Er zijn weer een aantal updates doorgevoerd aan basisbeveiliging.
Nieuw
Nieuwe metingen over privacy gaan de 17e live april live.
Voortgang pagina. Hierop kan je de resultaten van een bepaalde meting over verschillende maanden zien. Standaard zijn dat 6 maanden, maar je kan jaren terug. Je kan dit nu het meeste voortgang zien rondom de security.txt meting. Hier een link naar de voortgang van provincies.
Handreiking Comply or Explain. Vanwege de vele Comply or Explain mails is er een pagina toegevoegd met een handreiking over welke verklaringen wel en niet worden geaccepteerd. Deze staat hier.
Ondersteuning voor alternatieve namen. We hebben bijnamen, oude namen, Nederlandse namen van Friese gemeenten en carnavalsnamen toegevoegd van gemeenten die een gelijknamig stad of dorp hebben. Ook kan je nu zoeken naar “mooie stad achter de duinen” voor Den Haag, “Torenstad” voor Zutphen, “Moerasdraak” voor Den Bosch.
Wijzigingen
Logins in het login plaza zijn nu voorzien van een versienummer en een link naar de publiek bekende kwetsbaarheden (zgn CVE’s).
Producten in login plaza zijn nu voorzien van informatie over de maker, wat het kan etc. Dit is aangevuld door ChatGPT 3.5, dus kan wat foutjes bevatten. We herkennen meer dan 250 producten van vele leveranciers.
Fixes
G1 overheidscertificaten worden nu correct automatisch verklaard. Meer hierover in het blogpost.
De nieuwe manier waarop microsoft alleen http aanbiedt op autodiscover domeinen wordt nu meegenomen.
Wil je bovenstaande stickers hebben? Ga naar de sticker swap…
phpMyAdmin is populaire software voor het beheren van databases via de browser. Dit hoort niet online te staan bij professionele organisaties. Vorige week deelden we onze bevinden: 300+ phpMyAdmins bij de overheid. In een week is er al 10% offline gehaald. In dit artikel de getallen en ook een aantal redenen waarom je phpMyAdmin offline wil halen.
Voor beheerders: De hertests beginnen later deze week, de uitkomsten kan je natuurlijk vinden op het Login Plaza.
Al 10% opgeruimd
Een week geleden deelden we op linked in dat de overheid meer dan 300 phpMyAdmin portals online heeft staan. Dat maakte behoorlijk veel los. We ontvingen een aantal belletjes en overzichten van wat mensen aan het opruimen zijn.
Slechts één week is erg kort in overheidsland, maar toch is het leuk om te kijken wat er veranderd. Hiervoor hebben we een steekproef gedaan naar de aanwezigheid van 316 gevonden portals. Dit zijn de uitkomsten:
Originele meting: 316 portals
Hertests vanaf…
een Nederlands Ziggo IP: 287
een Proxy in Nederland: 271
het IP van basisbeveiliging: 288
Er zijn in een week ±30 phpMyAdmin portals opgeruimd uit de steekproef. Dat is 10%. Daarvoor alle lof naar de beheerders hiervan!
Waarom moet phpMyAdmin weg?
Dat de overheid phpMyAdmin gebruikt verbaast ons niets: iedereen gebruikt dit want het is fantastisch. Toch is het niet de bedoeling dat dit word aangeboden via het publieke internet.
Hieronder staan een aantal redenen waarom de overheid door moet gaan met het offline halen van phpMyAdmin:
Het kost meer management, patchwerk en onderhoud: phpMyAdmin en onderliggende technologie PHP bevatten regelmatig kwetsbaarheden. Net als alle andere software. Iets online zetten vereist dus constante verzorging. Je kan software beter vergelijken met een tijdbom. Als die bom afgaat moet je meteen (in de nacht) patchen, anders heeft een aanvaller al je data. Je moet dus al weten dat je het draait, welke versie, hoe je dat update, hoe het eventueel uit moet etc: dat is duur en irritant. Het bespaart dus geld, tijd en stress om dingen niet publiek te zetten. Er worden regelmatig nieuwe kwetsbaarheden gevonden en gepubliceerd. Zie bijvoorbeeld dit archief van phpMyAdmin aanvallen. Een aanvaller hoeft niet slim te zijn, die kan ook gewoon wachten en ter zijner tijd een goedkope 0day (=nieuwe onbekende kwetsbaarheid) aanschaffen en inzetten. Wie is er sneller? Jij of de aanvaller? Het is beter deze race niet aan te gaan.
Er is een grote kans dat kwaadwillenden en ethisch interessante bedrijven al 0days hebben liggen voor PHP/phpMyAdmin. Er valt veel te halen, daarom is het ontwikkelen van een kwetsbaarheid geld/tijd waard. Als er niets meer te halen is… dan is de aanval waardeloos. Vanuit deze gedachte kan je zeggen dat het online plaatsen van overbodige systemen de groei stimuleert van deze (illegale) markt.
phpMyAdmin online aanbieden voldoet niet aan de ISO27002-2022 eisen. Dit zijn eisen die de overheid volgt, onder andere door opvolging van de Baseline Informatiebeveiliging Overheid. Uit ISO27002-2022 halen we o.a:
8.3 e) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen, toepassingsgegevens of systemen
8.9 c) onnodige functies en diensten uitschakelen of beperken;
8.9 d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
Let op: normenkaders noemen nooit expliciet stukken software. Iedereen moet hierdoor zelf uitvinden wat de bedoeling is: met pluriformiteit en onveiligheid als gevolg. Wij vullen dit nu concreet in en leggen de lat behoorlijk laag.
Het staat incompetent. Zeker als je core-business beveiliging is, zoals bij de volgende organisaties:
Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.
Functionaliteit basisbeveiliging.nl
Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
Zoeken naar “https://cip-overheid.nl” levert het UWV
Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.
Data op Basisbeveiliging
Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.
Deze maand een extra leuke verassing: een overzicht van publieke login portals van de overheid. We hadden natuurlijk de VPN portals wel verwacht, maar er is ook meer dan teveel te vinden dat naar onze mening niet publiek hoort.
Deze portals zijn te vinden op een nieuw onderdeel van de basisbeveiliging site: Login Plaza. We hopen dat dit niet de ‘voorpagina’ word van allerlei ambtenaren wanneer ze de linkjes kwijt zijn naar deze systemen :).
De metingen zijn nog aan het inladen: we zitten nu op 20% en hebben meer dan 600 portals gevonden. Dat belooft wat 🙂
Overheid: Het is tijd om het aanvalsoppervlak te reduceren.
Overheid ❤️ phpMyAdmin
Een voorbeeld is database-beheer tool phpMyAdmin: een web interface om de inhoud van je database aan te passen. Het is een geliefde tool, wij kennen em in hart en nieren… maar is het nou echt de bedoeling dat de hele wereld hierop mag proberen in te loggen? Bij de overheid? Wij denken van niet. Ons advies is dus: weghalen. Gewoon achter het VPN en niet op een ‘verborgen adres’ please…
Er zijn twee manieren waarop we dit meten. De eerste is een ‘ontdekking’ en de tweede is een ‘verificatie’.
De ‘ontdekking‘ fase bestaat uit het proberen van allerlei verschillende paden waarop bekende software te vinden is. Hier word dus gekeken of de map “phpMyAdmin” bestaat op het domein https://example.nl: https://example.nl/phpMyAdmin/
Dit gebeurd op een heel lage intensiteit. Over langere tijd checken we op honderden verschillende stukken software. We doen hier met opzet lang over zodat het niet in de weg zit van ander verkeer. Om het nog minder intens te maken doen we dit ook maar eens per twee maanden. In mei komt dus de tweede ronde.
De ‘verificatie‘ fase is een doelgerichte check. We kijken alleen of het gevonden portal er nog staat. Dat zijn dus net zoveel verzoeken als portals: meestal 1 of 2. Dit doen we om de dag zodat de gegevens op de site actueel zijn. Zo kan een beheerder ook zien dat een portal is verdwenen en het probleem is opgelost.
Zonder oordeel op de kaart
Binnenkort zullen we ook een oordeel plakken aan deze bevindingen. Deze zal grofweg op de volgende manier worden gekleurd op de kaart:
Rood: een login-portaal voor beheer: zoals phpMyAdmin, Django Admin, Grafana, Metabase en dergelijke producten.
Oranje: een login-portaal voor het beheren van een content-management systeem zoals WordPress, Drupal, Typo3 of minder intense tools als Matomo. Eind van 2023 word dit ook rood.
Groen: een login-portaal voor het gebruiken van een VPN. Waarom hier een web portaal voor nodig is? Mogelijk word dit dus ook rood, maar hier zit voor ons nog wat huiswerk: we zien namelijk dat er meer dan 20 verschillende producten worden gebruikt en we zullen moeten verdiepen in hoe ze werken en wat realistisch is qua oordeel.