Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken of we de NCSC en DANE meting moeten loshalen.Tot nader bericht kan het zijn dat wel wordt voldaan aan de richtlijn van het NCSC, omdat DANE daar (nog) als overweging wordt aangedragen. Het gebruik van DANE voorkomt een bekende kwetsbaarheid, zie links in dit artikel.
Sinds juli 2023 is versleuteling verplicht op alle overheidswebsites. Toen de wet inging voldeed 33% van de overheidssites niet. Het is nog niet bekend wanneer een zelfde soort wet voor e-mail gaat gelden, maar gezien de gevoeligheid van post kan iedereen zien aankomen dat een verplichting niet al te lang meer op zich laat wachten.
Technisch gezien kan mail, net als een website, volgens de NCSC richtlijnen worden versleuteld. Maar er is een belangrijk verschil: van oudsher gaat het afleveren van mail boven versleuteling. Stel dat een mailverwerker alleen hypermoderne cryptografie gebruikt dan kan het zijn dat de mail deels onversleuteld wordt verwerkt. Het is voor een mailverwerker dus van belang om óók minder moderne versleuteling te bieden als achtervang.
Het opzetten van een veilige verbinding gebeurt met opportunistic TLS. De eerste stappen hiervan zijn onversleuteld en dit zorgt voor zwaktes die weer met andere technologieën zoals DANE worden opgelost.
De metingen zijn vanaf 7 februari in te zien op basisbeveiliging.nl. Ontbrekende versleuteling wordt nu beoordeeld met oranje, later dit jaar is dat rood. Niet voldoen aan de richtlijnen van het NCSC blijft voorlopig oranje. Deze meting is september 2023 aangekondigd.
De nieuwe metingen en omvang onderzoek
Deze nieuwe meting bestaat uit twee delen. De eerste is of versleuteling mogelijk is. De tweede is of deze ook kan voldoen aan de richtlijnen van het NCSC. De meting wordt ontwikkeld en onderhouden door internet.nl.
De meting wordt uitgevoerd vanaf de verzendende partij naar de eerste ontvanger. Dus vanaf een burger naar @rijksoverheid.nl. Er wordt niet gemeten of de ontvangende partij zelf in staat is veilig te mailen.
In totaal zijn er 3284 hoofddomeinen gecontroleerd waarop wordt aangegeven dat er iets met e-mail gebeurt (MX). Daarvan waren er 812 die mail weigeren (null MX). Op een domein is het gebruikelijk om meerdere mailservers in verschillende prioriteiten aan te bieden ter redundantie. In 317 gevallen konden niet alle servers van een domein worden gemeten: bijvoorbeeld door beperkte bereikbaarheid. Uiteindelijk is er op 2155 hoofddomeinen een volledige meting uitgevoerd. Er zit een lichte dubbeling in het aantal hoofddomeinen omdat sommige domeinen op meerdere kaarten staan of onder meerdere organisaties vallen. Van de 3284 domeinen zijn er 3075 uniek.
Versleuteling ontbreekt op 19 domeinen
Op 2144, ofwel 99.49%, van alle hoofddomeinen wordt versleuteling toegepast. De onderstaande 10 zijn dus de enige hoofddomeinen waar versleuteling ontbreekt.
Het gaat hier om het hoofddomein van een securitybedrijf, een politieke partij, vijf domeinen uit de zorg en drie van de overheid.
Van de overheden komt de centrale overheid er met 44% er het beste vanaf. Dus wordt er in 56% niet voldaan aan de eisen. Alle andere overheidslagen scoren slechter.
Voldoet aan richtlijn NCSC
Voldoet niet aan richtlijn NCSC
Centrale overheid
44% (429)
56% (553)
Gemeenten
41% (160)
59% (226)
Waterschappen
26% (6)
74% (17)
Provincies
23% (3)
77% (10)
Veiligheidsregio’s
6% (1)
94% (16)
Veilige e-mail op hoofddomeinen van de overheid
Bij de overige lagen zien we dat de cybersecuritybedrijven het slechtst scoren. Slechts 14 van de 141 bedrijven past voldoende veilige versleuteling toe. We zagen al eerder dat deze sector op alle metingen slecht scoort.
Voldoet aan richtlijn NCSC
Voldoet niet aan richtlijn NCSC
Zorg (Ziekenhuizen, GGD)
43% (234)
57% (311)
Politieke partijen
21% (7)
79% (27)
Cybersecuritybedrijven
9% (14)
91% (141)
Veilige e-mail op hoofddomeinen bij zorg, cybersecurity en politieke partijen.
De metingen zijn terug te vinden op basisbeveiliging.nl. Daar is dus precies te zien welke organisaties wel en niet voldoen.
Ook delen 419 overheidsdomeinen data met Google Ads.
Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR regio. Deze meting is in mei aangekondigd.
In dit artikel wordt gekeken waar de overheid, gemeenten en provincies haar online dienstverlening heeft staan.
Samenvatting
3% van de overheidsdomeinen (1076) komt uit in de Verenigde staten.
10% van de mailservers (407) van de overheid staan in de Verenigde Staten.
Overige niet EU+GDPR landen zijn nauwelijks vertegenwoordig en vaak logisch verklaarbaar.
Overheidssites gebruiken 42.745 externe bronnen, 62% hiervan staat in de States. Hier is Google verreweg de populairste dienstverlener (analytics, maps, youtube, fonts, tagmanager)
419 overheidsdomeinen delen data doubleclick.net (Google Ads).
Er zijn meer dan 300 bedrijven die domeinen van de overheid hosten.
Er zijn meer dan 146 bedrijven die e-mail diensten leveren voor de overheid.
Er wordt data gehaald van 1637 verschillende externe sites.
Diverse logische uitzonderingen worden in de komende maanden vastgesteld. Verreweg het merendeel van de bevindingen in dit artikel (>99%) valt niet onder deze uitzonderingen.
Wij vragen de Nederlandse overheid om alle online dienstverlening, waar het logisch is, aan te bieden vanaf servers in de EU+GDPR zone.Dit betekent dat honderden domeinen en e-mail diensten moeten worden verplaatst.
Waarom meten we dit?
Omdat we gegevens willen beschermen. Dit zijn niet alleen persoonsgegevens van burgers maar alle mogelijk denkbare gegevens van Nederland.
Als we alleen kijken naar persoonsgegevens mogen deze verwerkt worden in veel landen. Dit is geregeld in de Algemene Verordening Gegevensbescherming, de AVG ofwel GDPR. Deze wet is van toepassing op alle landen in de Europese Unie en de Economische Zone (dus ook Noorwegen, IJsland en Liechtenstein).
De wet geldt ook (nog) in het Verenigd Koninkrijk. Daarnaast heeft de Europese Commissie nog een serie landen aangewezen met vergelijkbare bescherming. Dit zijn o.a. Israël, Japan, Korea en onder voorwaarden de Verenigde Staten en Canada.
Dat iets mag wil nog niet zeggen dat het slim is. In andere landen gelden andere wetten. Overeenkomstige wetten worden misschien niet of anders gehandhaafd. Mogelijk gaan de gegevens die worden opgeslagen over een situatie die elders verboden is (een fictief voorbeeld is het opslaan van informatie over homohuwelijken in Korea). Verder hebben inlichtingendiensten toegang tot de gegevens, direct of op langere termijn. De gegevens moeten vaak letterlijk door een oceaan wat nadelig is voor de beschikbaarheid. Als grenzen worden opgezocht komt ook de geopolitiek om de hoek kijken: de situatie kan zomaar veranderen.
Het opzoeken van de grenzen waar e.e.a. mag staan is ingewikkeld en bijna jaarlijks onderhevig aan (plotselinge) juridische wijzigingen. Het is voor een leek onmogelijk om bij te houden wat wel en niet mag. Er is geen overduidelijk groot voordeel aan het plaatsen van diensten in verre landen. Mogelijk zijn dit kosten, maar gezien de grote en goedkope Amerikaanse dienstverleners nu ook diensten verlenen op servers binnen de EU valt dat argument weg.
Het opslaan van gegevens die niet onder de GDPR vallen is weer een ander hoofdstuk. Met andere gegevens bedoelen we concurrentiegevoelige gegevens, intellectueel eigendom, statistieken, vertrouwelijke stukken enzovoort. Per gegeven zijn er weer andere regels. Regels rondom versleuteling zijn dan mogelijk niet verplicht.
Een groot deel van dit wespennest kan worden voorkomen door gegevens binnen de landsgrenzen of de EU te houden. Dit is ook makkelijk te begrijpen voor personeelsleden en bedrijven die de gegevens verwerken.
Wat keuren we wel en niet goed?
We kijken of een dienst in de EU+GDPR zone valt. Deze zone bevat alle landen op het Europese continent die de GDPR of gelijkwaardige wetgeving toepast. Met deze meting zijn we dus mogelijk iets strenger dan de eisen van de wet, maar wel met een serie argumenten en overwegingen die dat verklaart.
De EU+GDPR zone zijn alle landen in de Europese Economische Zone en landen met gelijkwaardige wetgeving zoals Zwitserland, het Verenigd Koninkrijk en Andorra. Expliciet buiten de boot vallen dus 17 landen die wel (deels) op het Europese continent liggen maar andere wetten hebben, zoals Albanië, Oekraïne en Turkije. De wetgeving van de bijzondere gemeenten (Bonaire, Sint Eustatius, Saba) en de andere landen in het Koninkrijk der Nederlanden (Aruba, Curaçao, Sint-Maarten) is ons (nog) niet geheel duidelijk, dus dit keuren we nu goed.
Alles wat buiten de EU+GDPR zone valt keuren we af tenzij het volstrekt logisch is dat deze dienst er buiten valt. Denk bijvoorbeeld aan een NBSO in Brazilië of een meetproject van het KNMI in Indonesië. Dit wordt per casus bekeken en is nog niet afgerond.
Er wordt op drie plekken gekeken naar locaties: het domein, de e-mail server(s) en de adressen waarop verbinding wordt gemaakt bij het bezoeken van een website. Ieder van deze plekken wordt op de volgende manier beoordeeld:
Meting
Binnen EU+GDPR
Buiten EU+GDPR
Domein
Goed: OK / Groen
Proefperiode: Laag / Groen Vanaf december: Midden / Oranje Vanaf Okt 2024: Oranje of Rood
E-Mail Server(s)
Goed: OK / Groen
Proefperiode: Laag / Groen Vanaf december: Midden / Oranje Vanaf Okt 2024: Oranje of Rood
Inhoud van website
Goed: OK / Groen
Laag / Groen
Meetbeleid op locatiemetingen over tijd
Bij de beoordeling is er sprake van een proefperiode. In deze periode wordt gekeken naar hoe betrouwbaar deze metingen zijn. Mochten de metingen niet betrouwbaar voldoende blijken, dan worden ze niet op oranje gezet en wordt gekeken of deze in de toekomst nog worden gepubliceerd.
Hoe werken de metingen
Voor deze meting wordt een computeradres omgezet naar een fysieke locatie.
Bijvoorbeeld het domein “zutphen.nl”. Hiervan bekijken we naar welk land het internetverkeer wordt gestuurd als we de website bezoeken, als we er een e-mail naar toe sturen en met welke landen informatie wordt gedeeld bij het bezoeken van de site zelf.
Deze drie metingen zien er bijvoorbeeld zo uit:
Meting
Voorbeeld
Locatie
Locatie van Domein
zutphen.nl
Nederland (Tilaa)
Locatie van E-mail server(s)
zutphen.nl wijst naar mail.zutphen.nl
Nederland (KPN)
Locatie van de inhoud van de website
zutphen.nl haal informatie op bij google-analytics.com
Noord Amerika (Google)
Voorbeeld van metingen
Natuurlijk is dit voorbeeld wat versimpeld. In werkelijkheid zijn er meerdere e-mail servers als achtervang en heeft ieder domein twee adressen: een IPv4 en IPv6 adres. Technisch is er nog veel meer mogelijk, maar ondoorgrondelijkheid en het ontbreken van transparantie is op zichzelf al een veiligheidsrisico.
De locatiegegevens komen uit de database van Maxmind. Dit is een commercieel bedrijf dat wekelijks de database bijwerkt en geld vraagt voor deze data. Deze metingen worden aangevuld met correcties uit de RIPE database (waar Maxmind niet bij mag). Van beiden hebben we toestemming om gegevens op te vragen en te publiceren.
Uit de metingen blijkt dat de fysieke locatie van IPv4 en IPv6 adressen vaak uit elkaar ligt. Hoewel het technisch mogelijk is, is er logisch gezien geen argument om dit te doen. Het lijkt dat IPv6 geolocatie kwalitatief lager is dan IPv4. Daarom hebben we IPv6 niet meegenomen in de beoordelingen.
Hoewel beide organisaties hun best doen om correcte informatie te leveren is er geen garantie. Het internet is namelijk constant in beweging. Daarom hebben wij ook een disclaimer voor alle metingen.
Wanneer we niet weten waar een dienst staat wordt dit niet negatief beoordeeld: er is geen verplichting om transparant te zijn over de fysieke locatie van dienstverlening. Dat is echter wel wenselijk en mogelijk op lange termijn toch een reden om een negatieve beoordeling hieraan toe te kennen.
Bevindingen op domeinen
Domeinen: 1087 adressen buiten de EU+GDPR Zone
In totaal zijn er 38.364 (sub)domeinen. Hiervan staan er 36.994 in de EU+GDPR zone, 1076 in de Verenigde Staten en 283 op een onbekende locatie.
De verdeling per continent van domeinen buiten de EU+GDPR zone is de volgende. Hier is te zien dat vooral domeinen in de States problemen veroorzaken. De domeinen op andere continenten zijn nagenoeg allemaal logisch verklaarbaar en dus geen probleem.
Locatie buiten EU+GDPR
Overheid
Gemeente
Provincie
Totaal
Afrika
3
3
Azië
2
4
6
Noord Amerika (Verenigde Staten)
566
460
50
1076
Zuid Amerika
2
2
Totaal
573
464
50
1087
Domeinen verdeeld over continenten buiten de EU+GDPR zone.
Er is ook sprake van twee continenten binnen de EU+GDPR zone, dit vanwege de bijzondere gemeenten en de andere landen in het Koninkrijk der Nederlanden. Je ziet dat verreweg de meeste domeinen in Europa staan.
Locatie binnen EU+GDPR
Overheid
Gemeente
Provincie
Totaal
Europa
20.482
15.716
775
36.973
Noord Amerika (Aruba, Curaçao, Sint Maarten, Bonaire, Sint Eustatius, Saba)
21
21
Totaal
20.503
15.716
775
36.994
Domeinen verdeeld over continenten. De meeste domeinen staan verreweg in Europa.
Domeinen: verdeling over landen
Verreweg de meeste domeinen komen uit in Nederland. Het enige land buiten de EU+GDPR zone dat hele procenten van de bezoeken ontvangt is de Verenigde Staten. De enkele sites in Zuid Afrika en dergelijke zijn logisch te verklaren en duiden niet op een probleem.
Overheid
Gemeente
Provincie
Procent
Land / Totaal
21.297
16.240
827
100%
Nederland
18.871
13.846
677
87.05%
Duitsland
841
611
25
3.85%
Ierland
357
802
33
3.11%
Verenigde Staten
566
460
50
2.80%
België
193
255
14
1.20%
Onbekend
223
62
2
0.75%
Verenigd Koninkrijk
121
89
15
0.59%
Frankrijk
31
37
2
0.18%
Zweden
17
50
3
0.18%
Oostenrijk
14
16
0.08%
Finland
12
6
0.05%
BES-Eilanden
17
0.04%
Italie
7
0.02%
Tsjechië
6
0.02%
Denemarken
6
0.02%
Polen
2
4
0.02%
Aruba
4
0.01%
China
1
2
0.01%
Zuid Afrika
3
0.01%
Brazilie
2
0.01%
Zwitserland
2
0.01%
Estland
2
0.01%
Japan
2
0.01%
Luxemburg
2
0.01%
Singapore
1
0.00%
Verdeling van domeinen verspreid over landen
Domeinen: verdeling van leveranciers in Europa
Dit is de top 25 van de 311 verschillende organisaties die diensten van de overheid aanbieden. Dit wordt geteld per domein. Er wordt niet gekeken welke dienst op deze domeinen staat. We hebben de vele onderzoeksdomeinen van TNO eruit gelaten omdat deze de resultaten met duizenden vertekenen terwijl er weinig op lijkt te draaien.
Overzicht aantal mailservers bij dienstverleners uit de Verenigde Staten.
E-mail: Verdeling servers in EU+GDPR landen
De 3547 servers in Europa zijn verdeeld over allerlei landen en dienstverleners.
Europees Land
Overheid
Gemeenten
Provincies
Totaal
Nederland
1922
990
27
2939
Ierland
167
134
4
305
Duitsland
55
42
5
102
Oostenrijk
59
34
3
96
Verenigd Koninkrijk
17
18
1
36
België
33
1
34
Frankrijk
21
3
24
Finland
2
4
6
Tsjechië
3
3
Polen
2
2
Overzicht verdeling van aantallen mailservers per Europees land
E-mail: Aantal mailservers per dienstverlener
Er zijn 146 dienstverleners gevonden. Dit is de top 20, hierdoor zijn 843 servers op allerlei domeinen niet zichtbaar. Sommige bedrijven zoals Amazon bieden servers in zowel de EU als de US. In het geval van Amazon zagen we al dat er 27 servers buiten de EU staan, de rest van de 105 staan dus wel goed. Domeinen van KNAW zijn achterwege gelaten ivm een wildcard waarop een mailserver staat.
Ministerie van Verkeer en Waterstaat/Rijkswatersta
40
40
Dienst Uitvoering Onderwijs
39
39
Verdeling van leveranciers van e-mailservers
Bevindingen over Websites
Bronnen buiten de EU+GDPR zone
Tenslotte is er ook gekeken uit welke landen informatie op een website komt. Het gaat dus niet over het domein, maar het bezoek van een site. Bij het bezoeken worden plaatjes, scripts, lettertypen en dergelijke soms van een andere locatie opgehaald. Dit zien we 23.468 keer gebeuren.
Wat opvalt is dat er ongelofelijk veel verbindingen naar Amerikaanse dienstverleners worden gelegd. Bijna exclusief naar Google en een beetje Microsoft. Dit bevat ook 419 keer doubleclick.net. Dit is een onderdeel van Google Ads, wat aangeeft dat Analytics niet goed is ingericht. De meeste Microsoft vermeldingen hebben te maken met Office 365.
Hier is de top 20 meest gebruikte externe bronnen naar buiten de EU+GDPR zone, deze zitten allemaal in de Verenigde Staten:
De top 20 populairste domeinen waar de overheid bronnen ophaalt om haar sites te maken
Bronnen binnen de EU+GDPR zone
Wat staat er dan eigenlijk wel in de EU regio? We tellen daar nu 14.095 verwijzingen, een stuk minder dan naar de States. Enkel West-Europese landen, namelijk enkel Nederland, Duitsland en Ierland. De andere landen zijn amper vertegenwoordigd met 264 verwijzingen in totaal.
Vanaf 1 Juli 2023 is het toepassen van HTTPS verplicht voor de overheid. Dat betekent dat communicatie met alle websites en webapplicaties versleuteld moet gebeuren. Hierdoor worden bezoekers van deze applicaties beschermd tegen een aantal bekende kwetsbaarheden zoals afluisteren van het internetverkeer.
Trends en onduidelijkheden
Met de verplichting van HTTPS op websites en web-applicaties komt er nog geen einde aan onversleutelde gegevensuitwisseling. Dat heeft twee redenen.
Ten eerste is het volgens de aanwijzing nog steeds toegestaan om onversleutelde HTTP diensten aan te bieden (punt 2b), zolang een bezoek wordt geupgrade naar HTTPS.
Deze uitzondering heeft een beperkte houdbaarheid. Dit komt doordat 93.34% van de gebruikte browsers in Nederland standaard als eerste proberen te verbinden met HTTPS. Dat zijn chrome, safari, samsung en edge. Dat gebeurd sinds medio 2021. Twee minder populaire browsers, Firefox en Opera (5.32% marktaandeel), bieden het als optie: dat gebruikt dus niemand. Firefox doet dit dan wel weer standaard bij Safe Browsing. Maar: mocht er niet gereageerd worden op HTTPS, dan wordt nog teruggevallen op HTTP. Daarover straks meer.
Direct met HTTPS verbinden is dus de standaard, en dat is goed nieuws. Punt 2b is er dus voor de achterblijvers. Die groep wordt gelukkig met de dag kleiner. Dat komt omdat versleuteling tijdsafhankelijk is: wat vandaag veilig is, is dat morgen niet meer. Zo kan je met een computer uit 2011 geen bankzaken meer regelen. Hierdoor staat er een borging rondom veilige communcatie: browsers en computers moeten bij de tijd zijn.
Het doorsturen van gebruikers gaat hierdoor een stille en natuurlijke dood sterven, waardoor de onversleutelde alternatieven niet meer nodig zijn en punt 2b kan worden geschrapt. Maar dat is niet zo voor organisaties! Die kunnen nog steeds onversleuteld HTTP toepassen. Althans…
En dit is het tweede punt: interpretatie. Als je de aanwijzing scherp leest valt onversleutelde dienstverlening zoals ftp en e-mail buiten de boot. Hierdoor is het nog mogelijk om onversleuteld e-mail te verwerken of bestanden onversleuteld uit te wisselen. Men kan zelfs kiezen om HTTPS aan te zetten, maar toch te blijven werken via HTTP. Dan lijkt in eerste oogopslag alles in orde, maar dat is het niet. Dat is niet meetbaar.
Is er eigenlijk wel een goed argument om niet versleuteld te werken? In alle jaren Basisbeveiliging zijn wij zijn pas 1 legitieme casus tegengekomen. Ironisch genoeg is die uitzondering onderdeel van het HTTPS-versleutelingssysteem. Daarom hanteren we een uitzondering voor het ontbreken van HTTPS op subdomeinen als “pki”, “ocsp” en “crl” (en varianten).
In conclusie: De stap om HTTPS (deels) te verplichten is er een in de goede richting. Het is ook logisch om niet ineens alles te verplichten wat op de Pas toe of Leg uit lijst staat, maar dit stapje voor stapje te doen.
Deze eerste verplichting beschermt internetters en zorgt ervoor dat mensen met de tijd mee gaan wat betreft veilige browsers en computers. Voor organisaties lijkt er nog veel ruimte om onversleutelde diensten te blijven gebruiken.
Altijd via HTTPS? Helaas nog niet altijd…
Veel sites voldoen dus niet, waaronder ook hoofdsites van ministeries zoals Economische Zaken of Landbouw, Natuur en Voedselkwaliteit. Hoe komt dat? Dat komt omdat browser terugvallen naar onversleutelde sites, en daar moet tegen worden beschermd. Deze bescherming wordt deels geboden met een instelling genaamd HSTS (punt 2c). Deze instelling ontbreekt op die sites nog.
Maar sommige sites zoals securityheaders.com zeggen dat het wel in orde is. Wat is het verschil? Dit komt omdat deze test-tool standaardaard kijkt naar de site waarnaar iemand doorgestuurd wordt. Wanneer je doorsturen niet toestaat, dan scoort te site onvoldoende. Als je het wel toestaat dan wordt de site rijksoverheid.nl gemeten, en niet minezk.nl. Dus wat is nou juist?
Het antwoord is dat HSTS ook bij doorsturen nodig is. Dat staat ook bij de veelgestelde vragen op de site van de digitale overheid.
Wat HSTS oplost is dat het eerste bezoek (en dat is het onveilige bezoek) pas opnieuw wordt gedaan als de site een jaar niet bezocht is. Zonder HSTS bij doorsturen krijgt een aanvaller de kans om bij ieder bezoek aan deze website de inhoud te manipuleren, dus niet alleen het eerste bezoek.
Bij het bezoeken van de site van het ministerie worden namelijk eigenlijk drie verzoeken gestuurd. Die zie je hieronder in de tabel. Het eerste verzoek is dus onversleuteld en kwetsbaar, de verzoeken daarna niet meer. Bij bezoek 2 ontbreekt de HSTS instelling in het antwoord, en daarom is het niet goed.
Verzoek
Ontvangen antwoord
1: door gebruiker http://minezk.nl
“Ik stuur je door naar de veilige https variant”: HTTP/1.0 302 Moved Temporarily Location: https://minezk.nl/ Connection: Keep-Alive Content-Length: 0
2: automatisch doorgestuurd https://minezk.nl
“Ik stuur je door naar een andere website”: HTTP/1.0 302 Moved Temporarily Location: https://www.rijksoverheid.nl/ministeries/ministerie-van-economische-zaken-en-klimaat Connection: Keep-Alive Content-Length: 0
Deze trace is na te bootsen met “wget -q -S -O – http://minezk.nl:80 2>&1”
De beperking van HSTS is dat je eerst de site moet bezoeken over een versleutelde verbinding voordat de instelling geldig is. Als je de site dus voor de eerste keer bezoekt is er dus nog altijd een risico!
Een lapmiddel hiervoor is HSTS preloading. Dit is een lijst van websites die wordt ingebakken in moderne browsers: alle sites op de lijst kan je alleen via HTTPS bezoeken. De standaard-lijst is nu 13 megabyte groot en bevat op het eerste oog geen Nederlandse rijks-sites.
Preloading is op dit moment een van de twee aanpakken die in alle scenario’s iets afdwingt. Je ziet dat de Amerikaanse overheid een aantal van hun sites verplicht op deze lijst zet. Dat is nodig totdat browsers uitsluitend via HTTPS communiceren en niet terugvallen naar de onversleutelde site. Deze “safe default” instelling laat nog wel even opzich wachten.
De andere aanpak is het uitschakelen van de onversleutelde verbinding. Daarvoor is het nog te vroeg. Browsers van voor 2021 zijn nog veel in gebruik, waardoor er bij eindgebruikers verwarring ontstaat over het niet kunnen bereiken van een website.
De Cijfers
Onjuiste toepassing van HTTPS op hoofddomeinen
Wanneer HTTPS wordt toegepast moet dat ook aan een aantal eisen (2a) voldoen. Deze eisen worden gepubliceerd door het NCSC, hier.
Op dit moment zijn er nog erg veel overheidssites die nog niet aan deze eisen voldoen. Het gebrek hieraan is dermate groot dat meer dan 33% van alle hoofdsites van overheden niet voldoen. Het is vandaag (29 juni) nog bijna gebruikelijk dat men niet voldoet. Wij gebruiken hiervoor de metingen van internet.nl, die de eisen van het NCSC implementeert.
De landelijke overheid, gemeenten en provinicies houden zich nog niet aan de wet. Om dit in perspectief te zetten, de zorg doet het dramatisch veel slechter en voor hen geldt deze wet niet.
Overheidslaag
Volgens aanwijzing
Wijkt af
Totaal
Landelijke overheid
850
515 (38%)
1365
Gemeenten
296
118 (29%)
414
Provincies
8
5 (39%)
13
TOTAAL
1154
638 (35.60%)
1792
Bonus: Ziekenhuizen/GGD
162
836 (83.76%)
998
Per ministerie zijn er ook duidelijke verschillen te zien in de kwaliteit van toepassing van HTTPS. De getallen wijken heel iets af met de “centrale overheidskaart” omdat deze niet 100% overlappen en er soms een domein op meerdere kaarten staan.
De getallen per ministerie:
Ministerie
Volgens Aanwijzing
Afwijkend
Infrastructuur en Waterstaat
99
166 (62.64%)
Landbouw, Natuur en Voedselkwaliteit
74
68 (47.89%)
Onderwijs Cultuur en Wetenschap
61
48 (44.04%)
Justitie
111
78 (41.27%)
Economische Zaken
95
65 (40.63%)
Financiën
28
10 (26.32%)
Binnenlandse Zaken
149
44 (22.80%)
Volksgezondheid Welzijn en Sport
187
52 (21.76%)
Buitenlandse Zaken
49
12 (19.67%)
Sociale Zaken en Werkgelegenheid
47
8 (14.55%)
Algemene Zaken
18
3 (14.29%)
Defensie
10
1 (9.09%)
TOTAAL
928
555 (37.42%)
Het gaat hier om 1483 domeinen. Dit verschilt net iets met het websiteregister rijksoverheid waar 1363 unieke domeinen in staan. Dit komt zowel door dubbelingen (sommige sites op meer ministeries) maar ook dat we misschien net een site meer of minder hebben. Ook daar zie je dezelfde resultaten wbt toepassing van HTTPS volgens de internet.nl metingen.
Ontbrekende versleuteling op 56 adressen
Er zijn 56 adressen waarop HTTPS volledig ontbreekt. Dit is een niet significant aandeel van alle overheidssites. In de meeste gevallen gaat het dan ook nog om testpagina’s, placeholders, vergeten projecten of andere weinig spannende doeleinden. Er zijn maar twee sites die echt informatief zijn: geluidregisterspoor en een afspraken site.
We hebben de uitzondering op ‘pki’/’ocsp’/’crl’ subdomeinen niet meegenomen. Dat zijn er vele tientallen.
Omdat HTTPS een nieuw soort verplichting is, is het nog niet helemaal duidelijk hoe dit wordt gehandhaafd. Onze verwachting is dat het snel duidelijk wordt hoe en wat.
Binnenkort is op basisbeveiliging.nl te zien welke (hoofd-)domeinen voldoen aan de TLS richtlijnen van het NCSC. Bij deze meting wordt onder andere verwacht dat er een doorverwijzing van http naar HTTPS wordt gebruikt, dat HTTPS aanwezig is op hetzelfde adres als waar HTTP en dat HSTS is ingericht.
Als je zelf al wil meten dan kan dat op internet.nl.
Dit artikel is gebaseerd op de metingen van 29 juni. Er is een hermeting gebeurd op 2 juli. Het verschil is te klein om het artikel erop aan te passen.
Met de verplichting van TLS voor de overheid, wordt vanaf nu ook de internet.nl TLS meting meegenomen. Deze meting verschilt van de andere metingen rondom TLS en HSTS op basisbeveiliging. In dit artikel staan de verschillen.
Het eerste rapport met deze meting staat live op 4 juli 2023.
De nieuwe meting
De nieuwe meting wordt geintroduceerd als oranje. Hoewel het een wettelijke verplichting is, en alles zegt dat dit rood zou moeten zijn, beginnen nieuwe metingen volgens ons publicatiebleid altijd ten hoogste op oranje.
We houden deze meting nog op oranje totdat is uitgekristaliseerd hoe de handhaving werkt, dat er wordt gehandhaafd en of er eventuele uitzonderingen ontstaan de komende tijd. Deze meting wordt op dit moment alleen uitgevoerd op hoofd-domeinen.
De meting wordt verder toegelicht met de volgende bronnen:
Deze meting omvat 20 sub-metingen die soms wel en soms niet relevant zijn. Deze afzonderlijke punten publiceren we niet, om zo de lezer van de site niet te overladen met metingen. Het testrapport is te zien op internet.nl, volg daarvoor de link bij “show measured data” zoals in het screenshot hieronder.
Anders dan de huidige TLS/HSTS metingen
Zoals gezegd: Op basisbeveiliging testen we al HSTS en TLS. Maar toch is deze meting anders.
De andere TLS meting is afkomstig van Qualys SSL Labs. Deze commerciele partij gebruikt dit als marketingstool voor hun dienstverlening. Deze meting past niet hetzelfde beleid toe als het NCSC, maar een algemener beleid. Er zijn twee belangrijke meetwaarden in SSL Labs die niet uit de meting van internet.nl komen, namelijk:
Of er specifieke en state of the art kwetsbaarheden aanwezig zijn in de verbinding. Regelmatig komen er nieuwe uit die voor veel problemen zorgen. Een bekend en wat ouder voorbeeld is Heartbleed, maar zo zijn er nog 10.
Of er vertrouwen is in het certificaat. Zijn de naam, tijd, geldigheid, CA, revocation nog op orde.
De HSTS meting van basisbeveiliging is ook anders. Wij volgen namelijk redirects, waar internet.nl dat expliciet niet doet. Voor een goede HSTS meting zou iedere stap in de ketting aan redirects HSTS moeten hebben, maar dat meten we op dit moment niet: alleen de laatste. Deze twee HSTS metingen vullen elkaar nu dus aan.
Onlangs hebben we een meting toegevoegd waarmee te zien is of een website op zichzelf staat, of dat bezoekers gevolgd worden door bedrijven die ook in de advertentiebusiness zitten.
We zijn deze meting aan het finetunen en afronden met een artikel hierover. Ondertussen zijn we bezig met een vervolg hierop. Dit vervolg wordt in de komende weken/maanden uitgerold en heeft alles te maken met locaties van online diensten.
Het ultieme doel is dat de online-overheid uitsluitend in de EU of Nederland opereert, behalve waar het logisch of redelijk is dat dit niet gebeurd (denk aan een KNMI meetproject in Azië). Dit is in lijn met de GDPR-wet en de bijbehorende trend om alles binnen Nederland of de EU te krijgen.
We gaan controleren op twee verschillende punten: de locatie van servers en de locatie van de inhoud van de voorpagina van websites. Hieruit halen we ip-adressen.
Deze adressen zoeken we op in een database waarin staat welk adres in welk land actief is. Deze database wordt op een complexe manier samengesteld: het is een mix van administratieve gegevens en kennis van hoe het internet op dit moment in elkaar zit. Voor de geïnteresseerden: de technische term is “ip geolocation”.
Een tipje van de sluier:
Op basis van ip-adressen en de locaties hiervan zien we dat er een klein percentage van servers buiten de EU staat. 3% van alle door ons gemeten ip adressen leidt naar de Verenigde Staten en een verwaarloosbaar percentage elders. Van de servers met een locatie anders dan US/EU zijn er een aantal legitiem en een paar ook niet. We zullen hier nog een mailtje over sturen naar de eigenaren van die servers. We hebben nog geen cijfers over de inhoud van websites.
Bij 8% van de overheidsdomeinen is het niet te achterhalen of de overheid eigenaar is. Dat is te verdelen in twee categorien: er zijn 95 domeinen zonder informatie en 68 domeinen met een onjuiste eigenaar.
Juiste houderinformatie geeft vertrouwen: iemand kan hierdoor checken of de site eigendom is van de overheid. De overheid heeft nog een andere reden om eigenaar te zijn: zelf bepalen wat er met een domein gebeurt nadat een project of contract afloopt.
Dit is het overzicht van eigendom van domeinen op dit moment:
Overheid
Domeinen
Geen eigenaar
Onjuiste eigenaar
Juiste eigenaar
Gemeenten
431
32
8
391
Provincies
13
2
0
11
Overheid
1546
61
60
1425
TOTAAL
1990
95 (4.77%)
68 (3.41%)
1827 (91.81%)
Overzichtstabel juistheid houders van domeinen.
Houder van een domein
Iedere domeinnaam is uniek en heeft een eigenaar. De adminstratie van alle .nl domeinen zoals rijksoverheid.nl wordt bijgehouden door “Stichting Internet Domeinregistratie Nederland”: SIDN.
Om te zien wie eigenaar is van een domein kan je op de site van het SIDN de administratie doorzoeken. In het onderstaande voorbeeld zie je het zoekresultaat voor de site “rijksoverheid.nl”.
In het screenshot zit een highlight op de informatie uit het “houder” veld: “Rijksoverheid”, dit is de naam van de eigenaar van het domein.
De nieuwe meting op basisbeveiliging.nl controleert of de eigenaar van het domein juist is. Hieruit kunnen drie conclusies komen:
Geen eigenaar: het is niet te zien van wie het domein is omdat het “Houder” veld leeg is. Dit wordt beoordeeld met Oranje.
Onjuiste eigenaar: een tussenpartij, een persoon, een onduidelijke organisatie of een geanonimiseerde organisatie (en nog wat andere gevallen) is allemaal onjuist. Dit wordt beoordeeld met Oranje. Wij verwachten dat “Gemeente Texel” eigenaar is van “texel.nl”.
Juiste eigenaar: Is de registratie in te zien en behoort die tot een van de goedgekeurde organisaties? Dan wordt dat beoordeeld als Groen.
Bepaling van de meting
Het is lastig om te bepalen wie de juiste eigenaar is. Dat gebeurd dan ook voor een deel met de hand. Dit is een detail-overzicht van hoe we de juiste eigenaar vaststellen.
In deze gevallen zien wij de juiste eigenaar:
De houder is ongeveer hetzelfde als het domein. Bijvoorbeeld “rijksoverheid” op “rijksoverheid.nl”.
De houder is een overheidsorganisatie, ziekenhuis of andere aanverwante entiteit.
De houder is een bedrijf/organisatie en deze staat genoemd op de voorpagina van de site of onder contactgegevens. Bijvoorbeeld in het e-mail adres of bij de copyright informatie.
Sites met een rijksoverheidslogo mogen alleen op een naam van een overheid staan.
De houder bestaat uit een onbekend deel, maar ook een bekend deel zoals: “TweeToffePeren B.V. i.o. Rijkswaterstaat” op een site van Rijkswaterstaat.
Bij onduidelijkheden wordt altijd kort gezocht naar wie de eigenaar is. Bijvoorbeeld kan bij ICT-samenwerkingsverbanden de gebruikte naam niet direct worden herleid omdat er een “abstracte” naam wordt gebruikt waar geen van de deelnemers wordt genoemd.
In deze gevallen zien we een onjuiste eigenaar:
Bedrijfsnaam van een ontwikkelbedrijf, consultancybedrijf, juristenbureau of andere ontwikkelaar. “TweeToffePeren B.V.” terwijl de site zegt: Rijkswaterstaat.
Namen van personen.
Afgeschermde gegevens. Houder hoeft niet afgeschermd te zijn omdat het altijd gaat over namen van organisaties.
Namen van organisaties die geen of ‘generieke’ resultaten hebben in zoekmachines. Het is dus niet duidelijk van wie het is.
Onherleidbare informatie als “Crediteurenadministratie X-12391”.
Een leeg veld.
Dank aan SIDN
Informatie over eigenaarschap is afkomstig uit de WHOIS database van Stichting Internet Domeinregistratie Nederland (SIDN) en wordt verwerkt en gepubliceerd met toestemming.
Nieuwe subdomein scanner OWASP amassis toevoegd. Hiermee kan op tientallen manieren naar subdomeinen worden gezocht. Komen we daarmee eindelijk op de 100.000 overheidsdomeinen?
Domeininformatie van het SIDN wordt nu ingelezen. Dit om verlopen / uit handen gegeven domeinen te kunnen herkennen en makkelijk te kunnen verwijderen. Dank aan de SIDN voor het bieden van de who-is api.
De website ondersteunt nu geolocatie: dus je kan makkelijk vinden welke organisaties in jouw buurt zitten zonder de kaart te hoeven doorzoeken. Geolocatie wordt gebruikt op de voorpagina en op de kaarten-pagina. Mogelijk binnenkort ook nog op andere pagina’s.
De voortgang-pagina is opgeruimd en heeft nu permanente links. Je kan nu direct zien wat de toename is van security.txt voor bijvoorbeeld gemeenten en provinices.
Aanpassingen in metingen
De bannergrab scanner is bijgewerkt, waardoor bevindingen worden opgeslagen als https/443 als http/443 wordt gevonden. Wij gebruiken “https” als protocol waar nmap vaak “http” ziet omdat de webserver een “http” status pagina geeft waarop staat dat je de site via “https” moet bezoeken.
Idem zijn de protocollen ‘gnutella’, ‘ssl’ en ‘ms-wbt-server’ teruggebracht naar https. De 160.000 endpoints hiervoor zijn verwijderd en de metingen komen terug op https endpoints.
Aanpassingen in django admin
De endpoint pagina is versneld, zoeken op endpoints is versneld.
Er is een bug gefixt waardoor niets meer kon worden opgeslagen van nieuwe scans. Je kan in de onderstaande grafiek zien wanneer die bug was opgelost:
Nieuwe uitzonderingen
We blijven er wel op meten, maar strepen eventuele bevindingen weg op de volgende plaatsen:
Poort 8443 mag open staan voor vpn doeleinden. Dit zien wij onder subdomeinen als ‘thuiswerken’, ‘telewerken’, ‘vpn’, ‘werkplek’ enzovoorts.
Het subdomein ‘sip’ hoeft geen http security headers meer te hebben.
Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.
Functionaliteit basisbeveiliging.nl
Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
Zoeken naar “https://cip-overheid.nl” levert het UWV
Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.
Data op Basisbeveiliging
Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.
Deze maand een extra leuke verassing: een overzicht van publieke login portals van de overheid. We hadden natuurlijk de VPN portals wel verwacht, maar er is ook meer dan teveel te vinden dat naar onze mening niet publiek hoort.
Deze portals zijn te vinden op een nieuw onderdeel van de basisbeveiliging site: Login Plaza. We hopen dat dit niet de ‘voorpagina’ word van allerlei ambtenaren wanneer ze de linkjes kwijt zijn naar deze systemen :).
De metingen zijn nog aan het inladen: we zitten nu op 20% en hebben meer dan 600 portals gevonden. Dat belooft wat 🙂
Overheid: Het is tijd om het aanvalsoppervlak te reduceren.
Overheid ❤️ phpMyAdmin
Een voorbeeld is database-beheer tool phpMyAdmin: een web interface om de inhoud van je database aan te passen. Het is een geliefde tool, wij kennen em in hart en nieren… maar is het nou echt de bedoeling dat de hele wereld hierop mag proberen in te loggen? Bij de overheid? Wij denken van niet. Ons advies is dus: weghalen. Gewoon achter het VPN en niet op een ‘verborgen adres’ please…
Er zijn twee manieren waarop we dit meten. De eerste is een ‘ontdekking’ en de tweede is een ‘verificatie’.
De ‘ontdekking‘ fase bestaat uit het proberen van allerlei verschillende paden waarop bekende software te vinden is. Hier word dus gekeken of de map “phpMyAdmin” bestaat op het domein https://example.nl: https://example.nl/phpMyAdmin/
Dit gebeurd op een heel lage intensiteit. Over langere tijd checken we op honderden verschillende stukken software. We doen hier met opzet lang over zodat het niet in de weg zit van ander verkeer. Om het nog minder intens te maken doen we dit ook maar eens per twee maanden. In mei komt dus de tweede ronde.
De ‘verificatie‘ fase is een doelgerichte check. We kijken alleen of het gevonden portal er nog staat. Dat zijn dus net zoveel verzoeken als portals: meestal 1 of 2. Dit doen we om de dag zodat de gegevens op de site actueel zijn. Zo kan een beheerder ook zien dat een portal is verdwenen en het probleem is opgelost.
Zonder oordeel op de kaart
Binnenkort zullen we ook een oordeel plakken aan deze bevindingen. Deze zal grofweg op de volgende manier worden gekleurd op de kaart:
Rood: een login-portaal voor beheer: zoals phpMyAdmin, Django Admin, Grafana, Metabase en dergelijke producten.
Oranje: een login-portaal voor het beheren van een content-management systeem zoals WordPress, Drupal, Typo3 of minder intense tools als Matomo. Eind van 2023 word dit ook rood.
Groen: een login-portaal voor het gebruiken van een VPN. Waarom hier een web portaal voor nodig is? Mogelijk word dit dus ook rood, maar hier zit voor ons nog wat huiswerk: we zien namelijk dat er meer dan 20 verschillende producten worden gebruikt en we zullen moeten verdiepen in hoe ze werken en wat realistisch is qua oordeel.
Er zijn weer nieuwe metingen toegevoegd aan basisbeveiliging. Het gaat om de volgende twee:
Software versie identificatie. We kijken of software op je server aangeeft welke (specifieke) versie er wordt gedraaid. Deze informatie wordt gebruikt door aanvallers om een specifieke aanval uit te voeren of te plannen. In een gehardende omgeving is deze informatie niet zichtbaar: in dat geval moet een aanvaller meer moeite doen om erachter te komen welke versie er staat, wat ofwel teveel moeite is of zorgt dat een aanval makkelijker te herkennen is. De maximale score is rood, dit gebeurd als er een volledig versienummer en sub-nummer te vinden is. Bijvoorbeeld 12.34.
Overbodige poorten. Voor dienstverlening naar burgers en medewerkers van je organisatie zijn maar een paar diensten nodig. We kijken in dit geval naar een paar poorten, de alternatieve HTTP poorten (8443 enzo): hierop staan vaak diensten zoals beheerders-interfaces en dergelijke. We raden aan om dienstverlening van deze alternatieven te staken en de dienst onder de standaard poortnummers te leveren. De informatie in deze scan is nog in beta, de maximale score is oranje.