metrics – Internet Cleanup Foundation

De helpdesk aflevering 5: Waarom geen Google Analytics?

We krijgen regelmatig de vraag waarom basisbeveiliging Google Analytics negatief beoordeelt bij haar privacymeting. Er wordt dan verklaard dat Analytics is ingericht volgens de handleiding van de Autoriteit Persoonsgegevens.

De Autoriteit geeft bij tweakers aan geen specifiek advies te geven welke tools voldoen. Dat is sinds 11 augustus 2023 waar, omdat de bewuste handleiding (archief) en de per ongeluk impliciete goedkeuring/promotie toen van hun site is gehaald.

De reden dat wij Google Analytics en dergelijke diensten afkeuren is eenvoudig: Google heeft een tweede belang bij het verzamelen van informatie over bezoekers: verkopen. Dat is niet in het belang van de bezoeker of de organisatie die het product toepast. We zien dat de overheid in 23% van de gevallen Analytics verkeerd inricht.

In dit artikel laten we zien waarom diensten als Google Analytics een probleem zijn, waarom dit probleem ontstaat en blijft bestaan en welke mogelijke oplossingen er zijn voor dit probleem.

Inzicht geven in surfgedrag

Het bijhouden van bezoekersstatistieken en wat bezoekers op een site doen is handig. De eigenaar kan zo zien welke informatie populair is en of de site voldoende wordt bezocht. Er zijn honderden bedrijven die hiervoor diensten aanbieden.

Ieder bedrijf zit anders in elkaar. Sommige verlenen slechts één dienst: inzicht geven in bezoekers en hun gedrag. Andere bedrijven leveren meer producten en diensten om de begroting rond te krijgen. Soms zijn deze activiteiten met elkaar verweven, zoals advertenties en bezoekersstatistieken. Specifiek in het laatste scenario is Google de grootste naam.

Google is groot geworden door de combinatie van uitmuntende technologie met gerichte advertenties. Ze verkopen dus beiden, waardoor ze hun technologie goedkoop of zelfs gratis kunnen aanbieden. Google Analytics (GA) is de tool waarmee bezoekersstatistieken worden verzameld. De verzamelde gegevens worden dus ook gebruikt voor gerichte advertenties op deze bezoekers. Die advertenties zijn vaak pas zichtbaar op een andere website.

Analytics wordt gebruikt door ontelbaar veel organisaties. Het kost snel miljarden om een platform als dit te bouwen, terwijl het goedkoop of zelfs gratis is om te gebruiken. Dit wordt betaald met gerichte advertenties. Sceptici zeggen daarom dat de dienst wordt “betaald met privacy”. Wanneer een overheid kiest om zoiets te gebruiken, betalen hun inwoners dit met hun privacy.

Google zegt zelf met versie 4 te voldoen aan alle eisen. Ze zeggen daarna in hetzelfde artikel waarom dit een wassen neus is. Dat gaan we zo uitleggen.

Omvang van Analytics

Diverse Europese landen verbieden het gebruik van Google Analytics (voor de overheid). Dit zijn Denemarken, Italië, Frankrijk, Noorwegen en Oostenrijk. De reikwijdte van dit verbod wisselt per land, maar het is in ieder geval een signaal om het niet te gebruiken.

Een dergelijk verbod zal ondernemers niet tegenhouden om alsnog een bedrijf te beginnen met ongeveer hetzelfde businessmodel. De focus ligt bij Google omdat dit de grootste speler is. Daarom is Analytics een naam voor het onderliggende probleem: verzamelde gegevens voor iets anders inzetten dan uitsluitend het verlenen van de dienst voor de klant. Dit geldt natuurlijk ook voor andere diensten van Google als YouTube en Google Maps.

Wij meten dat Analytics 1774 keer wordt ingezet bij de overheid. 1038 keer bij de centrale overheid, 676 bij gemeenten en 60 keer bij provincies. Het is de grootste in deze markt voor de overheid. Als we alle diensten van advertentiebedrijven meten, dan zien we bijvoorbeeld dat 70% van de gemeenten (242) zoiets toepast. Wij monitoren daarbij vooral Amerikaanse bedrijven omdat Europese bedrijven nog niet op de bekende volg-mij-niet-lijsten staan.

De dans met de regels

De advertentiemarkt is een miljardenindustrie. Het is van onschatbare waarde, vaak ook bedrijfsgeheim, op welke manieren bezoekers worden gevolgd en hoe gegevens worden gecombineerd.

Bedrijven zoals Google houden zich op een subversieve manier aan de wet: de wet wordt perfect en strikt gevolgd en dus wordt de grens altijd opgezocht. Een belangrijk doel van advertentiebedrijven is dat het onderliggende probleem nooit helder wordt of wordt opgelost. Daarvoor worden verschillende strategieën gebruikt. Drie hiervan zijn:

Het geven van keuzes en instellingen.
Werken naar halve regelgeving, certificeringen en audits: regulatory capture
Focus op haakjes om gegevens aan op te hangen: zoals een IP adres

Ieder van deze methodes leggen we hieronder uit. Hierdoor zie je dat deze allemaal geen oplossing zijn.

Wij zeggen hier dus niet dat Google ergens misbruik van maakt of ze iets doet dat niet mag. Juist het tegenovergestelde: men houdt zich dus perfect aan de wet.

Strategie 1: Keuzes

Het aanbieden van keuzes is een gouden greep. Het verlegt de verantwoordelijkheid naar de kiezer en kiezen gaat gegarandeerd fout. Iedere keer dat dit fout gaat wordt er geld verdient.

Het maken van keuzes bij Analytics gaat zowel fout bij de aanbieder (de overheid) als bij de gebruiker (de burger):

Bij de aanbieder, de overheid, meten we dat er 419 keer verbinding wordt gelegd met een doubleclick domein van Google Ads, zonder dat er toestemming is gegeven. In 23% van de gevallen is Analytics dus verkeerd ingericht. Blijkbaar is dit te lastig voor professionele organisaties met hoogopgeleide ICT-medewerkers.

De gebruiker, de burger, krijgt dagelijks vele malen de keuze of ze gevolgd wil worden. De vraag is dan “wil je alle functies op deze website gebruiken?”. Toestemming geven is vaak makkelijker dan weigeren. Hier treed moeheid en conditionering op, waardoor men toch op “OK” klikt. De vraag om toestemming is vaak doorspekt met slimmigheden waardoor men eigenlijk geen kans heeft om te weigeren.

Die keuze voorleggen aan de burger is geregeld in de Telecommunicatiewet. De wet richt zich op alle mogelijke technische vormen van volgen. Omdat de meestgebruikte techniek een cookie is, wordt dit onderdeel van de wet vaak de cookiewet genoemd. Dit is dus onvolledig.

Strategie 2: regulatory capture

Het opstellen van regels, certificering en audits is een andere gouden greep. Hierbij snijdt het mes aan twee kanten. Linksom: voor nieuwe organisaties wordt het lastiger om toe te treden tot de markt. Rechtsom: je hebt zelf al de markt en de inkomsten, hierdoor kan je aan de nieuwe regels voldoen ongeacht hoe complex deze zijn.

Het beste is dus om regels te stimuleren waar alleen jouw organisatie aan kan voldoen. Bijvoorbeeld het verbieden van het volgen van gebruikers via een specifieke methode om profielen aan op te hangen (zgn “haakje”) zoals het IP adres. Dat is prima voor Google, omdat ze hiervoor andere haakjes kan aanwenden door schaalgrootte en bereik. Een voorbeeld hiervan staat in methode 3.

Het ontstaan en stimuleren van regulatory capture gebeurt bijna vanzelf. Feit is namelijk dat regelgevers vaak achter de feiten aanlopen: ze moeten leren omgaan met een altijd veranderende realiteit. Dat levert een spanningsveld, want je wil de maatschappij niet lamleggen of tegenhouden. Het opstellen van nieuwe regels, deze goed verwoorden en het probleem begrijpen is een vreselijk lastig en langdurig proces. Hier liggen bijvoorbeeld kansen voor denktanks en lobbyisten om de focus te verleggen naar iets wat logisch lijkt, maar het niet is.

Dit artikel gaat verder na de afbeelding met methode 3.

242 gemeenten gebruiken een dienst van een (Amerikaans) tracking bedrijf. 101 doen dat niet.

Strategie 3: Verbod op een specifiek haakje

Op de privacy-pagina van versie 4 van Google Analytics, staat letterlijk: “IP-address data is used solely for geo-location data derivation before being immediately discarded“.

In plaats van een persoon gaat het nu over een locatie: een adres, gezin, straat, wijk et cetera. Inderdaad niet herleidbaar tot één specifiek persoon: dus geen persoonsgegeven. Dat iets niet herleid tot een persoon wil dus niet zeggen dat deze informatie onschadelijk of betekenisloos is.

Google weet van alle IP adressen ter wereld namelijk de fysieke locatie. Dat komt omdat iedereen dit aan hen verteld. Bijvoorbeeld door het maken van een route in Google Maps of Waze, het zoeken naar informatie over de wijk, het bekijken van je huis op Streetview, het bezoeken van websites in de buurt zoals die van een hobbyclub, sportclub of gemeente (Analytics staat overal). Er is geen partij ter wereld die zo goed een locatie aan een IP adres kan koppelen als Google.

Zelfs als je je best doet om jezelf te beschermen hoeven je buren dat niet te doen. En omdat het IP adres van de buren bijna dezelfde is als die van jou heeft dat impact op je. Een schoolvoorbeeld is dat in armere wijken duurdere goederen verkocht kunnen worden omdat dit een status geeft. Iedereen helpt dus onbewust elkaars profiel op te stellen.

Een regelgever zou het gebruik van fysieke adressen kunnen verbieden, maar dan is er weer een ander haakje om gegevens aan te koppelen. Het is onmogelijk om dit probleem op een technische manier te stoppen, de belangen zijn simpelweg te groot.

Qua handhaving is er ook enorm veel ruimte, maar handhavers krijgen natuurlijk te weinig capaciteit, mandaat en kennis omdat de ernst van het probleem niet breed genoeg wordt onderschreven.

Oplossen van het echte probleem

Een verbod op een specifiek bedrijf of specifieke technologie lost niets op. Daarvoor zijn de belangen te groot. Maar er is wel hoop. Zo op het eerste gezicht zien we drie oplossingen, maar er zijn er vast meer.

A: Betere wetgeving?

Het echte probleem zit in de hoek van doelbinding: dat gegevens op geen enkele andere manier mogen worden ingezet dan het doel. Dus ook niet worden afgeleid, gecombineerd, verkocht en dergelijke.

Waarschijnlijk is dit juridisch ongelofelijk lastig op te schrijven. De cookiewet was hiervoor een eerste poging, maar biedt onvoldoende bescherming. Het leverde een van de subversieve oplossingen: keuzes.

De overheid kan natuurlijk wel voor zichzelf eisen opstellen en e.e.a. verbieden. Dat heeft natuurlijk weinig invloed op het grote geheel, maar het is een goed begin.

Een wettelijke oplossing is in ieder geval niet morgen geregeld, hoewel die behoefte en noodzaak er wel is.

B: Alternatieve bedrijven met betere waarden?

Privacy kan worden vereist bij de toepassing en aankoop van producten en diensten in allerlei markten. Maar ook dat is erg lastig: juist organisaties met een tweede doel zullen vaak aan de eisen voldoen omdat de eisen niet doordacht zijn vastgelegd.

Het is belangrijk om het onderliggende probleem te begrijpen: het beschermen van zoveel mogelijk mensen. Dit kan onder andere door te eisen dat gegevens maximaal voor 1 doel mogen worden ingezet en alle andere gronden te weigeren.

Gelukkig zijn er al tientallen bedrijven die dit al garanderen. Denk bijvoorbeeld aan Piwik Pro, Monsido en dergelijke. Deze bedrijven zijn helaas niet altijd transparant over hun prijzen. Matomo is dat wel. Hier wordt per bezochte pagina betaald. Voor 1 miljoen hits, een behoorlijk populaire site, is dat 160 euro per maand.

Zou Google haar Analytics tak afsplitsen naar een bedrijf met maar één enkel belang, dan is er geen bezwaar om het te blijven gebruiken. Dan moeten ze er wel (meer) geld voor moeten gaan vragen. Wedden dat niemand de daadwerkelijke prijs hiervoor wil betalen?

Wat ook helpt is de wetenschap dat 95% van de verzamelde gegevens in tools als Analytics niet relevant zijn voor dagelijkse sturing. Het verzamelen hiervan is dus overbodig werk.

C: Zelf maar iets draaien?

Zelf een tool draaien is een optie. Tweakers.net heeft onlangs een overzicht gepubliceerd van vier verschillende tools die Analytics kunnen vervangen.

De haken en ogen aan deze aanpak zitten niet in de technologie maar in de organisatie. Wanneer een organisatie zelf iets draait zitten hier verantwoordelijkheden aan. Zo moet er een server worden geregeld, deze moet worden ingericht en onderhouden, de software moet ingericht worden zodat het aan de wet voldoet en moet ook nog regelmatig (en soms acuut) worden bijgewerkt. Ook dan moet er nog steeds betaald worden aan dit soort projecten: anders worden kwetsbaarheden niet opgelost of is draait het op een verouderd (kwetsbaar) systeem. De medewerkers die dit uitvoeren krijgen natuurlijk salaris. Alles bij elkaar gaat het snel over een behoorlijk bedrag.

Zelf iets draaien is dus niet altijd even economisch of duurzaam. Alle haken en ogen kosten al snel meer dan iets afnemen bij een van de vele dienstverleners. Dat is namelijk de business case.

Wat keurt basisbeveiliging?

Basisbeveiliging keurt sinds april 2023 privacy op twee dingen: of een site op zichzelf staat en, wanneer dat niet zo is, of er verkeer wordt gestuurd naar bekende advertentiebedrijven.

De lijst met advertentiebedrijven komt van het Amerikaanse bedrijf Disconnect.Me. Zij verkopen diensten waarmee privacy vergroot kan worden. Hun lijst met bedrijven is openbaar, zodat iedereen dit kan inzien, aanpassen en gebruiken.

Het zal je niet verbazen dat op deze lijst voornamelijk Amerikaanse bedrijven staan. Ook neemt dit diensten mee waarbij Google zegt géén privacygevoelige informatie te verzamelen zoals bij het aanbieden van lettertypen (maar wel alle andere mogelijke data natuurlijk).

Op de techreuzen na opereren de organisaties op de lijst niet in Nederland. In de EU en Nederland zijn er wel bedrijven actief die op die lijst horen. Denk bijvoorbeeld aan Shoppingminds uit Hilversum. Op hun voorpagina pronken ze met de slogan: “Sell it Better”. Er is één overheid die dit gebruikt, maar mogelijk is dit contractueel goed geregeld.

In de toekomst gaat basisbeveiliging dus ook Europese / Nederlandse bedrijven die meerdere belangen hebben bij het vergaren van gebruikersdata afkeuren.

Tot slot

Gebruik dus geen diensten van bedrijven die bezoekersgegevens voor andere doelen inzetten dan de door jouw de gevraagde dienst. En doe dit natuurlijk zelf ook niet.

Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook.

Ook delen 419 overheidsdomeinen data met Google Ads.

Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR regio. Deze meting is in mei aangekondigd.

In dit artikel wordt gekeken waar de overheid, gemeenten en provincies haar online dienstverlening heeft staan.

Samenvatting

3% van de overheidsdomeinen (1076) komt uit in de Verenigde staten.
10% van de mailservers (407) van de overheid staan in de Verenigde Staten.
Overige niet EU+GDPR landen zijn nauwelijks vertegenwoordig en vaak logisch verklaarbaar.
Overheidssites gebruiken 42.745 externe bronnen, 62% hiervan staat in de States. Hier is Google verreweg de populairste dienstverlener (analytics, maps, youtube, fonts, tagmanager)
419 overheidsdomeinen delen data doubleclick.net (Google Ads).
Er zijn meer dan 300 bedrijven die domeinen van de overheid hosten.
Er zijn meer dan 146 bedrijven die e-mail diensten leveren voor de overheid.
Er wordt data gehaald van 1637 verschillende externe sites.

Diverse logische uitzonderingen worden in de komende maanden vastgesteld. Verreweg het merendeel van de bevindingen in dit artikel (>99%) valt niet onder deze uitzonderingen.

Wij vragen de Nederlandse overheid om alle online dienstverlening, waar het logisch is, aan te bieden vanaf servers in de EU+GDPR zone. Dit betekent dat honderden domeinen en e-mail diensten moeten worden verplaatst.

Waarom meten we dit?

Omdat we gegevens willen beschermen. Dit zijn niet alleen persoonsgegevens van burgers maar alle mogelijk denkbare gegevens van Nederland.

Als we alleen kijken naar persoonsgegevens mogen deze verwerkt worden in veel landen. Dit is geregeld in de Algemene Verordening Gegevensbescherming, de AVG ofwel GDPR. Deze wet is van toepassing op alle landen in de Europese Unie en de Economische Zone (dus ook Noorwegen, IJsland en Liechtenstein).

De wet geldt ook (nog) in het Verenigd Koninkrijk. Daarnaast heeft de Europese Commissie nog een serie landen aangewezen met vergelijkbare bescherming. Dit zijn o.a. Israël, Japan, Korea en onder voorwaarden de Verenigde Staten en Canada.

Dat iets mag wil nog niet zeggen dat het slim is. In andere landen gelden andere wetten. Overeenkomstige wetten worden misschien niet of anders gehandhaafd. Mogelijk gaan de gegevens die worden opgeslagen over een situatie die elders verboden is (een fictief voorbeeld is het opslaan van informatie over homohuwelijken in Korea). Verder hebben inlichtingendiensten toegang tot de gegevens, direct of op langere termijn. De gegevens moeten vaak letterlijk door een oceaan wat nadelig is voor de beschikbaarheid. Als grenzen worden opgezocht komt ook de geopolitiek om de hoek kijken: de situatie kan zomaar veranderen.

Het opzoeken van de grenzen waar e.e.a. mag staan is ingewikkeld en bijna jaarlijks onderhevig aan (plotselinge) juridische wijzigingen. Het is voor een leek onmogelijk om bij te houden wat wel en niet mag. Er is geen overduidelijk groot voordeel aan het plaatsen van diensten in verre landen. Mogelijk zijn dit kosten, maar gezien de grote en goedkope Amerikaanse dienstverleners nu ook diensten verlenen op servers binnen de EU valt dat argument weg.

Het opslaan van gegevens die niet onder de GDPR vallen is weer een ander hoofdstuk. Met andere gegevens bedoelen we concurrentiegevoelige gegevens, intellectueel eigendom, statistieken, vertrouwelijke stukken enzovoort. Per gegeven zijn er weer andere regels. Regels rondom versleuteling zijn dan mogelijk niet verplicht.

Een groot deel van dit wespennest kan worden voorkomen door gegevens binnen de landsgrenzen of de EU te houden. Dit is ook makkelijk te begrijpen voor personeelsleden en bedrijven die de gegevens verwerken.

Wat keuren we wel en niet goed?

We kijken of een dienst in de EU+GDPR zone valt. Deze zone bevat alle landen op het Europese continent die de GDPR of gelijkwaardige wetgeving toepast. Met deze meting zijn we dus mogelijk iets strenger dan de eisen van de wet, maar wel met een serie argumenten en overwegingen die dat verklaart.

De EU+GDPR zone zijn alle landen in de Europese Economische Zone en landen met gelijkwaardige wetgeving zoals Zwitserland, het Verenigd Koninkrijk en Andorra. Expliciet buiten de boot vallen dus 17 landen die wel (deels) op het Europese continent liggen maar andere wetten hebben, zoals Albanië, Oekraïne en Turkije. De wetgeving van de bijzondere gemeenten (Bonaire, Sint Eustatius, Saba) en de andere landen in het Koninkrijk der Nederlanden (Aruba, Curaçao, Sint-Maarten) is ons (nog) niet geheel duidelijk, dus dit keuren we nu goed.

Alles wat buiten de EU+GDPR zone valt keuren we af tenzij het volstrekt logisch is dat deze dienst er buiten valt. Denk bijvoorbeeld aan een NBSO in Brazilië of een meetproject van het KNMI in Indonesië. Dit wordt per casus bekeken en is nog niet afgerond.

Er wordt op drie plekken gekeken naar locaties: het domein, de e-mail server(s) en de adressen waarop verbinding wordt gemaakt bij het bezoeken van een website. Ieder van deze plekken wordt op de volgende manier beoordeeld:

Meting	Binnen EU+GDPR	Buiten EU+GDPR
Domein	Goed: OK / Groen	Proefperiode: Laag / Groen Vanaf december: Midden / Oranje Vanaf Okt 2024: Oranje of Rood
E-Mail Server(s)	Goed: OK / Groen	Proefperiode: Laag / Groen Vanaf december: Midden / Oranje Vanaf Okt 2024: Oranje of Rood
Inhoud van website	Goed: OK / Groen	Laag / Groen

Meetbeleid op locatiemetingen over tijd

Bij de beoordeling is er sprake van een proefperiode. In deze periode wordt gekeken naar hoe betrouwbaar deze metingen zijn. Mochten de metingen niet betrouwbaar voldoende blijken, dan worden ze niet op oranje gezet en wordt gekeken of deze in de toekomst nog worden gepubliceerd.

Hoe werken de metingen

Voor deze meting wordt een computeradres omgezet naar een fysieke locatie.

Bijvoorbeeld het domein “zutphen.nl”. Hiervan bekijken we naar welk land het internetverkeer wordt gestuurd als we de website bezoeken, als we er een e-mail naar toe sturen en met welke landen informatie wordt gedeeld bij het bezoeken van de site zelf.

Deze drie metingen zien er bijvoorbeeld zo uit:

Meting	Voorbeeld	Locatie
Locatie van Domein	zutphen.nl	Nederland (Tilaa)
Locatie van E-mail server(s)	zutphen.nl wijst naar mail.zutphen.nl	Nederland (KPN)
Locatie van de inhoud van de website	zutphen.nl haal informatie op bij google-analytics.com	Noord Amerika (Google)

Voorbeeld van metingen

Natuurlijk is dit voorbeeld wat versimpeld. In werkelijkheid zijn er meerdere e-mail servers als achtervang en heeft ieder domein twee adressen: een IPv4 en IPv6 adres. Technisch is er nog veel meer mogelijk, maar ondoorgrondelijkheid en het ontbreken van transparantie is op zichzelf al een veiligheidsrisico.

De locatiegegevens komen uit de database van Maxmind. Dit is een commercieel bedrijf dat wekelijks de database bijwerkt en geld vraagt voor deze data. Deze metingen worden aangevuld met correcties uit de RIPE database (waar Maxmind niet bij mag). Van beiden hebben we toestemming om gegevens op te vragen en te publiceren.

Uit de metingen blijkt dat de fysieke locatie van IPv4 en IPv6 adressen vaak uit elkaar ligt. Hoewel het technisch mogelijk is, is er logisch gezien geen argument om dit te doen. Het lijkt dat IPv6 geolocatie kwalitatief lager is dan IPv4. Daarom hebben we IPv6 niet meegenomen in de beoordelingen.

Hoewel beide organisaties hun best doen om correcte informatie te leveren is er geen garantie. Het internet is namelijk constant in beweging. Daarom hebben wij ook een disclaimer voor alle metingen.

Wanneer we niet weten waar een dienst staat wordt dit niet negatief beoordeeld: er is geen verplichting om transparant te zijn over de fysieke locatie van dienstverlening. Dat is echter wel wenselijk en mogelijk op lange termijn toch een reden om een negatieve beoordeling hieraan toe te kennen.

Bevindingen op domeinen

Domeinen: 1087 adressen buiten de EU+GDPR Zone

In totaal zijn er 38.364 (sub)domeinen. Hiervan staan er 36.994 in de EU+GDPR zone, 1076 in de Verenigde Staten en 283 op een onbekende locatie.

De verdeling per continent van domeinen buiten de EU+GDPR zone is de volgende. Hier is te zien dat vooral domeinen in de States problemen veroorzaken. De domeinen op andere continenten zijn nagenoeg allemaal logisch verklaarbaar en dus geen probleem.

Locatie buiten EU+GDPR	Overheid	Gemeente	Provincie	Totaal
Afrika	3			3
Azië	2	4		6
Noord Amerika (Verenigde Staten)	566	460	50	1076
Zuid Amerika	2			2
Totaal	573	464	50	1087

Domeinen verdeeld over continenten buiten de EU+GDPR zone.

Er is ook sprake van twee continenten binnen de EU+GDPR zone, dit vanwege de bijzondere gemeenten en de andere landen in het Koninkrijk der Nederlanden. Je ziet dat verreweg de meeste domeinen in Europa staan.

Locatie binnen EU+GDPR	Overheid	Gemeente	Provincie	Totaal
Europa	20.482	15.716	775	36.973
Noord Amerika (Aruba, Curaçao, Sint Maarten, Bonaire, Sint Eustatius, Saba)	21			21
Totaal	20.503	15.716	775	36.994

Domeinen verdeeld over continenten. De meeste domeinen staan verreweg in Europa.

Domeinen: verdeling over landen

Verreweg de meeste domeinen komen uit in Nederland. Het enige land buiten de EU+GDPR zone dat hele procenten van de bezoeken ontvangt is de Verenigde Staten. De enkele sites in Zuid Afrika en dergelijke zijn logisch te verklaren en duiden niet op een probleem.

	Overheid	Gemeente	Provincie	Procent
Land / Totaal	21.297	16.240	827	100%
Nederland	18.871	13.846	677	87.05%
Duitsland	841	611	25	3.85%
Ierland	357	802	33	3.11%
Verenigde Staten	566	460	50	2.80%
België	193	255	14	1.20%
Onbekend	223	62	2	0.75%
Verenigd Koninkrijk	121	89	15	0.59%
Frankrijk	31	37	2	0.18%
Zweden	17	50	3	0.18%
Oostenrijk	14	16		0.08%
Finland	12		6	0.05%
BES-Eilanden	17			0.04%
Italie	7			0.02%
Tsjechië	6			0.02%
Denemarken	6			0.02%
Polen	2	4		0.02%
Aruba	4			0.01%
China	1	2		0.01%
Zuid Afrika	3			0.01%
Brazilie	2			0.01%
Zwitserland		2		0.01%
Estland		2		0.01%
Japan		2		0.01%
Luxemburg	2			0.01%
Singapore	1			0.00%

Verdeling van domeinen verspreid over landen

Domeinen: verdeling van leveranciers in Europa

Dit is de top 25 van de 311 verschillende organisaties die diensten van de overheid aanbieden. Dit wordt geteld per domein. Er wordt niet gekeken welke dienst op deze domeinen staat. We hebben de vele onderzoeksdomeinen van TNO eruit gelaten omdat deze de resultaten met duizenden vertekenen terwijl er weinig op lijkt te draaien.

Bedrijf	Overheid	Gemeenten	Provincie	Totaal
Microsoft Azure	1588	1713	85	3386
KPN	1086	1832	42	2960
Amazon.com	761	1679	41	2481
Prolocation BV	2219	85	7	2311
Signet B.V.	737	981	40	1758
SURF B.V.	1709	7		1716
Ziggo	307	1156	32	1495
Ziggo Business	151	1069	4	1224
Dienst Uitvoering Onderwijs	1059	2		1061
Solvinity B.V.	742	275	1	1018
BIT BV	674	298	14	986
Eurofiber Nederland BV	176	518	112	806
Capgemini Nederland B.V.	593			593
Equinix (Netherlands) B.V.	236	342		578
LeaseWeb Netherlands B.V.	279	294	1	574
baten-lastendienst Logius	547			547
True B.V.	171	333	8	512
T-Mobile Netherlands	368	120	14	502
Intermax Group B.V.	440	14		454
OSSO B.V.	122	284	10	416
VANCIS Vancis Advanced ICT Services	365	16		381
Combell NV	122	247	9	378
Ministerie van Economische Zaken	361			361
CloudVPS	77	265	3	345

Leveranciers van diensten op domeinen (wereldwijd)

Bevindingen over e-mail

E-mail: 410 servers buiten de EU+GDPR Zone

In totaal zijn er 3957 adressen van mailservers gevonden. Hiervan staan er 3547 in de EU, 409 in Noord Amerika en 1 in Azië.

407 van deze adressen wijzen naar diensten in de Verenigde Staten. Dit zijn diverse dienstverleners, die in de tabel hieronder zijn opgesomd.

Bedrijf	Overheid	Gemeenten	Provincies	Totaal
Google Servers	208	12		220
Cisco Systems Ironport Division	43	48	4	95
SendGrid	16	10	2	28
Amazon.com	15	12		27
Google Cloud	17	8		25
Input Output Flood LLC	4			4
Interserver	3			3
Cogent Communications	2			2
Proofpoint, Inc.	2			2
Rackspace Hosting	1			1

Overzicht aantal mailservers bij dienstverleners uit de Verenigde Staten.

E-mail: Verdeling servers in EU+GDPR landen

De 3547 servers in Europa zijn verdeeld over allerlei landen en dienstverleners.

Europees Land	Overheid	Gemeenten	Provincies	Totaal
Nederland	1922	990	27	2939
Ierland	167	134	4	305
Duitsland	55	42	5	102
Oostenrijk	59	34	3	96
Verenigd Koninkrijk	17	18	1	36
België	33	1		34
Frankrijk	21	3		24
Finland	2	4		6
Tsjechië	3			3
Polen	2			2

Overzicht verdeling van aantallen mailservers per Europees land

E-mail: Aantal mailservers per dienstverlener

Er zijn 146 dienstverleners gevonden. Dit is de top 20, hierdoor zijn 843 servers op allerlei domeinen niet zichtbaar. Sommige bedrijven zoals Amazon bieden servers in zowel de EU als de US. In het geval van Amazon zagen we al dat er 27 servers buiten de EU staan, de rest van de 105 staan dus wel goed. Domeinen van KNAW zijn achterwege gelaten ivm een wildcard waarop een mailserver staat.

Bedrijfsnaam	Overheid	Gemeenten	Provincies	Totaal
Microsoft Azure	387	272	9	668
E-Zorg B.V.	70	259		329
Ministerie van Economische Zaken	272			272
CLDIN B.V.	114	113	6	233
Google Servers	208	12		220
SSC-ICT Haaglanden	189			189
SURF B.V.	178			178
Signet B.V.	86	54	1	141
Solvinity B.V.	120	4		124
Flowmailer B.V.	35	85		120
KPN	56	50		106
Amazon.com	42	62	1	105
Cisco Systems Ironport Division	43	50	4	97
Ziggo Business	18	43		61
Cogent Communications	46	8		54
Ziggo	10	40		50
BIT BV	25	21		46
T-Mobile Netherlands	32	10		42
Ministerie van Verkeer en Waterstaat/Rijkswatersta	40			40
Dienst Uitvoering Onderwijs	39			39

Verdeling van leveranciers van e-mailservers

Bevindingen over Websites

Bronnen buiten de EU+GDPR zone

Tenslotte is er ook gekeken uit welke landen informatie op een website komt. Het gaat dus niet over het domein, maar het bezoek van een site. Bij het bezoeken worden plaatjes, scripts, lettertypen en dergelijke soms van een andere locatie opgehaald. Dit zien we 23.468 keer gebeuren.

Wat opvalt is dat er ongelofelijk veel verbindingen naar Amerikaanse dienstverleners worden gelegd. Bijna exclusief naar Google en een beetje Microsoft. Dit bevat ook 419 keer doubleclick.net. Dit is een onderdeel van Google Ads, wat aangeeft dat Analytics niet goed is ingericht. De meeste Microsoft vermeldingen hebben te maken met Office 365.

Hier is de top 20 meest gebruikte externe bronnen naar buiten de EU+GDPR zone, deze zitten allemaal in de Verenigde Staten:

Domein	Overheid	Gemeenten	Provincie	Totaal
fonts.googleapis.com	1496	1385	82	2963
fonts.gstatic.com	1474	1204	72	2750
www.googletagmanager.com	1375	857	106	2338
region1.google-analytics.com	1082	666	63	1811
www.google-analytics.com	1038	676	60	1774
siteimproveanalytics.com	164	883	43	1090
aadcdn.msauth.net	286	373	18	677
www.google.com	487	157	21	665
www.gstatic.com	429	216	18	663
aadcdn.msftauth.net	234	331	14	579
aadcdn.msauthimages.net	219	232	12	463
ajax.googleapis.com	271	185	5	461
stats.g.doubleclick.net	305	97	17	419
maps.googleapis.com	138	258	5	401
aadcdn.msftauthimages.net	159	191	14	364
www.youtube.com	246	93	8	347
cuatro.sim-cdn.nl	51	230	3	284
code.jquery.com	143	122	9	274
www.google.nl	149	57	10	216
portal.azure.com	50	142	3	195

De top 20 populairste domeinen waar de overheid bronnen ophaalt om haar sites te maken

Bronnen binnen de EU+GDPR zone

Wat staat er dan eigenlijk wel in de EU regio? We tellen daar nu 14.095 verwijzingen, een stuk minder dan naar de States. Enkel West-Europese landen, namelijk enkel Nederland, Duitsland en Ierland. De andere landen zijn amper vertegenwoordigd met 264 verwijzingen in totaal.

Domein	Land	Overheid	Gemeenten	Provincie	Totaal
statistiek.rijksoverheid.nl	NL	1686			1686
login.live.com	IE	519	701	32	1252
*.global.siteimproveanalytics.io	DE	164	928	45	1137
autologon.microsoftazuread-sso.com	NL	226	433	11	670
login.microsoftonline.com	IE	195	366	15	576
cdn-eu.readspeaker.com	DE	89	394	15	498
cdn1.readspeaker.com	DE	83	353		436
logging.simanalytics.nl	IE	54	231	3	288
fonts.bunny.net	DE	45	188	3	236
use.typekit.net	DE	130	97	5	232
dc.services.visualstudio.com	NL	75	141	4	220
p.typekit.net	DE	125	84	5	214
eu-mobile.events.data.microsoft.com	IE	74	117	1	192
storageportalwe.blob.core.windows.net	NL	22	147	3	172
f1-eu.readspeaker.com	DE	70	92	8	170
websurveys2.govmetric.com	IE	22	126		148
www.simanalytics.nl	IE	24	112		136
consent.cookiebot.com	DE	92	27	13	132
consentcdn.cookiebot.com	DE	92	27	13	132
hitcounter.govmetric.com	IE	22	93		115

De top 20 populairste domeinen waar de overheid bronnen ophaalt om haar sites te maken

1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen

Vanaf 1 Juli 2023 is het toepassen van HTTPS verplicht voor de overheid. Dat betekent dat communicatie met alle websites en webapplicaties versleuteld moet gebeuren. Hierdoor worden bezoekers van deze applicaties beschermd tegen een aantal bekende kwetsbaarheden zoals afluisteren van het internetverkeer.

Trends en onduidelijkheden

Met de verplichting van HTTPS op websites en web-applicaties komt er nog geen einde aan onversleutelde gegevensuitwisseling. Dat heeft twee redenen.

Ten eerste is het volgens de aanwijzing nog steeds toegestaan om onversleutelde HTTP diensten aan te bieden (punt 2b), zolang een bezoek wordt geupgrade naar HTTPS.

Deze uitzondering heeft een beperkte houdbaarheid. Dit komt doordat 93.34% van de gebruikte browsers in Nederland standaard als eerste proberen te verbinden met HTTPS. Dat zijn chrome, safari, samsung en edge. Dat gebeurd sinds medio 2021. Twee minder populaire browsers, Firefox en Opera (5.32% marktaandeel), bieden het als optie: dat gebruikt dus niemand. Firefox doet dit dan wel weer standaard bij Safe Browsing. Maar: mocht er niet gereageerd worden op HTTPS, dan wordt nog teruggevallen op HTTP. Daarover straks meer.

Direct met HTTPS verbinden is dus de standaard, en dat is goed nieuws. Punt 2b is er dus voor de achterblijvers. Die groep wordt gelukkig met de dag kleiner. Dat komt omdat versleuteling tijdsafhankelijk is: wat vandaag veilig is, is dat morgen niet meer. Zo kan je met een computer uit 2011 geen bankzaken meer regelen. Hierdoor staat er een borging rondom veilige communcatie: browsers en computers moeten bij de tijd zijn.

Het doorsturen van gebruikers gaat hierdoor een stille en natuurlijke dood sterven, waardoor de onversleutelde alternatieven niet meer nodig zijn en punt 2b kan worden geschrapt. Maar dat is niet zo voor organisaties! Die kunnen nog steeds onversleuteld HTTP toepassen. Althans…

En dit is het tweede punt: interpretatie. Als je de aanwijzing scherp leest valt onversleutelde dienstverlening zoals ftp en e-mail buiten de boot. Hierdoor is het nog mogelijk om onversleuteld e-mail te verwerken of bestanden onversleuteld uit te wisselen. Men kan zelfs kiezen om HTTPS aan te zetten, maar toch te blijven werken via HTTP. Dan lijkt in eerste oogopslag alles in orde, maar dat is het niet. Dat is niet meetbaar.

Is er eigenlijk wel een goed argument om niet versleuteld te werken? In alle jaren Basisbeveiliging zijn wij zijn pas 1 legitieme casus tegengekomen. Ironisch genoeg is die uitzondering onderdeel van het HTTPS-versleutelingssysteem. Daarom hanteren we een uitzondering voor het ontbreken van HTTPS op subdomeinen als “pki”, “ocsp” en “crl” (en varianten).

In conclusie: De stap om HTTPS (deels) te verplichten is er een in de goede richting. Het is ook logisch om niet ineens alles te verplichten wat op de Pas toe of Leg uit lijst staat, maar dit stapje voor stapje te doen.

Deze eerste verplichting beschermt internetters en zorgt ervoor dat mensen met de tijd mee gaan wat betreft veilige browsers en computers. Voor organisaties lijkt er nog veel ruimte om onversleutelde diensten te blijven gebruiken.

Altijd via HTTPS? Helaas nog niet altijd…

Veel sites voldoen dus niet, waaronder ook hoofdsites van ministeries zoals Economische Zaken of Landbouw, Natuur en Voedselkwaliteit. Hoe komt dat? Dat komt omdat browser terugvallen naar onversleutelde sites, en daar moet tegen worden beschermd. Deze bescherming wordt deels geboden met een instelling genaamd HSTS (punt 2c). Deze instelling ontbreekt op die sites nog.

Maar sommige sites zoals securityheaders.com zeggen dat het wel in orde is. Wat is het verschil? Dit komt omdat deze test-tool standaardaard kijkt naar de site waarnaar iemand doorgestuurd wordt. Wanneer je doorsturen niet toestaat, dan scoort te site onvoldoende. Als je het wel toestaat dan wordt de site rijksoverheid.nl gemeten, en niet minezk.nl. Dus wat is nou juist?

Het antwoord is dat HSTS ook bij doorsturen nodig is. Dat staat ook bij de veelgestelde vragen op de site van de digitale overheid.

Wat HSTS oplost is dat het eerste bezoek (en dat is het onveilige bezoek) pas opnieuw wordt gedaan als de site een jaar niet bezocht is. Zonder HSTS bij doorsturen krijgt een aanvaller de kans om bij ieder bezoek aan deze website de inhoud te manipuleren, dus niet alleen het eerste bezoek.

Bij het bezoeken van de site van het ministerie worden namelijk eigenlijk drie verzoeken gestuurd. Die zie je hieronder in de tabel. Het eerste verzoek is dus onversleuteld en kwetsbaar, de verzoeken daarna niet meer. Bij bezoek 2 ontbreekt de HSTS instelling in het antwoord, en daarom is het niet goed.

Verzoek	Ontvangen antwoord
1: door gebruiker http://minezk.nl	“Ik stuur je door naar de veilige https* variant”:* HTTP/1.0 302 Moved Temporarily Location: https://minezk.nl/ Connection: Keep-Alive Content-Length: 0
2: automatisch doorgestuurd https://minezk.nl	“Ik stuur je door naar een andere website”: HTTP/1.0 302 Moved Temporarily Location: https://www.rijksoverheid.nl/ministeries/ministerie-van-economische-zaken-en-klimaat Connection: Keep-Alive Content-Length: 0
3: automatisch doorgestuurd https://rijksoverheid.nl	“Hier is de website”: HTTP/1.1 200 Server: nginx Date: Mon, 03 Jul 2023 07:02:10 GMT Content-Type: text/html;charset=UTF-8 […] Strict-Transport-Security: max-age=31622400; includeSubDomains

Deze trace is na te bootsen met “wget -q -S -O – http://minezk.nl:80 2>&1”

De beperking van HSTS is dat je eerst de site moet bezoeken over een versleutelde verbinding voordat de instelling geldig is. Als je de site dus voor de eerste keer bezoekt is er dus nog altijd een risico!

Een lapmiddel hiervoor is HSTS preloading. Dit is een lijst van websites die wordt ingebakken in moderne browsers: alle sites op de lijst kan je alleen via HTTPS bezoeken. De standaard-lijst is nu 13 megabyte groot en bevat op het eerste oog geen Nederlandse rijks-sites.

Preloading is op dit moment een van de twee aanpakken die in alle scenario’s iets afdwingt. Je ziet dat de Amerikaanse overheid een aantal van hun sites verplicht op deze lijst zet. Dat is nodig totdat browsers uitsluitend via HTTPS communiceren en niet terugvallen naar de onversleutelde site. Deze “safe default” instelling laat nog wel even opzich wachten.

De andere aanpak is het uitschakelen van de onversleutelde verbinding. Daarvoor is het nog te vroeg. Browsers van voor 2021 zijn nog veel in gebruik, waardoor er bij eindgebruikers verwarring ontstaat over het niet kunnen bereiken van een website.

De Cijfers

Onjuiste toepassing van HTTPS op hoofddomeinen

Wanneer HTTPS wordt toegepast moet dat ook aan een aantal eisen (2a) voldoen. Deze eisen worden gepubliceerd door het NCSC, hier.

Op dit moment zijn er nog erg veel overheidssites die nog niet aan deze eisen voldoen. Het gebrek hieraan is dermate groot dat meer dan 33% van alle hoofdsites van overheden niet voldoen. Het is vandaag (29 juni) nog bijna gebruikelijk dat men niet voldoet. Wij gebruiken hiervoor de metingen van internet.nl, die de eisen van het NCSC implementeert.

Enkele voorbeelden van sites die niet voldoen:

minez.nl / minezk.nl (HSTS)
openbaarministerie.nl (HSTS)
uwv.nl (HSTS + Redirect)
minlnv.nl (HSTS)
kb.nl (Redirect, Cipher Order, Key Exchange Parameters)
tno.nl (Redirect)

De landelijke overheid, gemeenten en provinicies houden zich nog niet aan de wet. Om dit in perspectief te zetten, de zorg doet het dramatisch veel slechter en voor hen geldt deze wet niet.

Overheidslaag	Volgens aanwijzing	Wijkt af	Totaal
Landelijke overheid	850	515 (38%)	1365
Gemeenten	296	118 (29%)	414
Provincies	8	5 (39%)	13
TOTAAL	1154	638 (35.60%)	1792
Bonus: Ziekenhuizen/GGD	162	836 (83.76%)	998

Per ministerie zijn er ook duidelijke verschillen te zien in de kwaliteit van toepassing van HTTPS. De getallen wijken heel iets af met de “centrale overheidskaart” omdat deze niet 100% overlappen en er soms een domein op meerdere kaarten staan.

De getallen per ministerie:

Ministerie	Volgens Aanwijzing	Afwijkend
Infrastructuur en Waterstaat	99	166 (62.64%)
Landbouw, Natuur en Voedselkwaliteit	74	68 (47.89%)
Onderwijs Cultuur en Wetenschap	61	48 (44.04%)
Justitie	111	78 (41.27%)
Economische Zaken	95	65 (40.63%)
Financiën	28	10 (26.32%)
Binnenlandse Zaken	149	44 (22.80%)
Volksgezondheid Welzijn en Sport	187	52 (21.76%)
Buitenlandse Zaken	49	12 (19.67%)
Sociale Zaken en Werkgelegenheid	47	8 (14.55%)
Algemene Zaken	18	3 (14.29%)
Defensie	10	1 (9.09%)
TOTAAL	928	555 (37.42%)

Het gaat hier om 1483 domeinen. Dit verschilt net iets met het websiteregister rijksoverheid waar 1363 unieke domeinen in staan. Dit komt zowel door dubbelingen (sommige sites op meer ministeries) maar ook dat we misschien net een site meer of minder hebben. Ook daar zie je dezelfde resultaten wbt toepassing van HTTPS volgens de internet.nl metingen.

Ontbrekende versleuteling op 56 adressen

Er zijn 56 adressen waarop HTTPS volledig ontbreekt. Dit is een niet significant aandeel van alle overheidssites. In de meeste gevallen gaat het dan ook nog om testpagina’s, placeholders, vergeten projecten of andere weinig spannende doeleinden. Er zijn maar twee sites die echt informatief zijn: geluidregisterspoor en een afspraken site.

We hebben de uitzondering op ‘pki’/’ocsp’/’crl’ subdomeinen niet meegenomen. Dat zijn er vele tientallen.

Hier is de lijst met 56 adressen:

afspraak.gemeentesluis.nl, afspraakmaken.wijchen.nl, autodiscover-redirect.vng.nl, autodiscover.saip.nl, autodiscover.sn-forward.nl, beheerenonderhoud.heerlen.nl, bicsdrupalacc.bics.nl, brinkman.kb.nl, bva-acc.rws.nl, chat.rijkscloud.nl, corsa.veldhoven.nl, diensten.westmaasenwaal.nl, ftp.acc.fmpbsn.nl, ftp.bereiknu.nl, ftp.blauwegolfverbindend.nl, ftp.gipinfo.nl, ftp.lopik.nl, ftp.mobilityhappiness.nl, ftp.nunietzwanger.nl, ftp.svbabc.nl, gbatmv.rvo.nl, geluidregisterspoor.nl, irods.orfeus-eu.org, lyncdiscover.houten.nl, mail.aanmelder.nl, mail.bofeb.nl, mail.ibki.nl, mail.veldhoven.nl, meet.houten.nl, merkportaal.dnb.nl, netuit.kb.nl, nta7516.gemeentebest.nl, plannen.asten.nl, pm-bounces.ndw.nu, pm-bounces.venlo.nl, portal117.rijkscloud.nl, preproductie.heeze-leende.nl, research.kb.nl, rijkspascp.extranet.dictu.nl, ro.brunssum.nl, ruimtelijkeplannen.venlo.nl, signing.login-acc.rvr.org, signing.login.rvr.org, sites-u.rdw.nl, solidariteit.laarbeek.nl, stadspas.weert.nl, stijlgids.cibg.nl, styleguide.cibg.nl, svbabc.nl, web-ux01.hex.tno.nl, wion.weert.nl, wortel176.provincie-utrecht.nl, www.acc.fmpbsn.nl, www.geluidregisterspoor.nl, www.svbabc.nl, www.vroonermeer-noord.alkmaar.nl

Tot slot

Omdat HTTPS een nieuw soort verplichting is, is het nog niet helemaal duidelijk hoe dit wordt gehandhaafd. Onze verwachting is dat het snel duidelijk wordt hoe en wat.

Binnenkort is op basisbeveiliging.nl te zien welke (hoofd-)domeinen voldoen aan de TLS richtlijnen van het NCSC. Bij deze meting wordt onder andere verwacht dat er een doorverwijzing van http naar HTTPS wordt gebruikt, dat HTTPS aanwezig is op hetzelfde adres als waar HTTP en dat HSTS is ingericht.

Als je zelf al wil meten dan kan dat op internet.nl.

Bijlagen

TLS-Metingen-2-juli-2023 Download

Dit artikel is gebaseerd op de metingen van 29 juni. Er is een hermeting gebeurd op 2 juli. Het verschil is te klein om het artikel erop aan te passen.

Zo ziet er er bij gemeenten uit. Bij oranje wordt e.e.a. niet goed gedaan. Bij groen is het goed en bij grijs is er nog geen meetwaarde.

Updates – Juli 2023

Meer duiding en omlijsting

We zijn meer kennis rondom de stichting aan het uitschrijven: wat doen we, hoe doen we dat en wat betekent dit. De eerste stukken hiervan staan nu online:

De uitzonderingen op het meetbeleid zijn nu opgesomd en centraal publiek inzichtelijk. Dit wordt gebaseerd op de stroom aan comply or explain berichten die we wekelijks krijgen.
Een disclaimer rondom de inhoud van de site en expliciet de metingen.
De Responsible Disclosure / Coordinated Vulnerability Disclosure pagina is verplaatst naar de site van de stichting omdat het hier makkelijk in is te onderhouden.

Deze links zijn terug te vinden in de footer van basisbeveiliging.nl. Er volgt binnenkort meer, zoals de code of conduct.

Metingen

Overheids-niveau TLS meting toegevoegd

Zie voor meer informatie de blogpost, hier.

Privacy-scan aangezet op alle subdomeinen en completere resultaten

Alle subdomeinen worden nu meegenomen in de privacy scan. Dat betekent dat er behoorlijk veel meetpunten zijn bijgekomen.

Daarnaast is de meting voorzien van extra informatie over welke aanvragen er worden gedaan naar externen. Voorheen waren alleen de links te zien, nu kan je zien waar de aanvraag vandaan komt: afbeeldingen, scripts, fetch, xhr, fonts etcetera. Je ziet ook wat wordt meegestuurd. Soms wordt er namelijk alleen een extra (POST) verzoek gedaan om zo te kunnen tracken zonder cookies.

Nieuwe uitgebreide meetgegevens in de privacymeting

Goedgekeurde versie-informatie

Het SSH protocol vereist dat er staat welke versie wordt gebruikt, zodat er bepaald kan worden welke features worden ondersteund. Dat is ergens te begrijpen. Omdat het onderdeel van het protocol is, moeten we het nu goedkeuren. Echter is er ook ruimte om “comments” mee te geven in de identificatie. Alle gevallen met comments keuren we niet goed, omdat dit geen onderdeel is van de negotiation en dus volledig optioneel is. Je kan deze comments uitzetten.

Dat de versie wordt goedgekeurd zegt niets over of de versie veilig is. Zo op het eerste gezicht vinden we het vanuit een security-standpunt onverklaarbaar waarom er informatie over de host gedeeld moet worden voor negotiation, maar daar is vast goed over nagedacht.

Goedgekeurd: ssh-2.0-openssh_5.8
Afgekeurd: ssh-2.0-openssh_5.9p1 debian-5ubuntu1.10

Lees verder: www.openssh.com/txt/rfc4253.txt, punt 4.2 Dit is ook opgenomen in de uitzonderingen op het meetbeleid.

Whois informatie meting gefixt

De SIDN api gaf ook antwoord op domeinen buiten het bereik. Als je daar zoekt naar apple.com krijg je de resultaten van apple.nl. Deze fout is rechtgezet aan onze kant: er wordt alleen nog op .nl domeinen WHOIS informatie opgevraagd.

Security.txt metingen hebben nu meetgegevens

Het is nu in te zien waarom security.txt metingen falen. Dat omdat de meting recentelijk is gewijzigd: het bestand moet op een nieuwe regel eindigen anders is het ongeldig.

Op de site

Filtering in rapporten

Het is nu mogelijk om op bevinding te filteren in rapporten. Dit is nog een redelijk basaal filter wat niet alle domeinen zonder resultaten weghaalt. Dat komt in een volgende versie. Het helpt in ieder geval om snel de juiste metingen te vinden omdat de rest onzichtbaar wordt.

Comply or explain bug opgelost

Sommige verklaringen werden nog niet meegenomen in de statistieken en rapporten. Daardoor week de kleur van de kaart en de statistieken af van de inhoud van het rapport. Deze lopen, na een paar dagen lang puzzelen, helemaal gelijk. Hiermee is een lang uitstaande bug opgelost (en zijn er vast weer twee nieuwe bijgekomen, want zo werkt dat met software).

Overig

Bij het importeren van organisaties worden nu arbitraire velden ondersteund. Dit is handig om op een later moment te kunnen filteren.
Er is meer logging toegevoegd aan de ‘ontbrekende tls’ meting. Deze geeft af en toe false positives en daar willen we vanaf. Dit is een traag proces en we verwachten dat het heel even duurt voordat alles weg is.
Het toevoegen en verwijderen van endpoints wordt nu gelogd en omgezet naar grafieken, hierdoor kunnen we grote verschuivingen detecteren en bepalen of er iets mis is met de internetverbinding of de meting.
HSTS meting bevatte een bug waardoor de meting qua bewijsvoering ‘klapperde’.

Nieuwe meting: Overheids-niveau TLS (juli 2023)

Met de verplichting van TLS voor de overheid, wordt vanaf nu ook de internet.nl TLS meting meegenomen. Deze meting verschilt van de andere metingen rondom TLS en HSTS op basisbeveiliging. In dit artikel staan de verschillen.

Het eerste rapport met deze meting staat live op 4 juli 2023.

De nieuwe meting

De nieuwe meting wordt geintroduceerd als oranje. Hoewel het een wettelijke verplichting is, en alles zegt dat dit rood zou moeten zijn, beginnen nieuwe metingen volgens ons publicatiebleid altijd ten hoogste op oranje.

We houden deze meting nog op oranje totdat is uitgekristaliseerd hoe de handhaving werkt, dat er wordt gehandhaafd en of er eventuele uitzonderingen ontstaan de komende tijd. Deze meting wordt op dit moment alleen uitgevoerd op hoofd-domeinen.

De meting wordt verder toegelicht met de volgende bronnen:

De verplichting zelf: officielebekendmakingen.nl
De veelgestelde vragen rondom deze meting: digitaleoverheid.nl
De eisen rondom TLS van het NCSC: ncsc.nl

Deze meting omvat 20 sub-metingen die soms wel en soms niet relevant zijn. Deze afzonderlijke punten publiceren we niet, om zo de lezer van de site niet te overladen met metingen. Het testrapport is te zien op internet.nl, volg daarvoor de link bij “show measured data” zoals in het screenshot hieronder.

Screenshot van de meting op het niveau oranje

Anders dan de huidige TLS/HSTS metingen

Zoals gezegd: Op basisbeveiliging testen we al HSTS en TLS. Maar toch is deze meting anders.

De andere TLS meting is afkomstig van Qualys SSL Labs. Deze commerciele partij gebruikt dit als marketingstool voor hun dienstverlening. Deze meting past niet hetzelfde beleid toe als het NCSC, maar een algemener beleid. Er zijn twee belangrijke meetwaarden in SSL Labs die niet uit de meting van internet.nl komen, namelijk:

Of er specifieke en state of the art kwetsbaarheden aanwezig zijn in de verbinding. Regelmatig komen er nieuwe uit die voor veel problemen zorgen. Een bekend en wat ouder voorbeeld is Heartbleed, maar zo zijn er nog 10.
Of er vertrouwen is in het certificaat. Zijn de naam, tijd, geldigheid, CA, revocation nog op orde.

De HSTS meting van basisbeveiliging is ook anders. Wij volgen namelijk redirects, waar internet.nl dat expliciet niet doet. Voor een goede HSTS meting zou iedere stap in de ketting aan redirects HSTS moeten hebben, maar dat meten we op dit moment niet: alleen de laatste. Deze twee HSTS metingen vullen elkaar nu dus aan.

Vooraankondiging nieuwe meting: locatie van dienstverlening binnen/buiten NL en EU

Onlangs hebben we een meting toegevoegd waarmee te zien is of een website op zichzelf staat, of dat bezoekers gevolgd worden door bedrijven die ook in de advertentiebusiness zitten.

We zijn deze meting aan het finetunen en afronden met een artikel hierover. Ondertussen zijn we bezig met een vervolg hierop. Dit vervolg wordt in de komende weken/maanden uitgerold en heeft alles te maken met locaties van online diensten.

Het ultieme doel is dat de online-overheid uitsluitend in de EU of Nederland opereert, behalve waar het logisch of redelijk is dat dit niet gebeurd (denk aan een KNMI meetproject in Azië). Dit is in lijn met de GDPR-wet en de bijbehorende trend om alles binnen Nederland of de EU te krijgen.

We gaan controleren op twee verschillende punten: de locatie van servers en de locatie van de inhoud van de voorpagina van websites. Hieruit halen we ip-adressen.

Deze adressen zoeken we op in een database waarin staat welk adres in welk land actief is. Deze database wordt op een complexe manier samengesteld: het is een mix van administratieve gegevens en kennis van hoe het internet op dit moment in elkaar zit. Voor de geïnteresseerden: de technische term is “ip geolocation”.

Een tipje van de sluier:

Op basis van ip-adressen en de locaties hiervan zien we dat er een klein percentage van servers buiten de EU staat. 3% van alle door ons gemeten ip adressen leidt naar de Verenigde Staten en een verwaarloosbaar percentage elders. Van de servers met een locatie anders dan US/EU zijn er een aantal legitiem en een paar ook niet. We zullen hier nog een mailtje over sturen naar de eigenaren van die servers. We hebben nog geen cijfers over de inhoud van websites.

Eigenaar van 8% overheidsdomeinen onduidelijk (Mei 2023)

Bij 8% van de overheidsdomeinen is het niet te achterhalen of de overheid eigenaar is. Dat is te verdelen in twee categorien: er zijn 95 domeinen zonder informatie en 68 domeinen met een onjuiste eigenaar.

Juiste houderinformatie geeft vertrouwen: iemand kan hierdoor checken of de site eigendom is van de overheid. De overheid heeft nog een andere reden om eigenaar te zijn: zelf bepalen wat er met een domein gebeurt nadat een project of contract afloopt.

Dit is het overzicht van eigendom van domeinen op dit moment:

Overheid	Domeinen	Geen eigenaar	Onjuiste eigenaar	Juiste eigenaar
Gemeenten	431	32	8	391
Provincies	13	2	0	11
Overheid	1546	61	60	1425
TOTAAL	1990	95 (4.77%)	68 (3.41%)	1827 (91.81%)

Overzichtstabel juistheid houders van domeinen.

Houder van een domein

Iedere domeinnaam is uniek en heeft een eigenaar. De adminstratie van alle .nl domeinen zoals rijksoverheid.nl wordt bijgehouden door “Stichting Internet Domeinregistratie Nederland”: SIDN.

Om te zien wie eigenaar is van een domein kan je op de site van het SIDN de administratie doorzoeken. In het onderstaande voorbeeld zie je het zoekresultaat voor de site “rijksoverheid.nl”.

Screenshot met de houdergegevens van rijksoverheid.nl. Je kan dit zelf proberen op de site https://www.sidn.nl/nl-domeinnaam/domeinnaam-zoeken/

In het screenshot zit een highlight op de informatie uit het “houder” veld: “Rijksoverheid”, dit is de naam van de eigenaar van het domein.

De nieuwe meting op basisbeveiliging.nl controleert of de eigenaar van het domein juist is. Hieruit kunnen drie conclusies komen:

Geen eigenaar: het is niet te zien van wie het domein is omdat het “Houder” veld leeg is. Dit wordt beoordeeld met Oranje.
Onjuiste eigenaar: een tussenpartij, een persoon, een onduidelijke organisatie of een geanonimiseerde organisatie (en nog wat andere gevallen) is allemaal onjuist. Dit wordt beoordeeld met Oranje. Wij verwachten dat “Gemeente Texel” eigenaar is van “texel.nl”.
Juiste eigenaar: Is de registratie in te zien en behoort die tot een van de goedgekeurde organisaties? Dan wordt dat beoordeeld als Groen.

Bepaling van de meting

Het is lastig om te bepalen wie de juiste eigenaar is. Dat gebeurd dan ook voor een deel met de hand. Dit is een detail-overzicht van hoe we de juiste eigenaar vaststellen.

In deze gevallen zien wij de juiste eigenaar:

De houder is ongeveer hetzelfde als het domein. Bijvoorbeeld “rijksoverheid” op “rijksoverheid.nl”.
De houder is een overheidsorganisatie, ziekenhuis of andere aanverwante entiteit.
De houder is een bedrijf/organisatie en deze staat genoemd op de voorpagina van de site of onder contactgegevens. Bijvoorbeeld in het e-mail adres of bij de copyright informatie.
Sites met een rijksoverheidslogo mogen alleen op een naam van een overheid staan.
De houder bestaat uit een onbekend deel, maar ook een bekend deel zoals: “TweeToffePeren B.V. i.o. Rijkswaterstaat” op een site van Rijkswaterstaat.
Bij onduidelijkheden wordt altijd kort gezocht naar wie de eigenaar is. Bijvoorbeeld kan bij ICT-samenwerkingsverbanden de gebruikte naam niet direct worden herleid omdat er een “abstracte” naam wordt gebruikt waar geen van de deelnemers wordt genoemd.

In deze gevallen zien we een onjuiste eigenaar:

Bedrijfsnaam van een ontwikkelbedrijf, consultancybedrijf, juristenbureau of andere ontwikkelaar. “TweeToffePeren B.V.” terwijl de site zegt: Rijkswaterstaat.
Namen van personen.
Afgeschermde gegevens. Houder hoeft niet afgeschermd te zijn omdat het altijd gaat over namen van organisaties.
Namen van organisaties die geen of ‘generieke’ resultaten hebben in zoekmachines. Het is dus niet duidelijk van wie het is.
Onherleidbare informatie als “Crediteurenadministratie X-12391”.
Een leeg veld.

In dit voorbeeld staat dat de eigenaar onbekend is. Er staat “Privacy protected by Hostnet”. De juiste houder zou “Trimbos-Instituut” kunnen zijn, of een andere organisatie in dezelfde strekking.

Dank aan SIDN

Informatie over eigenaarschap is afkomstig uit de WHOIS database van Stichting Internet Domeinregistratie Nederland (SIDN) en wordt verwerkt en gepubliceerd met toestemming.

Je kan controleren van wie een domein is op de volgende pagina: https://www.sidn.nl/nl-domeinnaam/domeinnaam-zoeken/

Bij iedere meting wordt verwezen naar het WHOIS register van het SIDN als second opinion.

Updates (mei 2023)

Nieuwe subdomein scanner OWASP amass is toevoegd. Hiermee kan op tientallen manieren naar subdomeinen worden gezocht. Komen we daarmee eindelijk op de 100.000 overheidsdomeinen?

Domeininformatie van het SIDN wordt nu ingelezen. Dit om verlopen / uit handen gegeven domeinen te kunnen herkennen en makkelijk te kunnen verwijderen. Dank aan de SIDN voor het bieden van de who-is api.

Een domein dat van eigenaar is veranderd. Hier zie je dat het domein opnieuw is geregistreerd sinds dat we het monitoren. We kunnen dit domein en alle subdomeinen in 1x verwijderen. Dat maakt het onderhoud van de site behapbaar.

De website ondersteunt nu geolocatie: dus je kan makkelijk vinden welke organisaties in jouw buurt zitten zonder de kaart te hoeven doorzoeken. Geolocatie wordt gebruikt op de voorpagina en op de kaarten-pagina. Mogelijk binnenkort ook nog op andere pagina’s.

Geolocatie op de voorpagina. In Arnhem zie je een gemeenschappelijke regeling, de gemeenten arnhem, rheden, westervoort en lingewaard, daarna meer regelingen en ook bijvoorbeeld het Rijnstate ziekenhuis.

Op de gemeentekaart zie je alleen de gemeenten om je heen.

De voortgang-pagina is opgeruimd en heeft nu permanente links. Je kan nu direct zien wat de toename is van security.txt voor bijvoorbeeld gemeenten en provinices.

Op de voortgang pagina is te zien dat het aantal security.txt toepassingen is gestegen van 28 naar 41. Er zijn ook kleine getallen linksonder op de kaart geplaatst waarmee je snel kan zien wat de absolute aantallen zijn.

Aanpassingen in metingen

De bannergrab scanner is bijgewerkt, waardoor bevindingen worden opgeslagen als https/443 als http/443 wordt gevonden. Wij gebruiken “https” als protocol waar nmap vaak “http” ziet omdat de webserver een “http” status pagina geeft waarop staat dat je de site via “https” moet bezoeken.

Idem zijn de protocollen ‘gnutella’, ‘ssl’ en ‘ms-wbt-server’ teruggebracht naar https. De 160.000 endpoints hiervoor zijn verwijderd en de metingen komen terug op https endpoints.

Aanpassingen in django admin

De endpoint pagina is versneld, zoeken op endpoints is versneld.

Er is een bug gefixt waardoor niets meer kon worden opgeslagen van nieuwe scans. Je kan in de onderstaande grafiek zien wanneer die bug was opgelost:

Nieuwe uitzonderingen

We blijven er wel op meten, maar strepen eventuele bevindingen weg op de volgende plaatsen:

Poort 8443 mag open staan voor vpn doeleinden. Dit zien wij onder subdomeinen als ’thuiswerken’, ’telewerken’, ‘vpn’, ‘werkplek’ enzovoorts.

Het subdomein ‘sip’ hoeft geen http security headers meer te hebben.

Overheid ❤️ phpMyAdmin: 10% weg in 7 dagen

Wil je bovenstaande stickers hebben? Ga naar de sticker swap…

phpMyAdmin is populaire software voor het beheren van databases via de browser. Dit hoort niet online te staan bij professionele organisaties. Vorige week deelden we onze bevinden: 300+ phpMyAdmins bij de overheid. In een week is er al 10% offline gehaald. In dit artikel de getallen en ook een aantal redenen waarom je phpMyAdmin offline wil halen.

Voor beheerders: De hertests beginnen later deze week, de uitkomsten kan je natuurlijk vinden op het Login Plaza.

Al 10% opgeruimd

Een week geleden deelden we op linked in dat de overheid meer dan 300 phpMyAdmin portals online heeft staan. Dat maakte behoorlijk veel los. We ontvingen een aantal belletjes en overzichten van wat mensen aan het opruimen zijn.

Slechts één week is erg kort in overheidsland, maar toch is het leuk om te kijken wat er veranderd. Hiervoor hebben we een steekproef gedaan naar de aanwezigheid van 316 gevonden portals. Dit zijn de uitkomsten:

Originele meting: 316 portals
Hertests vanaf…
- een Nederlands Ziggo IP: 287
- een Proxy in Nederland: 271
- het IP van basisbeveiliging: 288

Er zijn in een week ±30 phpMyAdmin portals opgeruimd uit de steekproef. Dat is 10%. Daarvoor alle lof naar de beheerders hiervan!

Waarom moet phpMyAdmin weg?

Dat de overheid phpMyAdmin gebruikt verbaast ons niets: iedereen gebruikt dit want het is fantastisch. Toch is het niet de bedoeling dat dit word aangeboden via het publieke internet.

Hieronder staan een aantal redenen waarom de overheid door moet gaan met het offline halen van phpMyAdmin:

Het kost meer management, patchwerk en onderhoud: phpMyAdmin en onderliggende technologie PHP bevatten regelmatig kwetsbaarheden. Net als alle andere software. Iets online zetten vereist dus constante verzorging. Je kan software beter vergelijken met een tijdbom. Als die bom afgaat moet je meteen (in de nacht) patchen, anders heeft een aanvaller al je data. Je moet dus al weten dat je het draait, welke versie, hoe je dat update, hoe het eventueel uit moet etc: dat is duur en irritant. Het bespaart dus geld, tijd en stress om dingen niet publiek te zetten. Er worden regelmatig nieuwe kwetsbaarheden gevonden en gepubliceerd. Zie bijvoorbeeld dit archief van phpMyAdmin aanvallen. Een aanvaller hoeft niet slim te zijn, die kan ook gewoon wachten en ter zijner tijd een goedkope 0day (=nieuwe onbekende kwetsbaarheid) aanschaffen en inzetten. Wie is er sneller? Jij of de aanvaller? Het is beter deze race niet aan te gaan.
Er is een grote kans dat kwaadwillenden en ethisch interessante bedrijven al 0days hebben liggen voor PHP/phpMyAdmin. Er valt veel te halen, daarom is het ontwikkelen van een kwetsbaarheid geld/tijd waard. Als er niets meer te halen is… dan is de aanval waardeloos. Vanuit deze gedachte kan je zeggen dat het online plaatsen van overbodige systemen de groei stimuleert van deze (illegale) markt.
phpMyAdmin online aanbieden voldoet niet aan de ISO27002-2022 eisen. Dit zijn eisen die de overheid volgt, onder andere door opvolging van de Baseline Informatiebeveiliging Overheid. Uit ISO27002-2022 halen we o.a:
- 8.3 e) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen, toepassingsgegevens of systemen
- 8.9 c) onnodige functies en diensten uitschakelen of beperken;
- 8.9 d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
- Voor gemeenten zie je dergelijke informatie ook terug in het harderning beleid van de IBD.
- Let op: normenkaders noemen nooit expliciet stukken software. Iedereen moet hierdoor zelf uitvinden wat de bedoeling is: met pluriformiteit en onveiligheid als gevolg. Wij vullen dit nu concreet in en leggen de lat behoorlijk laag.
Het staat incompetent. Zeker als je core-business beveiliging is, zoals bij de volgende organisaties:
- http://veiligheidsberaad.nl/phpmyadmin/ (via http! :))
- https://ftp.oostvaarderskliniek.nl/phpMyAdmin/ (❤️ opgeruimd)
- https://alertonline.nl/phpmyadmin/ (❤️ opgeruimd)
- https://meldknop.nl (❤️ opgeruimd)

Updates (maart 2023)

Nieuwe metingen

Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.

Functionaliteit basisbeveiliging.nl

Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
- Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
- Zoeken naar “https://cip-overheid.nl” levert het UWV
- Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
- Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Linkjes naar diverse pagina’s zijn nu ook te zien in de adresbalk . Je kan dus makkelijk een pagina zoals de kaart van de overheid of de kaart van waterschappen delen.
De pas-toe-of-leg-uit pagina is gefixt.
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.

Nieuwe zoekfunctie op basisbeveiliging.nl. Zoeken naar Arnhem levert diverse resultaten over organisaties bij Arnhem.

Data op Basisbeveiliging

Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.