Nieuwe metingen: login portals en het login plaza. Lees er meer over op de eigen blogpost hierover.
Nieuwe meting op de http referrer policy. De standaard is niet privacyvriendelijk, dus we verwachten dat je deze hebt ingesteld op iets dat wel de privacy respecteert zoals ‘no-referrer’ of ‘same-origin’. We kijken nog niet naar de inhoud van deze header, dat gaan we wel doen.
Nieuwe meting op Windows File Sharing / Samba. We verwachten dat deze poorten dicht zitten omdat dit een ongebruikelijke manier is om bestanden te delen via het publieke internet: file hosting kan gewoon via een https pagina met een directory index bijvoorbeeld. Deze hebben we even uitgezet ivm teveel false positives.
Functionaliteit basisbeveiliging.nl
Toevoeging van een maandoverzicht (in beta), waarop de grote wijzigingen van een maand te zien zijn. Dit loopt heel soms nog uit de pas met de echte metingen, ook is de vertaling nog niet helemaal afgerond.
Toevoeging van het Login Plaza per sector. Lees er alles over in het artikel hierover.
Er is een zoekbalk toegevoegd waarmee je kan zoeken over alle kaarten heen. Je kan hier zoeken op organisaties en domeinen. Dus als je wil weten waar die ene domeinnaam bij hoort krijg je ook het antwoord. Wat voorbeelden:
Zoeken naar “zeto okdek nopom” levert het Ministerie van Economische Zaken en Klimaat
Zoeken naar “https://cip-overheid.nl” levert het UWV
Zoeken naar “Gemeente Raalte” levert… je raad het al: Gemeente Raalte.
Door te zoeken naar plaatsnamen zie je ook weleens wat er in de buurt zit, zoals het voorbeeld hieronder, maar dat is omdat ze die plaatsnaam noemen in hun subdomeinen. Het is dus (nog) geen geografische zoekopdracht.
Je kan nu in rapporten aangeven of je hoog, midden, laag of goede bevindingen wil zien. Dat helpt met het focussen bij het oplossen van problemen.
Je kan nu de historie van de grafieken bepalen: 7 dagen, 30 dagen, 90 dagen of 365 dagen. Dat in combinatie met de tijdmachine op de site natuurlijk.
Diverse bugfixes op http header scans. Er zijn nu geen onjuiste metingen meer wanneer we worden doorgestuurd naar een andere site. Ook zijn de header metingen op protocol-mix sites weggehaald, sites zoals http://example.nl:443
Diverse kleine wijzigingen zoals het verplaatsen van de pagina-context naar het hoofdmenu. De rapporten pagina is iets overzichtelijker.
Nieuwe zoekfunctie op basisbeveiliging.nl. Zoeken naar Arnhem levert diverse resultaten over organisaties bij Arnhem.
Data op Basisbeveiliging
Gemeentelijke herindelingen zijn doorgevoerd. We verwelkomen de gemeente Voorne aan Zee. Bij een samenvoeging worden ook alle oude domeinen meegenomen totdat we daar niets meer meten omdat alles is opgeruimd.
We hebben de VNG Realisatie en de VNG samengevoegd tot 1 organisatie. Ironisch genoeg staat deze organisatie op nummer 2 van slechtst beveiligde organisaties op de gemeentekaart, dat terwijl ze een toegewijde informatiebeveiligingsdienst hebben. Ook daarvan hebben we het nieuwe domein informatiebeveiligingsdienst.nl toegevoegd, in de hoop dat dat een goed voorbeeld is voor de rest van de organisatie, want de ibd zelf loopt voorop qua beveiliging.
Afbeelding van de grote getallen in het maandoverzicht.
Deze maand zijn er weer een boel dingen aangepast op basisbeveiliging.nl. Dit is een korte samenvatting:
Basisbeveiliging.nl
Nieuwe metingen: Security.txt en RPKI, lees de blogpost voor meer informatie. Met dank aan internet.nl.
Er is een lijstje toegevoegd onderaan de landingspagina met een samenvatting van alle kaarten. Er worden nu ruim 50.000 domeinen gemeten.
Comply or Explain scan-opvolging is nu gefixt, dus al die standaard microsoft subdomeinen zouden geen problemen meer mogen geven ondanks dat de metingen technisch juist zijn.
Opruiming van de basisbeveiliging database: een stuk of 5000 domeinen en 1.000.000 aanverwante records zijn verwijderd. Bijvoorbeeld sites die overgedragen zijn aan andere organisaties en onjuist gevonden subdomeinen (bij wildcards).
De versie-informatie scans zijn een klein beetje getuned, wel jammer dat sommige security vendors dan alsnog een versienummer van hun product adverteren: dan sta je alsnog rood. We kijken naar jou “imunify360-webshield/1.18”.
Er zijn afzonderlijke kaarten toegevoegd voor alle lagen van de overheid gebaseerd op het overheidsregister en websiteregister rijksoverheid. Dit wordt regelmatig gesynchroniseerd, dus als je zorgt dat daar je (belangrijkste) domeinen in staan dan staan ze ook op de kaart.
Technisch: Dezelfde organisatie kan nu op meerdere kaarten staan, deze delen dezelfde onderliggende data. Organisaties willen weleens van naam wijzigen, hebben een andere naam in de volksmond en hebben per databron ook altijd een andere naam.
En natuurlijk weer een hele sloot aan kleine verbeteringen en fixes.
Basisbeveiliging+
(2022) Rapporten van tools die kritieke bevindingen kunnen maken worden nu versleuteld opgeslagen met je eigen sleutel. Dit geeft een garantie die niemand behalve jij, dus ook niet Basisbeveiliging, je rapporten kan inzien. Je kan een eigen publieke sleutel instellen, of een publieke/geheime sleutel maken in de interface.
Het versturen van mail is verplaatst van Sendgrid naar TransIP.
Wat komt zsm
De Gemeentelijke herindelingen zijn weer geweest. We hebben de code klaar staan, maar de brondata zit nog niet in Open Street Maps. Als dat er niet snel is voeren we wat handmatige wijzigingen door die misschien niet perfect zijn, maar wel een vollediger beeld geven van gemeenten.
Zo zien de wijzigingen eruit
Lijstje van kaartenKaarten gebaseerd op databronnen van het rijk
