Meetbeleid Basisbeveiliging.nl

Basisbeveiliging meet en publiceert alle metingen rondom online veiligheid dat verantwoord is om te publiceren, meer daarover staat in het publicatiebeleid. Daarnaast gebruiken we de afwegingen in onze code of conduct om te bepalen welke metingen worden toegevoegd.

In dit artikel staat welke metingen worden gedaan rondom welke technieken. Een volledige lijst hiervan, met referenties, staat onder het kopje “overzicht van alle metingen”.

Dit meetbeleid is altijd in ontwikkeling en speelt in op nieuwe ontwikkelingen. Op dit meetbeleid zijn een aantal uitzonderingen, deze worden omschreven in de uitzonderingen op het meetbeleid.

Lees onze disclaimer voor het gebruik van de meetgegevens. Bij vragen, neem contact op met info@internetcleanup.foundation.

In dit artikel staat:

• Informatie over de actualiteit van metingen
• Hoe metingen over tijd strenger worden gewaardeerd (roadmap)
• Een overzicht van alle afzonderlijke metingen
  • Inclusief links daar documentatie en test-tools

Actualiteit van de metingen

Metingen worden dagelijks tot wekelijks uitgevoerd, dit hangt af van de complexiteit en intensiteit van de metingen. Een enkele inventarisatiemeting wordt eens per half jaar uitgevoerd omdat deze luidruchtig is, de herhalingsmeting hiervan vindt dan wel plaats eens per week.

Door de meetfrequentie is data in de rapporten gebruikelijk nooit ouder dan een week. Als dat wel zo is dan is er iets bijzonders aan de hand. Wij werken nog aan functionaliteit dat metingen ouder dan twee maanden nooit in de rapporten verschijnt, en deze duur te verkorten naar hoogstens een maand.

Het is altijd te zien hoe oud een meting is in de detailrapportage. Dit staat bij iedere meting onderaan de meting. Zo zie je in het voorbeeld hieronder dat de meting sinds 22 dagen hetzelfde is en dat de laatste meting 1 dag geleden heeft plaatsgevonden.

Daarnaast is op iedere kaart de datakwaliteit van de kaart in te zien. In dat overzicht is te zien welke metingen worden uitgevoerd en hoeveel hiervan up to data / verouderd zijn. In dit overzicht worden metingen ouder dan 7 dagen gezien als verouderd. Dit is ook in het voorbeeld hieronder te zien.

De datakwaliteit zit onder het bolletje linksboven op de kaart. Dit bolletje kleurt mee afhankelijk van de kwaliteit. Als deze op oranje of rood staat is er dus iets aan de hand. Gebruikelijk staat deze op een groen bolletje. Als alles up to date is staat hier een regenboog.

Roadmap van strenger wordende metingen

Na verloop van tijd wordt er strenger gecontroleerd. Zo zijn sommige bevindingen nu nog groen of oranje, maar worden deze in de toekomst rood.

Een nieuwe meting wordt vaak als oranje of groen geintroduceerd zodat men hier aan kan wennen en kan handelen voordat deze op rood staat.

De roadmap hiervan is nog gefragmenteerd en niet opgesteld. Bij de introductie van afzonderlijke metingen wordt hier vaak e.e.a. over gezegd. Deze informatie wordt nog verzameld.

Overzicht van alle metingen

Hier staat een overzicht van alle metingen, beoordelingen, documentatie en tooling om zelf te kunnen meten. Wanneer dit allemaal juist wordt toegepast wordt de organisatie groen op de kaart gezet.

Wanneer een organisatie haar online dienstverlening bijhoudt en doet aan minimalisatie hiervan is het niet al te lastig om op oranje of zelfs groen te komen.

Veilige domeinnaam (DNSSEC)

• Doel: Zekerheid geven over het domeinnaam en de inhoud van de site
• Zwaarste beoordeling: Rood
• Gemeten met: dnssec.pl tool
• Documentatie: internet.nl, OpenCRE, Wikipedia
• Na te meten op o.a.: Zonemaster, internet.nl, verisign labs, DNS Visualizer

# level: url
dnssec

TLS op Website (HTTPS)

• Doel: Toepassen van versleuteling: dat een websitebezoek vertrouwelijk en integer is. Controleren dat vertrouwen op orde is en er geen kwetsbaarheden in de versleuteling zitten.
• Zwaarste beoordeling:Rood
• Gemeten met: Qualys SSL Labs
• Documentatie: TLS Instellingen, Wikipedia
• Na te meten op o.a.: SSL Labs

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Site zonder versleuteling (HTTPS)

• Doel: Toepassen van versleuteling, zelfde als TLS op Website
• Zwaarste beoordeling:Rood
• Gemeten met: Eigen scanner
• Documentatie: TLS Instellingen, Wikipedia
• Na te meten op o.a.: SSL Labs, internet.nl

# level: endpoint
plain_http

Bestandsoverdracht (FTP)

• Doel: Toepassen van versleuteling
• Zwaarste beoordeling:Rood
• Gemeten met: Eigen scanner
• Documentatie: Wikipedia
• Na te meten op o.a.: ftptest.net

# level: endpoint
ftp

Software versieinformatie (Banners)

• Doel: weghalen van versie-informatie want dat is alleen handig voor aanvallers
• Zwaarste beoordeling:Rood
• Gemeten met: nmap
• Documentatie: Wikipedia, nmap
• Na te meten op o.a.: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

E-mail veiligheid (STARTTLS, DMARC, DKIM, SPF)

• Doel: Integriteit en vertrouwelijkheid van e-mail te waarborgen
• Zwaarste beoordeling:Rood
• Gemeten met: internet.nl
• Documentatie: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Na te meten op o.a.: internet.nl, dmarcian, mxtoolbox

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Login Portals

• Doel: Geen wereldwijde en publieke functionaliteit bieden die bedoeld is voor een kleine groep mensen, met name om beheerdersfunctionaliteit af te schermen.
• Zwaarste beoordelingRood
• Gemeten met: Nuclei
• Documentatie: Wikpedia
• Na te meten op o.a.: bekijk de links in de bevindingen. Staat hier een login-portal? Dan is de bevinding nog steeds geldig. Deze portals staan op een speciale pagina genaamd Login Plaza.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Tracking Cookie zonder toestemming

• Doel: Tracking cookies mogen nooit zonder toestemming worden geplaatst. Door dit inzichtelijk te maken kunnen bouwers van websites deze cookies verwijderen.
• Zwaarste beoordeling: Oranje, Roodvanaf januari 2024.
• Gemeten met: Eigen scanner obv Playwright
• Documentatie: tbd
• Na te meten op: tbd

# level: endpoint
web_privacy_cookie_products_no_consent

Eigenaar van het internetadres (WHOIS)

• Doel: Administratie van domein op orde krijgen. Een buitenstaander kan controleren dat de site van de juiste organisatie is bij SIDN.
• Zwaarste beoordeling: Oranje
• Gemeten met: Eigen scanner
• Documentatie: SIDN, Wikipedia, OpenCRE
• Na te meten op o.a.: SIDN

# level: url
whois_domain_ownership

Veilige verbinding volgens NCSC-NL eisen (TLS)

• Doel: Toepassing van versleuteling, meten wettelijke eisen
• Zwaarste beoordeling:Oranje
• Gemeten met: internet.nl
• Documentatie: Wet, Uitleg van de wet, Technische eisen
• Na te meten op o.a.: internet.nl

# level: endpoint
internet_nl_web_tls

Security.txt

• Doel: Het kunnen ontvangen van meldingen over ernstige online kwetsbaarheden.
• Zwaarste beoordeling:Oranje
• Gemeten met: internet.nl
• Documentatie: internet.nl, Wikipedia, securitytxt.org
• Na te meten op o.a.: internet.nl

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Vertrouwen in de routing van het internetverkeer (RPKI)

• Doel: Zekerheid dat internetverkeer via de juiste weg gaat
• Zwaarste beoordeling:Oranje
• Gemeten met: internet.nl
• Documentatie: Wikipedia
• Na te meten op o.a.: internet.nl, ripe

# level: endpoint
internet_nl_web_rpki_exists

HSTS header

• Doel: Afdwingen van versleuteling op websites zolang browsers dat niet doen
• Zwaarste beoordeling:Oranje
• Gemeten met: Eigen scanner
• Documentatie: MDN, Wikipedia
• Na te meten op o.a.: securityheaders.com, internet.nl
• Let op: includesubdomains en preload wordt genegeerd, voor het geval dat preload niet is bijgewerkt en een bezoeker landt op een subdomein zonder HSTS header.

# level: endpoint
http_security_header_strict_transport_security

Websitebezoek respecteert privacy

• Doel: Vertrouwelijkheid van een bezoek, dat er geen reclames op je worden gericht na een bezoek
• Zwaarste beoordeling:Oranje
• Gemeten met: Eigen scanner
• Documentatie: Boekje privacy bewuste sites bouwen, Disconnect.me, Google Analytics verbod
• Na te meten op o.a.: Webkoll, Privacyscore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Overbodige dienstverlening (open poorten)

• Doel: Het minimaliseren van online dienstverlening. Het publieke internet hoeft alleen diensten te bevatten die voor iedereen wereldwijd beschikbaar horen te zijn.
• Zwaarste beoordeling:Oranje
• Gemeten met: Nmap
• Documentatie: Wikipedia (open poorten)
  • Na te meten op o.a.: ipvoid

# level: endpoint
ports

STARTTLS Aanwezigheid (e-mail)

• Doel: het als afzender versleuteld een e-mail kunnen sturen naar de mailserver.
• Zwaarste beoordeling:Oranje
• Gemeten met: internet.nl
• Documentatie: internet.nl
  • Na te meten op o.a.: internet.nl

# level: endpoint
internet_nl_mail_starttls_tls_available

E-mail versleuteling volgens eisen NCSC

• Doel: het als afzender versleuteld een e-mail kunnen sturen naar de mailserver.
• Zwaarste beoordeling:Oranje
• Gemeten met: internet.nl
• Documentatie: internet.nl
  • Na te meten op o.a.: internet.nl

# level: endpoint
internet_nl_mail_dashboard_tls

Locatie van server (IP Geolocatie)

• Doel: Verwerking van gegevens in NL/EU, meten wettelijke eisen. Zorgen dat alle diensten op eigen (juridisch) grondgebied zitten.
• Zwaarste beoordeling:Groen (tijdens introductieperiode),Oranje na Oktober 2023
• Gemeten met: Maxmind, Ripe (voor enkele correcties)
• Documentatie: Wet verbod verwerken gegevens buiten EU (Matomo)
• Na te meten op o.a.: InfoByIP, geolocation.com, iplocation.io (niet al deze sites hebben dezelfde geolocatie database)

# level: url
location_server
location_mail_server
location_third_party_website_content

Overige Website headers (X-Frame-Options etc)

• Doel: Veilige instellingen bij het bezoek aan website
• Zwaarste beoordeling:Oranje (geen CSP EN x-frame-options),Groen (rest)
• Gemeten met: Eigen scanner
• Documentatie: Algemeen (OWASP), CSP header, Permissions Policy, Referrer Policy, X-Content-Type-Options, Clickjacking,
• Na te meten op o.a.: securityheaders.com, internet.nl

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)