Categorie: security.txt

Updates – Juli 2023

Meer duiding en omlijsting

We zijn meer kennis rondom de stichting aan het uitschrijven: wat doen we, hoe doen we dat en wat betekent dit. De eerste stukken hiervan staan nu online:

Deze links zijn terug te vinden in de footer van basisbeveiliging.nl. Er volgt binnenkort meer, zoals de code of conduct.

Metingen

Overheids-niveau TLS meting toegevoegd

Zie voor meer informatie de blogpost, hier.

Privacy-scan aangezet op alle subdomeinen en completere resultaten

Alle subdomeinen worden nu meegenomen in de privacy scan. Dat betekent dat er behoorlijk veel meetpunten zijn bijgekomen.

Daarnaast is de meting voorzien van extra informatie over welke aanvragen er worden gedaan naar externen. Voorheen waren alleen de links te zien, nu kan je zien waar de aanvraag vandaan komt: afbeeldingen, scripts, fetch, xhr, fonts etcetera. Je ziet ook wat wordt meegestuurd. Soms wordt er namelijk alleen een extra (POST) verzoek gedaan om zo te kunnen tracken zonder cookies.

Nieuwe uitgebreide meetgegevens in de privacymeting

Goedgekeurde versie-informatie

Het SSH protocol vereist dat er staat welke versie wordt gebruikt, zodat er bepaald kan worden welke features worden ondersteund. Dat is ergens te begrijpen. Omdat het onderdeel van het protocol is, moeten we het nu goedkeuren. Echter is er ook ruimte om “comments” mee te geven in de identificatie. Alle gevallen met comments keuren we niet goed, omdat dit geen onderdeel is van de negotiation en dus volledig optioneel is. Je kan deze comments uitzetten.

Dat de versie wordt goedgekeurd zegt niets over of de versie veilig is. Zo op het eerste gezicht vinden we het vanuit een security-standpunt onverklaarbaar waarom er informatie over de host gedeeld moet worden voor negotiation, maar daar is vast goed over nagedacht.

  • Goedgekeurd: ssh-2.0-openssh_5.8
  • Afgekeurd: ssh-2.0-openssh_5.9p1 debian-5ubuntu1.10

Lees verder: www.openssh.com/txt/rfc4253.txt, punt 4.2 Dit is ook opgenomen in de uitzonderingen op het meetbeleid.

Whois informatie meting gefixt

De SIDN api gaf ook antwoord op domeinen buiten het bereik. Als je daar zoekt naar apple.com krijg je de resultaten van apple.nl. Deze fout is rechtgezet aan onze kant: er wordt alleen nog op .nl domeinen WHOIS informatie opgevraagd.

Security.txt metingen hebben nu meetgegevens

Het is nu in te zien waarom security.txt metingen falen. Dat omdat de meting recentelijk is gewijzigd: het bestand moet op een nieuwe regel eindigen anders is het ongeldig.

Details over security.txt

Op de site

Filtering in rapporten

Het is nu mogelijk om op bevinding te filteren in rapporten. Dit is nog een redelijk basaal filter wat niet alle domeinen zonder resultaten weghaalt. Dat komt in een volgende versie. Het helpt in ieder geval om snel de juiste metingen te vinden omdat de rest onzichtbaar wordt.

Comply or explain bug opgelost

Sommige verklaringen werden nog niet meegenomen in de statistieken en rapporten. Daardoor week de kleur van de kaart en de statistieken af van de inhoud van het rapport. Deze lopen, na een paar dagen lang puzzelen, helemaal gelijk. Hiermee is een lang uitstaande bug opgelost (en zijn er vast weer twee nieuwe bijgekomen, want zo werkt dat met software).

Overig

  • Bij het importeren van organisaties worden nu arbitraire velden ondersteund. Dit is handig om op een later moment te kunnen filteren.
  • Er is meer logging toegevoegd aan de ‘ontbrekende tls’ meting. Deze geeft af en toe false positives en daar willen we vanaf. Dit is een traag proces en we verwachten dat het heel even duurt voordat alles weg is.
  • Het toevoegen en verwijderen van endpoints wordt nu gelogd en omgezet naar grafieken, hierdoor kunnen we grote verschuivingen detecteren en bepalen of er iets mis is met de internetverbinding of de meting.
  • HSTS meting bevatte een bug waardoor de meting qua bewijsvoering ‘klapperde’.

Updates (februari 2023)

Deze maand zijn er weer een boel dingen aangepast op basisbeveiliging.nl. Dit is een korte samenvatting:

Basisbeveiliging.nl

  • Nieuwe metingen: Security.txt en RPKI, lees de blogpost voor meer informatie. Met dank aan internet.nl.
  • Er is een lijstje toegevoegd onderaan de landingspagina met een samenvatting van alle kaarten. Er worden nu ruim 50.000 domeinen gemeten.
  • Comply or Explain scan-opvolging is nu gefixt, dus al die standaard microsoft subdomeinen zouden geen problemen meer mogen geven ondanks dat de metingen technisch juist zijn.
  • Opruiming van de basisbeveiliging database: een stuk of 5000 domeinen en 1.000.000 aanverwante records zijn verwijderd. Bijvoorbeeld sites die overgedragen zijn aan andere organisaties en onjuist gevonden subdomeinen (bij wildcards).
  • De versie-informatie scans zijn een klein beetje getuned, wel jammer dat sommige security vendors dan alsnog een versienummer van hun product adverteren: dan sta je alsnog rood. We kijken naar jou “imunify360-webshield/1.18”.
  • Er zijn afzonderlijke kaarten toegevoegd voor alle lagen van de overheid gebaseerd op het overheidsregister en websiteregister rijksoverheid. Dit wordt regelmatig gesynchroniseerd, dus als je zorgt dat daar je (belangrijkste) domeinen in staan dan staan ze ook op de kaart.
  • Technisch: Dezelfde organisatie kan nu op meerdere kaarten staan, deze delen dezelfde onderliggende data. Organisaties willen weleens van naam wijzigen, hebben een andere naam in de volksmond en hebben per databron ook altijd een andere naam.
  • En natuurlijk weer een hele sloot aan kleine verbeteringen en fixes.

Basisbeveiliging+

  • (2022) Rapporten van tools die kritieke bevindingen kunnen maken worden nu versleuteld opgeslagen met je eigen sleutel. Dit geeft een garantie die niemand behalve jij, dus ook niet Basisbeveiliging, je rapporten kan inzien. Je kan een eigen publieke sleutel instellen, of een publieke/geheime sleutel maken in de interface.
  • Het versturen van mail is verplaatst van Sendgrid naar TransIP.

Wat komt zsm

  • De Gemeentelijke herindelingen zijn weer geweest. We hebben de code klaar staan, maar de brondata zit nog niet in Open Street Maps. Als dat er niet snel is voeren we wat handmatige wijzigingen door die misschien niet perfect zijn, maar wel een vollediger beeld geven van gemeenten.

Zo zien de wijzigingen eruit

Lijstje van kaarten
Kaarten gebaseerd op databronnen van het rijk

Nieuwe metingen (februari 2023) – Security.txt, RPKI

Security.txt

We kijken en publiceren nu ook metingen over security.txt. We beoordelen deze op drie manieren:

  • Aanwezig: dan is het goed
  • Ontbreekt op een subdomein: dan krijg je een info score (dit is nu groen). Eigenlijk hoort security.txt op alle domeinen en subdomeinen beschikbaar te zijn, maar dat is een klus. Dus we beoordelen alleen het ontbreken op het hoofddomein nu als onvoldoende (oranje).
  • Ontbreekt op domein: je krijgt dan een oranje score. Het niet hebben van een security.txt bestand betekent dat je kritieke informatie over kwetsbaarheden kan missen. Het samenstellen van een security.txt bestand kan o.a. door dit formuliertje in te vullen. Zet dan het bestand op je webserver. We meten dit elke paar dagen. Het oplossen hiervan is vooral procesmatig (wie krijgt de meldingen), het maken en plaatsen van een tekstbestandje is een kwetsie van een paar minuten en een kleine wijziging.

Deze nieuwe meting komt van internet.nl, en is ontwikkeld door dcypher en internet.nl.

RPKI Aanwezigheid

We kijken nu of RPKI aanwezig is voor webservers en e-mail diensten. We beoordelen dit op de volgende manieren:

  • Aanwezig: we keuren het goed. Andere RPKI metingen tonen we niet, het kan dus zijn dat de geldigheid is verlopen of dat de RPKI naar de nameserver niet juist is. Met deze ene meting proberen we het belangrijkste resultaat te vatten. Als iedereen dit goed doet, dan kunnen we de volgende aanzetten.
  • Afwezig: we keuren het als ‘middenmoot’ dus oranje. RPKI is kritiek voor een veilig internet, maar een organisatie kan naast melden/waarschuwen niet direct actie ondernemen omdat de organisatie niet geheel verantwoordelijk is voor het onderliggende internetverkeer. Een organisatie kan wel kiezen om naar een andere hoster te gaan bijvoorbeeld: maar het is makkelijker als groep klanten druk uit te oefenen om dit gewijzigd te krijgen.

Deze nieuwe meting komt van internet.nl, en is ontwikkeld door het Nationaal Cyber Security Centrum (NCSC) en internet.nl.

Zo zien de resultaten eruit

Een niet geslaagde test voor security.txt op het hoofddomein.
Een geslaagde RPKI meting