina worden nu per 100 stuks ingeladen, in plaats van alles in 1x, dat is sneller. Zoeken werkt nog hetzelfde.
Er is een uitzondering gemaakt op basis van ISP. Voor cloudflare keuren we een bepaalde open poort goed (tijdelijk).
Status pagina bijgewerkt voor previews van nieuwe kaarten.

Updates (april 2023)

Er zijn weer een aantal updates doorgevoerd aan basisbeveiliging.

Nieuw

Nieuwe metingen over privacy gaan de 17e live april live.
Voortgang pagina. Hierop kan je de resultaten van een bepaalde meting over verschillende maanden zien. Standaard zijn dat 6 maanden, maar je kan jaren terug. Je kan dit nu het meeste voortgang zien rondom de security.txt meting. Hier een link naar de voortgang van provincies.
Handreiking Comply or Explain. Vanwege de vele Comply or Explain mails is er een pagina toegevoegd met een handreiking over welke verklaringen wel en niet worden geaccepteerd. Deze staat hier.
Ondersteuning voor alternatieve namen. We hebben bijnamen, oude namen, Nederlandse namen van Friese gemeenten en carnavalsnamen toegevoegd van gemeenten die een gelijknamig stad of dorp hebben. Ook kan je nu zoeken naar “mooie stad achter de duinen” voor Den Haag, “Torenstad” voor Zutphen, “Moerasdraak” voor Den Bosch.

Wijzigingen

Logins in het login plaza zijn nu voorzien van een versienummer en een link naar de publiek bekende kwetsbaarheden (zgn CVE’s).
Producten in login plaza zijn nu voorzien van informatie over de maker, wat het kan etc. Dit is aangevuld door ChatGPT 3.5, dus kan wat foutjes bevatten. We herkennen meer dan 250 producten van vele leveranciers.

Fixes

G1 overheidscertificaten worden nu correct automatisch verklaard. Meer hierover in het blogpost.
De nieuwe manier waarop microsoft alleen http aanbiedt op autodiscover domeinen wordt nu meegenomen.
Hertests voor login portals draaien nu.

Updates (maart 2023)

Nieuwe metingen

Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.

Functionaliteit basisbeveiliging.nl

Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
- Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
- Zoeken naar “https://cip-overheid.nl” levert het UWV
- Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
- Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Linkjes naar diverse pagina’s zijn nu ook te zien in de adresbalk . Je kan dus makkelijk een pagina zoals de kaart van de overheid of de kaart van waterschappen delen.
De pas-toe-of-leg-uit pagina is gefixt.
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.

Nieuwe zoekfunctie op basisbeveiliging.nl. Zoeken naar Arnhem levert diverse resultaten over organisaties bij Arnhem.

Data op Basisbeveiliging

Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.

Nieuwe metingen (maart 2023) – Login Plaza

Deze maand een extra leuke verassing: een overzicht van publieke login portals van de overheid. We hadden natuurlijk de VPN portals wel verwacht, maar er is ook meer dan teveel te vinden dat naar onze mening niet publiek hoort.

Deze portals zijn te vinden op een nieuw onderdeel van de basisbeveiliging site: Login Plaza. We hopen dat dit niet de ‘voorpagina’ word van allerlei ambtenaren wanneer ze de linkjes kwijt zijn naar deze systemen :).

De metingen zijn nog aan het inladen: we zitten nu op 20% en hebben meer dan 600 portals gevonden. Dat belooft wat 🙂

Overheid: Het is tijd om het aanvalsoppervlak te reduceren.

Overheid ❤️ phpMyAdmin

Een voorbeeld is database-beheer tool phpMyAdmin: een web interface om de inhoud van je database aan te passen. Het is een geliefde tool, wij kennen em in hart en nieren… maar is het nou echt de bedoeling dat de hele wereld hierop mag proberen in te loggen? Bij de overheid? Wij denken van niet. Ons advies is dus: weghalen. Gewoon achter het VPN en niet op een ‘verborgen adres’ please…

Van het Ministerie van Binnenlandse Zaken tot Economische Zaken (oh en LNV, VWS), allerlei gemeenschappelijke regelingen en de Belastingdienst: iedere overheid gebruikt dit pakket en geeft de hele wereld de kans om op in te loggen. Zoek zelf maar naar phpMyAdmin op Login Plaza, hier.

Mag dat? Proberen in te loggen mag bij de overheid, maar je moet je altijd aan de spelregels houden van Coordinated Vulnerability Disclosure.

Hoe meten we dit?

Er zijn twee manieren waarop we dit meten. De eerste is een ‘ontdekking’ en de tweede is een ‘verificatie’.

De ‘ontdekking‘ fase bestaat uit het proberen van allerlei verschillende paden waarop bekende software te vinden is. Hier word dus gekeken of de map “phpMyAdmin” bestaat op het domein https://example.nl: https://example.nl/phpMyAdmin/

Dit gebeurd op een heel lage intensiteit. Over langere tijd checken we op honderden verschillende stukken software. We doen hier met opzet lang over zodat het niet in de weg zit van ander verkeer. Om het nog minder intens te maken doen we dit ook maar eens per twee maanden. In mei komt dus de tweede ronde.

De ‘verificatie‘ fase is een doelgerichte check. We kijken alleen of het gevonden portal er nog staat. Dat zijn dus net zoveel verzoeken als portals: meestal 1 of 2. Dit doen we om de dag zodat de gegevens op de site actueel zijn. Zo kan een beheerder ook zien dat een portal is verdwenen en het probleem is opgelost.

Zonder oordeel op de kaart

Binnenkort zullen we ook een oordeel plakken aan deze bevindingen. Deze zal grofweg op de volgende manier worden gekleurd op de kaart:

Rood: een login-portaal voor beheer: zoals phpMyAdmin, Django Admin, Grafana, Metabase en dergelijke producten.

Oranje: een login-portaal voor het beheren van een content-management systeem zoals WordPress, Drupal, Typo3 of minder intense tools als Matomo. Eind van 2023 word dit ook rood.

Groen: een login-portaal voor het gebruiken van een VPN. Waarom hier een web portaal voor nodig is? Mogelijk word dit dus ook rood, maar hier zit voor ons nog wat huiswerk: we zien namelijk dat er meer dan 20 verschillende producten worden gebruikt en we zullen moeten verdiepen in hoe ze werken en wat realistisch is qua oordeel.

Twaalf van de nu gevonden 52 phpMyAdmin login portalen… en de metingen worden nog geladen.

Nieuwe metingen (januari 2023) – Software Identificatie, Overbodige Poorten

Er zijn weer nieuwe metingen toegevoegd aan basisbeveiliging. Het gaat om de volgende twee:

Software versie identificatie. We kijken of software op je server aangeeft welke (specifieke) versie er wordt gedraaid. Deze informatie wordt gebruikt door aanvallers om een specifieke aanval uit te voeren of te plannen. In een gehardende omgeving is deze informatie niet zichtbaar: in dat geval moet een aanvaller meer moeite doen om erachter te komen welke versie er staat, wat ofwel teveel moeite is of zorgt dat een aanval makkelijker te herkennen is. De maximale score is rood, dit gebeurd als er een volledig versienummer en sub-nummer te vinden is. Bijvoorbeeld 12.34.
Overbodige poorten. Voor dienstverlening naar burgers en medewerkers van je organisatie zijn maar een paar diensten nodig. We kijken in dit geval naar een paar poorten, de alternatieve HTTP poorten (8443 enzo): hierop staan vaak diensten zoals beheerders-interfaces en dergelijke. We raden aan om dienstverlening van deze alternatieven te staken en de dienst onder de standaard poortnummers te leveren. De informatie in deze scan is nog in beta, de maximale score is oranje.