image

Apache server-status in Nederland goed ingesteld

vrijdag 16 november 2012, 13:47 door Redactie, 7 reacties

De server-status van webserver Apache is zowel bij de meeste servers van de overheid als populaire websites goed ingesteld. Apache is het populairste webserverplatform voor het hosten van websites. De software beschikt over de module mod_status waarmee eenvoudig technische informatie over de webserver is te raadplegen. Informatie zoals IP-adressen van bezoekers, de bijbehorende http requests, virtuele hosts, uptime en CPU verbruik.

De server-status is, mits ingeschakeld, eenvoudig via http://serveradress.tld/server-status op te vragen. Eind oktober lieten beveiligingsonderzoekers van Sucuri Labs al zien dat bij een aantal populaire sites de server-status benaderbaar is via het internet. Het bleek onder andere dat organisaties als Cisco en Ford op hun websites de server-status open hadden staan.

Nederland
Jasper Nugteren, onderzoeker bij Montelbaan, besloot de situatie voor Nederland te onderzoeken. Hij bezocht de 634 overheidssites van almanak.overheid.nl. Dat leverde op zich een positief beeld op: van deze websites waren er slechts 3 met een server-status die van buitenaf te bekijken is.

De opmerkelijkste gevonden website was http://publiekeomroep.nl/server-status. Maar ook van de websites Veiligheid- en Gezondheidsregio Gelderland-Midden en het College voor de toelating van gewasbeschermingsmiddelen en biociden stonden de server-status open.

Uitschakelen
"Het mag duidelijk zijn dat wanneer de status op Internet beschikbaar is, een Apache server hiermee informatie gevoelige informatie lekt. Informatie over het systeem zelf maar ook de adressen van de bezoekers, die beiden kwetsbaar maakt", aldus de onderzoeker. Die merkt op dat het uitschakelen van de status eenvoudig online te vinden is.

Nugteren keek verder naar de populairste websites van Nederland en Amerika. In Nederland hadden 6 van de 500 sites hun server-status open staan, in Amerika waren dit er 11 van de 500.

Reacties (7)
16-11-2012, 14:15 door SirDice
Jasper Nugteren, onderzoeker bij Montelbaan, besloot de situatie voor Nederland te onderzoeken. Hij bezocht de 634 overheidssites van almanak.overheid.nl. Dat leverde op zich een positief beeld op: van deze websites waren er slechts 3 met een server-status die van buitenaf te bekijken is.
Heeft'ie ook gekeken of zo'n site uberhaubt Apache draait? www.rotterdam.nl bijv. draait op IIS 6.

Dat "positieve" beeld gaat een beetje scheef als er maar 4 apache servers tussen zitten.
17-11-2012, 16:21 door Anoniem
Door SirDice:
Jasper Nugteren, onderzoeker bij Montelbaan, besloot de situatie voor Nederland te onderzoeken. Hij bezocht de 634 overheidssites van almanak.overheid.nl. Dat leverde op zich een positief beeld op: van deze websites waren er slechts 3 met een server-status die van buitenaf te bekijken is.
Heeft'ie ook gekeken of zo'n site uberhaubt Apache draait? www.rotterdam.nl bijv. draait op IIS 6.

Dat "positieve" beeld gaat een beetje scheef als er maar 4 apache servers tussen zitten.

So much for "comply or explain".. ;)
18-11-2012, 15:57 door Anoniem
@SirDice: Dus je denkt dat Nederland er positiever uitspringt omdat we meer IIS draaien? Interessant :-)
19-11-2012, 09:31 door Anoniem
Het verbergen van /server-status riekt wel naar security by obscurity.
Er zijn ook grote sites die /server-status gewoon open hebben staan. b.v.
http://httpd.apache.org/server-status
19-11-2012, 14:01 door SirDice
Door Anoniem: @SirDice: Dus je denkt dat Nederland er positiever uitspringt omdat we meer IIS draaien? Interessant :-)
Begrijpend lezen is niet aan jou besteed.
19-11-2012, 23:26 door Anoniem
Door Anoniem: Het verbergen van /server-status riekt wel naar security by obscurity.
Er zijn ook grote sites die /server-status gewoon open hebben staan. b.v.
http://httpd.apache.org/server-status
Apache.org verwerkt weinig vertrouwelijke gegevens in tegenstelling tot sommige overheidssites. De vergelijk met apache.org loopt dus mank.

Security by obscurity is overigens wat anders. Via server-status krijg je informatie die je niet via een ander kanaal kunt krijgen, de bedoeling is dat je dat van buitenaf niet kunt doen (dat is meen ik de standaardconfiguratie in Apache). Security through obscurity houdt in dat je de werking van een bepaald soort beveiliging of versleuteling geheim houdt, dat is iets heel anders dan niet toegankelijk maken van statusinformatie over een webserver.
23-11-2012, 09:41 door Anoniem
Door SirDice:
Jasper Nugteren, onderzoeker bij Montelbaan, besloot de situatie voor Nederland te onderzoeken. Hij bezocht de 634 overheidssites van almanak.overheid.nl. Dat leverde op zich een positief beeld op: van deze websites waren er slechts 3 met een server-status die van buitenaf te bekijken is.
Heeft'ie ook gekeken of zo'n site uberhaubt Apache draait? www.rotterdam.nl bijv. draait op IIS 6.

Dat "positieve" beeld gaat een beetje scheef als er maar 4 apache servers tussen zitten.

Na een beetje gegoogle.

Er is een 'outdated' onderzoek uit 2007 waarin staat vermeld dat 80% van alle Nederlandse webservers Apache draaien. In diezelfde tijd draaide er in Amerika 70%. Voor het laatste rapport dient helaas betaald te worden. Maar ik vermoed niet dat er opeens een omslag is gemaakt.

http://www.securityspace.com/s_survey/data/200703/nl/index.html
http://www.securityspace.com/s_survey/data/200703/us/index.html

Daarnaast geven de meeste rapporten aan dat minimaal 60% a 70% van de webservers op Apache draaien wereldwijd. Ik zou geen reden kunnen verzinnen waarom we in Nederland allemaal op IIS zouden zijn overgestapt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.