Ga naar de inhoud

Internet Cleanup Foundation

Cleaning the Internet, a thousand sites at a time.

  • Welkom!
  • Nieuws
  • Deelnemerschap
    • Over Deelnemerschap
    • Inschrijfformulier
    • Huisregels Deelnemers
  • Community
    • Pizza Sessies / Zoek alle domeinen
    • Discord Link
    • Vacatures en Vrijwilligen
    • Sticker Swap
  • Basisbeveiliging
    • Over Basisbeveiliging
    • Meetbeleid Basisbeveiliging.nl
      • Meetbeleid Basisbeveiliging.nl
      • Uitzonderingen op het meetbeleid
      • Comply or Explain: handleiding voor een goede verklaring
      • Scaninfo
    • Publicatiebeleid
    • Binnenkort op basisbeveiliging: wat nu?
  • Over ons / About Us
    • Code of conduct
    • Referenties / In de Media
    • Statuten
    • Report Vulnerability (CVD / RD)
    • Disclaimer Basisbeveiliging.nl / Internetcleanup.foundation
    • About Us
  • Code of conduct
  • Disclaimer Basisbeveiliging.nl / Internetcleanup.foundation

Categorie: phpmyadmin

Overheid ❤️ phpMyAdmin: 10% weg in 7 dagen

Overheid ❤️ phpMyAdmin: 10% weg in 7 dagen

Wil je bovenstaande stickers hebben? Ga naar de sticker swap…

phpMyAdmin is populaire software voor het beheren van databases via de browser. Dit hoort niet online te staan bij professionele organisaties. Vorige week deelden we onze bevinden: 300+ phpMyAdmins bij de overheid. In een week is er al 10% offline gehaald. In dit artikel de getallen en ook een aantal redenen waarom je phpMyAdmin offline wil halen.

Voor beheerders: De hertests beginnen later deze week, de uitkomsten kan je natuurlijk vinden op het Login Plaza.

Al 10% opgeruimd

Een week geleden deelden we op linked in dat de overheid meer dan 300 phpMyAdmin portals online heeft staan. Dat maakte behoorlijk veel los. We ontvingen een aantal belletjes en overzichten van wat mensen aan het opruimen zijn.

Slechts één week is erg kort in overheidsland, maar toch is het leuk om te kijken wat er veranderd. Hiervoor hebben we een steekproef gedaan naar de aanwezigheid van 316 gevonden portals. Dit zijn de uitkomsten:

  • Originele meting: 316 portals
  • Hertests vanaf…
    • een Nederlands Ziggo IP: 287
    • een Proxy in Nederland: 271
    • het IP van basisbeveiliging: 288

Er zijn in een week ±30 phpMyAdmin portals opgeruimd uit de steekproef. Dat is 10%. Daarvoor alle lof naar de beheerders hiervan!

Waarom moet phpMyAdmin weg?

Dat de overheid phpMyAdmin gebruikt verbaast ons niets: iedereen gebruikt dit want het is fantastisch. Toch is het niet de bedoeling dat dit word aangeboden via het publieke internet.

Hieronder staan een aantal redenen waarom de overheid door moet gaan met het offline halen van phpMyAdmin:

  1. Het kost meer management, patchwerk en onderhoud: phpMyAdmin en onderliggende technologie PHP bevatten regelmatig kwetsbaarheden. Net als alle andere software. Iets online zetten vereist dus constante verzorging. Je kan software beter vergelijken met een tijdbom. Als die bom afgaat moet je meteen (in de nacht) patchen, anders heeft een aanvaller al je data. Je moet dus al weten dat je het draait, welke versie, hoe je dat update, hoe het eventueel uit moet etc: dat is duur en irritant. Het bespaart dus geld, tijd en stress om dingen niet publiek te zetten. Er worden regelmatig nieuwe kwetsbaarheden gevonden en gepubliceerd. Zie bijvoorbeeld dit archief van phpMyAdmin aanvallen. Een aanvaller hoeft niet slim te zijn, die kan ook gewoon wachten en ter zijner tijd een goedkope 0day (=nieuwe onbekende kwetsbaarheid) aanschaffen en inzetten. Wie is er sneller? Jij of de aanvaller? Het is beter deze race niet aan te gaan.
  2. Er is een grote kans dat kwaadwillenden en ethisch interessante bedrijven al 0days hebben liggen voor PHP/phpMyAdmin. Er valt veel te halen, daarom is het ontwikkelen van een kwetsbaarheid geld/tijd waard. Als er niets meer te halen is… dan is de aanval waardeloos. Vanuit deze gedachte kan je zeggen dat het online plaatsen van overbodige systemen de groei stimuleert van deze (illegale) markt.
  3. phpMyAdmin online aanbieden voldoet niet aan de ISO27002-2022 eisen. Dit zijn eisen die de overheid volgt, onder andere door opvolging van de Baseline Informatiebeveiliging Overheid. Uit ISO27002-2022 halen we o.a:
    • 8.3 e) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen, toepassingsgegevens of systemen
    • 8.9 c) onnodige functies en diensten uitschakelen of beperken;
    • 8.9 d) de toegang tot krachtige systeemhulpmiddelen en hostparameterinstellingen beperken;
    • Voor gemeenten zie je dergelijke informatie ook terug in het harderning beleid van de IBD.
    • Let op: normenkaders noemen nooit expliciet stukken software. Iedereen moet hierdoor zelf uitvinden wat de bedoeling is: met pluriformiteit en onveiligheid als gevolg. Wij vullen dit nu concreet in en leggen de lat behoorlijk laag.
  4. Het staat incompetent. Zeker als je core-business beveiliging is, zoals bij de volgende organisaties:
    • http://veiligheidsberaad.nl/phpmyadmin/ (via http! :))
    • https://ftp.oostvaarderskliniek.nl/phpMyAdmin/ (❤️ opgeruimd)
    • https://alertonline.nl/phpmyadmin/ (❤️ opgeruimd)
    • https://meldknop.nl (❤️ opgeruimd)

Auteur internetcleanup-foundationGeplaatst op maart 22, 2023juli 11, 2023Categorieën helpdesk, login plaza, metrics, phpmyadmin, published
  • Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid
    Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het … Lees verder "Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid"
  • Updates December 2023
    Security van Cybersecuritybedrijven De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op … Lees verder "Updates December 2023"
  • Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven
    Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe … Lees verder "Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven"
  • 7 politieke partijen veiliger, meer dan 100 problemen opgelost
    Van de 70 politieke partijen die staan ingeschreven bij de kiesraad doen er uiteindelijk 26 mee aan de Tweede Kamerverkiezingen 2023. De overige partijen hebben we van de kaart gehaald. De samenwerkende … Lees verder "7 politieke partijen veiliger, meer dan 100 problemen opgelost"
  • Updates November 2023
    Nieuwe meting over ongevraagde tracking cookies De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij … Lees verder "Updates November 2023"
  • Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende
    De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan … Lees verder "Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende"
  • De helpdesk aflevering 5: Waarom geen Google Analytics?
    We krijgen regelmatig de vraag waarom basisbeveiliging Google Analytics negatief beoordeelt bij haar privacymeting. Er wordt dan verklaard dat Analytics is ingericht volgens de handleiding van de Autoriteit Persoonsgegevens. De Autoriteit geeft … Lees verder "De helpdesk aflevering 5: Waarom geen Google Analytics?"
  • Updates Augustus 2023
    Meting toegevoegd over de locatie van dienstverlening (in de EU+GDPR zone) Er wordt gekeken waarvandaan online diensten worden verleend: van de server, e-mail server(s) en waar de inhoud van de website vandaan … Lees verder "Updates Augustus 2023"
  • Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook.
    Ook delen 419 overheidsdomeinen data met Google Ads. Vanaf 9 augustus is op basisbeveiliging.nl te zien vanuit welk land de overheid online diensten verleent. We controleren of dit gebeurt vanuit de EU+GDPR … Lees verder "Nieuwe meting: dienstverlening binnen de EU. 1087 domeinen staan buiten de EU. 410 mailservers ook."
  • 1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen
    Vanaf 1 Juli 2023 is het toepassen van HTTPS verplicht voor de overheid. Dat betekent dat communicatie met alle websites en webapplicaties versleuteld moet gebeuren. Hierdoor worden bezoekers van deze applicaties beschermd … Lees verder "1/3e overheidssites voldoet niet aan HTTPS eisen, ontbreekt volledig op 56 adressen"
  • alert emails (1)
  • alternative names (1)
  • bannergrabbing (2)
  • Basisbeveiliging+ (1)
  • bes (1)
  • charts (1)
  • chatgpt (1)
  • comply or explain (4)
  • cookies (4)
  • cyber (1)
  • dashboard (1)
  • encryption (1)
  • extreme server tuning (1)
  • features (4)
  • foundation (1)
  • full scope tests (2)
  • g1 overheidscertificaten (2)
  • gdpr (1)
  • geolocation (3)
  • government (1)
  • headers (1)
  • helpdesk (6)
  • hsts (2)
  • http-referrer (1)
  • https (1)
  • internet.nl (2)
  • ip (2)
  • law (1)
  • layers (2)
  • locatie (1)
  • location (1)
  • login plaza (4)
  • map (3)
  • marktanalyse (1)
  • media (1)
  • metrics (12)
  • OpenCRE (1)
  • phpmyadmin (1)
  • political party (2)
  • ports (2)
  • privacy (6)
  • progress (3)
  • published (29)
  • RPKI (2)
  • salsa20 (1)
  • search bar (1)
  • security.txt (3)
  • sidn (1)
  • tls (4)
  • transparency (1)
  • Uncategorized (1)
  • updates (5)
  • websiteregister (1)
  • whois (2)
  • Welkom!
  • Nieuws
  • Deelnemerschap
    • Over Deelnemerschap
    • Inschrijfformulier
    • Huisregels Deelnemers
  • Community
    • Pizza Sessies / Zoek alle domeinen
    • Discord Link
    • Vacatures en Vrijwilligen
    • Sticker Swap
  • Basisbeveiliging
    • Over Basisbeveiliging
    • Meetbeleid Basisbeveiliging.nl
      • Meetbeleid Basisbeveiliging.nl
      • Uitzonderingen op het meetbeleid
      • Comply or Explain: handleiding voor een goede verklaring
      • Scaninfo
    • Publicatiebeleid
    • Binnenkort op basisbeveiliging: wat nu?
  • Over ons / About Us
    • Code of conduct
    • Referenties / In de Media
    • Statuten
    • Report Vulnerability (CVD / RD)
    • Disclaimer Basisbeveiliging.nl / Internetcleanup.foundation
    • About Us
  • Code of conduct
  • Disclaimer Basisbeveiliging.nl / Internetcleanup.foundation
Internet Cleanup Foundation Ondersteund door WordPress