updates

Updates April 2024

Website portfolio bijgewerkt

Het website portfolio is een onderbelichte feature van basisbeveiliging. Dit overzicht is bijgewerkt waardoor het beter inzetbaar is voor veiligheidsdoelen. Bijvoorbeeld controle of alle sites de verwachte layout hebben of dat er geen cookiebanner op staat. Voorbeeld: rapport.

Nieuwe domeinen van digitoegankelijk

De kaarten van de overheid zijn in de afgelopen week een stuk meer oranje en rood geworden. We hebben namelijk de domeinen van digitoegankelijk toegevoegd. Zij hebben met de hand uitgezocht welke overheid voor welke domeinen verantwoordelijk is. Dit is een enorme klus.

Niet alle domeinen uit deze lijst zijn meegenomen. Domeinen die direct naar een leverancier wijzen zijn eruit gehaald. Ook als er geen absolute zekerheid is over het eigendom van het domein (aangegeven met de letter “Z”) wordt deze niet meegenomen. Met de hand hebben we enkele fouten hersteld.

Deze import heeft meer dan 3000 adressen opgeleverd. Veel hiervan zullen subdomeinen hebben. We zijn er ook achter gekomen dat we een kleine 400 kleinere overheden nog missen op de site. Deze worden dit jaar toegevoegd.

Upgrades zoekmachine

Vanwege de nieuwe kaartlagen waar veel namen hetzelfde zijn (bijvoorbeeld basisschool de Regenboog), zijn plaatsnamen toegevoegd aan onderwijsinstellingen.

Zoeken is versneld door veel ongebruikelijke zoektermen te verwijderen. Ook worden de resultaten gesorteerd op relevantie waardoor meestal de juiste organisatie staat voorgeselecteerd.

Daarnaast zijn er een paar foutjes opgelost in de zoekbalk op de kaart, zodat deze minder vaak vastloopt.

Achter de schermen

Helpdesk

De grote en onophoudende stroom aan e-mail vraagt een andere manier van werken. Daarom hebben we nu een helpdesksysteem. Dit maakt multiplayer behandeling van tickets mogelijk. Ook kunnen we wat standaardantwoorden gebruiken. Hiervoor gebruiken we zammad.

Uw tickets worden onder andere beantwoord door de vriendelijke meneer achter het bureautje in de overslagcontainer zoals op de foto.

Deze vriendelijke en welbespraakte meneer is een van de mensen die uw tickets zal behandelen

Compressie in de database

Onze database is uit de klauwen aan het groeien, maar dat is geen echt probleem omdat er genoeg mogelijkheden zijn om te optimaliseren.

Een van de mooie optimalisaties is het gecomprimeerd opslaan van tussentijdse resultaten. Dit scheelt 130 gigabyte aan schijfruimte zonder dat er iets verloren gaat. Hiervoor hebben we een speciaal veldtype geschreven in Django dat JSON data gezipt opslaat op alle databases die worden ondersteund door het webframework. Dit was eigenlijk niet eens heel moeilijk.

Tussentijdse rapportages van domeinen worden nu gecomprimeerd opgeslagen. Dit scheelt 130 gigabyte in de database. Dit at de hele harde schijf op. Nadeel is dat dit iets langzamer is waardoor er binnenkort op een andere manier moet worden gerapporteerd. Code staat hier met een testcase.

Updates Februari 2024

Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023.

Klassement

Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met elkaar vergelijken op alle metingen. Lees meer hierover in de blogpost.

Upgrades overzicht metingen

De voorste pagina van het rapport bevat een overzicht van alle metingen. Dit wordt o.a. gebruikt voor compliance door een aantal organisaties. Om dit nog makkelijker te maken zijn de volgende dingen toegevoegd:

Er staat een datum & tijd op de volledige schermweergave
De lijst is als CSV te downloaden, zodat deze makkelijk te delen is met collega’s
Als iets vaker dan 1x voorkomt staat het erbij
Het verklaringssymbool verschijnt nu alleen als alle bevindingen zijn verklaard

Voorbeeld datum en tijd voor compliance doeleinden

Onlangs bekeken

Op de voorpagina en de rapportenpagina staan nu de onlangs bekeken rapporten. Deze lijst wordt in de browser opgeslagen en scheelt weer wat klikken.

Totalen slechtste en beste

De totalen van beste en slechtste worden nu in de tabbladen weergegeven, zoals te zien is in de schermafbeelding hieronder.

Overige kleine wijzigingen

De kaart voor de zorg heeft twee subkaarten: GGD en Ziekenhuizen
Er zijn ±15.000 domeinen uit de database verwijderd die al een tijd op “soft delete” stonden.
De kaarten laden iets sneller omdat popups nu ad-hoc worden aangemaakt
De keuzenlijsten van organisaties bij rapporten en de voorpagina worden nu per 100 stuks ingeladen, in plaats van alles in 1x, dat is sneller. Zoeken werkt nog hetzelfde.
Er is een uitzondering gemaakt op basis van ISP. Voor cloudflare keuren we een bepaalde open poort goed (tijdelijk).
Status pagina bijgewerkt voor previews van nieuwe kaarten.

Updates December 2023

Security van Cybersecuritybedrijven

De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op beterschap de komende periode. Lees hier het hele artikel.

Dashboard volgcookies

De voorpagina van basisbeveiliging is aangepast. Een aantal menu-items zijn even weggehaald omdat ze wat onderhoud nodig hebben. In plaats daarvan hebben we een volgcookie dashboard toegevoegd. Hierop zie je per doelgroep hoeveel procent van de gemeten organisaties zonder toestemming volgcookies plaatst.

Eerste fase opruiming kaarten

Kaarten van veiligheidsregio’s en waterschappen bestaan nu uit vlakken, dat ziet er een stuk mooier uit. Ook zijn er enkele domeinen toegevoegd en was er een ontbrekende organisatie toegevoegd.

Onderdelen van rapporten zijn nu met een directe link te zien

Het is nu mogelijk om links te delen van tabbladen in de rapportages. Ook kan je daar filteren welk domein je wil zien. Zo kan je bijvoorbeeld de volgcookies van bepaalde politieke partijen direct bekijken.

Kaarten toegevoegd van de bijzondere gemeenten

De bijzondere gemeenten, of openbare lichamen, of BES eilanden hebben ieder een eigen kaart gekregen. Deze kaarten bevatten nu nog een enkele organisatie, er zullen er ongetwijfeld meer zijn, dus die voegen we toe in 2024.

Vertalingen van kaartlagen

Kaartlagen kunnen nu vertaald worden in meerdere talen zonder dat de broncode hoeft worden aangepast. Dit maakt het toevoegen van nieuwe kaarten een stuk makkelijker.

Andere kleine wijzigingen

De risicosamenvattingstabel is nu ook op volledig scherm te openen. De lijst wordt al snel te groot.

Er zijn kleine wijzigingen gemaakt voor betere weergave op mobiele telefoons.

Updates November 2023

Nieuwe meting over ongevraagde tracking cookies

De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij de overheid, zorg, politieke partijen en cybersecuritybedrijven.

Certificaten expert overzicht

De rapportage bevat nu ook een handig tabblad met daarop alle certificaten. Hierdoor is het makkelijk terug te vinden waar problemen zitten.

Cookie expert overzicht

Bij de rapportage is ook het tabblad “cookies” toegevoegd. Hierop zijn allerlei cookies terug te vinden. Let op dat hier zeker niet alle cookies staan, omdat we nog niet alles aan een product hebben gekoppeld. Hier kan je wel alle ongevraagde tracking cookies vinden zoals omschreven in het artikel hierover.

Beter deelbare pagina’s op de site (deel 1)

We zijn de website beter deelbaar aan het maken. Onder andere door directe links naar rapporten en kaarten. Hier wordt e.e.a. gesloopt/aangepast zodat de complexiteit van de site wordt verlaagd.

In deel 2 verwachten we de komende weken ook directe links naar bovenstaande expert views of filters op domeinen en bevindingen.

Fix voor onterechte versienummer beoordelingen

Bij het meten van versienummers kijken we naar het IP adres van een server. Deze kan wisselen over tijd en vaak is er sprake van meerdere adressen waarvan er eentje wordt teruggegeven (waardoor dit adres lijkt te wisselen).

Door een vergissing keken we bij de beoordeling ook naar historische data bij het uitdelen van een beoordeling, hierdoor kregen sommige domeinen onterecht een melding van een versienummer mee omdat ze vroeger een ander IP adres hadden.

Ook is de monitoring op ip-adressen ook aangepast: als het bij ons bekende actuele IP adres valt onder de adressen die we terug krijgen van de DNS server verandert er niets. Partijen als Cloudflare zorgen ervoor dat deze strategie niet werkt, dus daar blijven we wat teveel ip-adressen opslaan. Toch scheelt dit een groot aantal adressen en overbodige data.

Tuning en optimalisaties

Met nieuwe lagen zoals politieke partijen lopen we tegen nieuwe bottlenecks aan. We vonden o.a. dat een simpele vraag aan de database als “hoeveel meetpunten hebben we” snel 20 seconden duurde. Dit soort uitdagingen horen erbij en hebben naast het maken van de nieuwe cookie meting het meeste tijd ingenomen. Er is onder andere getuned in:

90% minder data in het takengeheugen bij het maken van rapporten
Niet berekenen hoeveel regels er zijn bij sommige tabellen: dat is toch waardeloos bij deze aantallen: de beheerinterface is hierdoor weer snel
verwijderen en optimaliseren van duplicaat-resultaten
minder checks voor het inplannen van scans, waardoor dit veel sneller is geworden

Diverse tuning en optimilisaties in de backend om zo meer te kunnen meten. Binnenkort migreren we naar een nieuwe server met meer capaciteit.

Updates Augustus 2023

Meting toegevoegd over de locatie van dienstverlening (in de EU+GDPR zone)

Er wordt gekeken waarvandaan online diensten worden verleend: van de server, e-mail server(s) en waar de inhoud van de website vandaan komt. 10% van de mailservers staat buiten de EU+GDPR zone. Het risico wordt tijdens de proefperiode als ‘laag’ ingeschat. Lees alle resultaten en achtergronden in dit artikel.

Nieuwe documentatie

Er zijn twee stukken documentatie online gezet:

het Meetbeleid: achtergrondinformatie over alle metingen op één logische plaats. Hier staat wat wordt gemeten, welke impact het maximaal heeft, met welke tool dit gebeurt en waar je deze meting zelf kan doen en documentatie erover kan vinden.
een handleiding: “Binnenkort op Basisbeveiliging, wat nu?” met hierin uitleg wat Basisbeveiliging is en handvatten naar alle belangrijke informatie zoals het meetbeleid, publicatiebeleid, de motivatie, de stichting en meer. Organisaties die nieuw op de kaart komen te staan sturen we ook deze link toe.

Bevindingen verrijkt met OpenCRE nummer

Waar mogelijk zijn bevindingen verrijkt met een OpenCRE nummer.

Dit nummer dient als “gateway” tot alle referenties naar alle verschillende beveiligingsstandaarden waarin deze specifieke beveiligingseis wordt genoemd of overduidelijk onderdeel van is.

Bijvoorbeeld is de toepassing van HSTS te vinden onder CRE: 036-147. Dit is onder andere verplicht volgens ASVS V14.4.5, CWE 523, CAPEC 3.9: 102, SAMM: O-EM-A, NIST SSDF : PW 5.1, AIS-06, NIST 800-53, OWASP Top 10 2021 A05 enzovoort.

Nog niet alle standaarden en raamwerken worden hierin genoemd, bijvoorbeeld NEN7510 en de bio (maar wel het achterliggende ISO27002). Omdat CRE een gemeenschappelijk project is hebben wij hoop dat er iemand ook deze standaarden daar toevoegt.

Ook zien we nog niet specifiek punten over security.txt, DNSSEC, DMARC en DKIM, maar wel oudere gangbare technische eisen. Ook hier geldt weer dat we verwachten dat de security-gemeenschap dit zal aanvullen.

Overigens is het wel leuk om te wijzen naar een bekende illustratie van de website XKCD. Alle security-raamwerken die worden vrijgegevens zijn grofweg re-hashes van andere raamwerken. OpenCRE is daar dan weer het toppunt van, met opnieuw eigen aanduidingen die veel omvatten en toch weer net niet. Dit gaat ongetwijfeld weer voor verwarring zorgen waardoor er binnenkort weer een nieuw raamwerk wordt gepresenteerd.

Verplicht plaatje als het gaat over standaarden. Bron: https://xkcd.com/927/

Vernieuwde HSTS meting

De HSTS header meting is opgefrist. Er wordt nu in de hele ketting van een bezoek gekeken of de header aanwezig is. Het bewijs van de meting is nu ook volledig in te zien, waardoor je ook alle tussenliggende doorverwijzingen kan zien en dus waar iets ontbreekt.

Wij verwachten per host waar https wordt gebruikt dat er ten minste 1x een HSTS header wordt ingezet. Daardoor wordt die host veilig(er). In het voorbeeld hieronder zie je dat dit in stap 3 niet gebeurt. Heel veel scanners kijken alleen naar stap 4, en slaan dus de controle over op stap 1, 2 en 3.

Een voorbeeld van een bezoek aan example.com:

Een verzoek wordt gestuurd aan http://example.com.
- Antwoord: doorsturen naar https://example.com. Op http antwoorden is geen HSTS header nodig.
Een verzoek wordt gestuurd aan https://example.com.
- Antwoord: doorsturen naar https://belangrijkeorganisatie.com. In dit antwoord zit een HSTS header.
Een verzoek wordt gestuurd aan https://belangrijkeorganisatie.com
- Antwoord: doorsturen naar rijksoverheid.nl. In dit antwoord zit geen HSTS header, hier ontbreekt HSTS dus in de ketting.
Een verzoek wordt gestuurd aan https://rijksoverheid.nl
- Antwoord: een webpagina. In dit antwoord zit een HSTS header.

G1 overheidscertificaat toegevoegd

Het onderliggende G1 Service certificaat wordt nu ook vertrouwd.

Bugfixes

Een van de rapporten was onleesbaar geworden, waardoor kaarten niet meer verschenen en geen nieuwe rapporten werden gemaakt. Er wordt nu rekening mee gehouden dat rapporten onleesbaar kunnen zijn. Hierdoor wordt deze fout automatisch hersteld.

Diverse kwetsbaarheden in de software die we gebruiken zijn gepatched.

Het veld voor bewijsvoering is nu vergroot tot nagenoeg oneindig. Bij sommige metingen komt nogal veel data terug. Deze is nu volledig in te zien op de site. Bijvoorbeeld bij de HSTS header meting.

Plus

Het is mogelijk zelf gebruikers aan te maken onder een account. Je kan tot 10 gebruikers aanmaken. De gebruikersnaam moet minimaal 10 karakters lang zijn (zonder speciale tekens).

Updates – Juli 2023

Meer duiding en omlijsting

We zijn meer kennis rondom de stichting aan het uitschrijven: wat doen we, hoe doen we dat en wat betekent dit. De eerste stukken hiervan staan nu online:

De uitzonderingen op het meetbeleid zijn nu opgesomd en centraal publiek inzichtelijk. Dit wordt gebaseerd op de stroom aan comply or explain berichten die we wekelijks krijgen.
Een disclaimer rondom de inhoud van de site en expliciet de metingen.
De Responsible Disclosure / Coordinated Vulnerability Disclosure pagina is verplaatst naar de site van de stichting omdat het hier makkelijk in is te onderhouden.

Deze links zijn terug te vinden in de footer van basisbeveiliging.nl. Er volgt binnenkort meer, zoals de code of conduct.

Metingen

Overheids-niveau TLS meting toegevoegd

Zie voor meer informatie de blogpost, hier.

Privacy-scan aangezet op alle subdomeinen en completere resultaten

Alle subdomeinen worden nu meegenomen in de privacy scan. Dat betekent dat er behoorlijk veel meetpunten zijn bijgekomen.

Daarnaast is de meting voorzien van extra informatie over welke aanvragen er worden gedaan naar externen. Voorheen waren alleen de links te zien, nu kan je zien waar de aanvraag vandaan komt: afbeeldingen, scripts, fetch, xhr, fonts etcetera. Je ziet ook wat wordt meegestuurd. Soms wordt er namelijk alleen een extra (POST) verzoek gedaan om zo te kunnen tracken zonder cookies.

Nieuwe uitgebreide meetgegevens in de privacymeting

Goedgekeurde versie-informatie

Het SSH protocol vereist dat er staat welke versie wordt gebruikt, zodat er bepaald kan worden welke features worden ondersteund. Dat is ergens te begrijpen. Omdat het onderdeel van het protocol is, moeten we het nu goedkeuren. Echter is er ook ruimte om “comments” mee te geven in de identificatie. Alle gevallen met comments keuren we niet goed, omdat dit geen onderdeel is van de negotiation en dus volledig optioneel is. Je kan deze comments uitzetten.

Dat de versie wordt goedgekeurd zegt niets over of de versie veilig is. Zo op het eerste gezicht vinden we het vanuit een security-standpunt onverklaarbaar waarom er informatie over de host gedeeld moet worden voor negotiation, maar daar is vast goed over nagedacht.

Goedgekeurd: ssh-2.0-openssh_5.8
Afgekeurd: ssh-2.0-openssh_5.9p1 debian-5ubuntu1.10

Lees verder: www.openssh.com/txt/rfc4253.txt, punt 4.2 Dit is ook opgenomen in de uitzonderingen op het meetbeleid.

Whois informatie meting gefixt

De SIDN api gaf ook antwoord op domeinen buiten het bereik. Als je daar zoekt naar apple.com krijg je de resultaten van apple.nl. Deze fout is rechtgezet aan onze kant: er wordt alleen nog op .nl domeinen WHOIS informatie opgevraagd.

Security.txt metingen hebben nu meetgegevens

Het is nu in te zien waarom security.txt metingen falen. Dat omdat de meting recentelijk is gewijzigd: het bestand moet op een nieuwe regel eindigen anders is het ongeldig.

Op de site

Filtering in rapporten

Het is nu mogelijk om op bevinding te filteren in rapporten. Dit is nog een redelijk basaal filter wat niet alle domeinen zonder resultaten weghaalt. Dat komt in een volgende versie. Het helpt in ieder geval om snel de juiste metingen te vinden omdat de rest onzichtbaar wordt.

Comply or explain bug opgelost

Sommige verklaringen werden nog niet meegenomen in de statistieken en rapporten. Daardoor week de kleur van de kaart en de statistieken af van de inhoud van het rapport. Deze lopen, na een paar dagen lang puzzelen, helemaal gelijk. Hiermee is een lang uitstaande bug opgelost (en zijn er vast weer twee nieuwe bijgekomen, want zo werkt dat met software).

Overig

Bij het importeren van organisaties worden nu arbitraire velden ondersteund. Dit is handig om op een later moment te kunnen filteren.
Er is meer logging toegevoegd aan de ‘ontbrekende tls’ meting. Deze geeft af en toe false positives en daar willen we vanaf. Dit is een traag proces en we verwachten dat het heel even duurt voordat alles weg is.
Het toevoegen en verwijderen van endpoints wordt nu gelogd en omgezet naar grafieken, hierdoor kunnen we grote verschuivingen detecteren en bepalen of er iets mis is met de internetverbinding of de meting.
HSTS meting bevatte een bug waardoor de meting qua bewijsvoering ‘klapperde’.

Updates – Juni 2023

De grote wijzigingen: volledige security scans in Basisbeveiliging+ en aankomende geografische metingen. Lees hieronder het overzicht van nieuwe features voor Juni!

Nieuw in Basisbeveiliging

Aankomende meting: Geografische Afbakening Online Overheid

IT dienstverlening van de overheid hoort binnen Europa (en liefst Nederland) te gebeuren. Hiervoor hebben we een meting toegevoegd die later deze maand openbaar wordt. We zijn het beleid aan het opstellen en aan het experimenteren met hoe we dit gaan weergeven. Zie voor meer hierover de blogpost.

Uitzonderingen op basis van inhoud van de website

We kunnen vanaf nu uitzonderingen maken op basis van de inhoud van een website. Dit passen we nu toe voor Cloudflare, die als grote leverancier standaard een aantal onnodige poorten openzet.

We vragen gebruikers van Cloudflare dit issue met hen op te nemen, zodat ze kunnen voldoen aan diverse IT standaarden die vereisen dat alleen noodzakelijke poorten openstaan. Dit is door diverse mensen onder de aandacht gebracht de afgelopen maand.

Inhoud van diverse pagina’s. Dit wordt doorzocht bij security policies.

Risicoopsommingstabel is opgedeeld

De tabel met risico’s is nu opgedeeld in categorien. Hierdoor kan je in 1x alle e-mail metingen zien zonder alle extra waardes / lege regels enzo. Dat leest net iets makkelijker. Het eerste tabblad bevat het oude vertrouwde (grote) overzicht.

Herschreven privacyscanner

De privacyscanner is herschreven. Dit heeft een factor 1000 snellere scans opgeleverd die ook nog eens betrouwbaarder en vollediger zijn.

Bedankt / “wordt aan gewerkt” knop

Metingen zijn nu voorzien van een “bedankt”/”wordt opgelost” knop. Hiermee kan je makkelijk waardering sturen naar de stichting, zo weten we een beetje wie de site gebruikt en hoe het wordt ontvangen. De eerste stapel bedankjes zitten al in de mailbox, waarvoor ook bedankt!

Update websiteregister rijksoverheid

De nieuwe namen van overheidsorganisaties van het Websiteregister Rijksoverheid zijn toegevoegd. Ook is een 10 tal nieuwe organisaties toegevoegd.

Voortgang bevat ook de kaart van vandaag

Hier zie je de voortgang van Security.txt, met daarop de voortgang van de adoptie. De kaart wordt langzaam groener, of toch niet…

Basisbeveiliging+

Full Scope Tests!

Volledige scans met professionele security tools. Lees het artikel voor meer informatie.

Updates aan Alert E-Mails

Dagelijkse mails worden weer verstuurd, naast de gebruikelijke instant alert mails. Alert E-Mails bevatten nu ook de meetdata als JSON attachment. Dit is direct aan een SIEM te koppelen, of anders automatisch te verwerken.

Er worden geen meldingen meer gemaakt van metingen waar een verklaring op zit. Omdat automatische verklaringen soms later worden toegevoegd kan het zijn dat er weleens wat overbodigs wordt meegestuurd.

Overig

De herscan knop is gefixt, herscans worden weer ingepland.

Updates (mei 2023)

Nieuwe subdomein scanner OWASP amass is toevoegd. Hiermee kan op tientallen manieren naar subdomeinen worden gezocht. Komen we daarmee eindelijk op de 100.000 overheidsdomeinen?

Domeininformatie van het SIDN wordt nu ingelezen. Dit om verlopen / uit handen gegeven domeinen te kunnen herkennen en makkelijk te kunnen verwijderen. Dank aan de SIDN voor het bieden van de who-is api.

Een domein dat van eigenaar is veranderd. Hier zie je dat het domein opnieuw is geregistreerd sinds dat we het monitoren. We kunnen dit domein en alle subdomeinen in 1x verwijderen. Dat maakt het onderhoud van de site behapbaar.

De website ondersteunt nu geolocatie: dus je kan makkelijk vinden welke organisaties in jouw buurt zitten zonder de kaart te hoeven doorzoeken. Geolocatie wordt gebruikt op de voorpagina en op de kaarten-pagina. Mogelijk binnenkort ook nog op andere pagina’s.

Geolocatie op de voorpagina. In Arnhem zie je een gemeenschappelijke regeling, de gemeenten arnhem, rheden, westervoort en lingewaard, daarna meer regelingen en ook bijvoorbeeld het Rijnstate ziekenhuis.

Op de gemeentekaart zie je alleen de gemeenten om je heen.

De voortgang-pagina is opgeruimd en heeft nu permanente links. Je kan nu direct zien wat de toename is van security.txt voor bijvoorbeeld gemeenten en provinices.

Op de voortgang pagina is te zien dat het aantal security.txt toepassingen is gestegen van 28 naar 41. Er zijn ook kleine getallen linksonder op de kaart geplaatst waarmee je snel kan zien wat de absolute aantallen zijn.

Aanpassingen in metingen

De bannergrab scanner is bijgewerkt, waardoor bevindingen worden opgeslagen als https/443 als http/443 wordt gevonden. Wij gebruiken “https” als protocol waar nmap vaak “http” ziet omdat de webserver een “http” status pagina geeft waarop staat dat je de site via “https” moet bezoeken.

Idem zijn de protocollen ‘gnutella’, ‘ssl’ en ‘ms-wbt-server’ teruggebracht naar https. De 160.000 endpoints hiervoor zijn verwijderd en de metingen komen terug op https endpoints.

Aanpassingen in django admin

De endpoint pagina is versneld, zoeken op endpoints is versneld.

Er is een bug gefixt waardoor niets meer kon worden opgeslagen van nieuwe scans. Je kan in de onderstaande grafiek zien wanneer die bug was opgelost:

Nieuwe uitzonderingen

We blijven er wel op meten, maar strepen eventuele bevindingen weg op de volgende plaatsen:

Poort 8443 mag open staan voor vpn doeleinden. Dit zien wij onder subdomeinen als ‘thuiswerken’, ‘telewerken’, ‘vpn’, ‘werkplek’ enzovoorts.

Het subdomein ‘sip’ hoeft geen http security headers meer te hebben.

Updates (april 2023)

Er zijn weer een aantal updates doorgevoerd aan basisbeveiliging.

Nieuw

Nieuwe metingen over privacy gaan de 17e live april live.
Voortgang pagina. Hierop kan je de resultaten van een bepaalde meting over verschillende maanden zien. Standaard zijn dat 6 maanden, maar je kan jaren terug. Je kan dit nu het meeste voortgang zien rondom de security.txt meting. Hier een link naar de voortgang van provincies.
Handreiking Comply or Explain. Vanwege de vele Comply or Explain mails is er een pagina toegevoegd met een handreiking over welke verklaringen wel en niet worden geaccepteerd. Deze staat hier.
Ondersteuning voor alternatieve namen. We hebben bijnamen, oude namen, Nederlandse namen van Friese gemeenten en carnavalsnamen toegevoegd van gemeenten die een gelijknamig stad of dorp hebben. Ook kan je nu zoeken naar “mooie stad achter de duinen” voor Den Haag, “Torenstad” voor Zutphen, “Moerasdraak” voor Den Bosch.

Wijzigingen

Logins in het login plaza zijn nu voorzien van een versienummer en een link naar de publiek bekende kwetsbaarheden (zgn CVE’s).
Producten in login plaza zijn nu voorzien van informatie over de maker, wat het kan etc. Dit is aangevuld door ChatGPT 3.5, dus kan wat foutjes bevatten. We herkennen meer dan 250 producten van vele leveranciers.

Fixes

G1 overheidscertificaten worden nu correct automatisch verklaard. Meer hierover in het blogpost.
De nieuwe manier waarop microsoft alleen http aanbiedt op autodiscover domeinen wordt nu meegenomen.
Hertests voor login portals draaien nu.

Updates (maart 2023)

Nieuwe metingen

Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.

Functionaliteit basisbeveiliging.nl

Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
- Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
- Zoeken naar “https://cip-overheid.nl” levert het UWV
- Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
- Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Linkjes naar diverse pagina’s zijn nu ook te zien in de adresbalk . Je kan dus makkelijk een pagina zoals de kaart van de overheid of de kaart van waterschappen delen.
De pas-toe-of-leg-uit pagina is gefixt.
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.

Nieuwe zoekfunctie op basisbeveiliging.nl. Zoeken naar Arnhem levert diverse resultaten over organisaties bij Arnhem.

Data op Basisbeveiliging

Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.