Beveiliging van .nl-websites vaak niet op orde
De meerderheid van websites met .nl-domeinnamen vertoont ernstige beveiligingsrisico’s. Ook is bijna een kwart van de Nederlandse webservers niet goed beveiligd. Vaak is dit te wijten aan het niet of te laat updaten van software. Dat blijkt uit een ‘passive vulnerability scan’ die de SIDN, de registry van het .nl-toplevel domein, heeft laten uitvoeren door Radically Open Security.
Volgens de SIDN maken de gevonden kwetsbaarheden het bijvoorbeeld mogelijk voor hackers om in te breken op de website, data te stelen of om de controle over de site helemaal over te nemen. Vooral voor webwinkels kan dit riskant zijn, aangezien zij werken met betaalgegevens en klantdata.
Radically Open Security heeft tussen juli en oktober van dit jaar 1380 .nl- websites onderzocht. Het meeste kwamen kwetsbaarheden in MySQL voor, gevolgd door SMTP-lekken. Ook bleken nog 11 websites, oftewel 0,8 procent, kwetsbaar te zijn voor het Heartbleed-lek.
Verder blijkt uit het onderzoek dat er slechts zelden gebruik wordt gemaakt van HTTP-headers die de beveiliging verhogen, zoals X-Frame-Options, ContentSecurity-Polic en X-Content-Type-Options.
De scantool, die onderdeel uitmaakt van de bewustzijnscampagne Alert Online, toont volgens de onderzoekers aan dat bij veel zakelijke websites de digitale veiligheid niet op orde is. “En dat terwijl online aanwezigheid en online dienstverlening steeds belangrijker worden.”
er simpelweg niet voor over heeft.
Het moet tegenwoordig goedkoop en liefst gisteren al klaar. Doe je als webbouwe/hoster moeilijk over veiligheid en extra tijd/kosten? Dag klant, je concurrent bouwt 'em dan wel, hoor. SIDN kan makkelijk dergelijk erapportjes maken, heel stoer enzo, maar als het geld moet kosten is het overal muisstil.
Verder noemt het rapport een paar aannames:
- We assume that all banners returned by the server are accurate
• We assume that the detected software has a vulnerable configuration.
De onderzoekers stappen daar vrij makkelijk overheen maar het is natuurlijk totaal onrealistisch om daarvan uit te gaan. Zo worden alle IIS 7.5 webservers als 'onveilig' bestempeld. Dit is gewoon een ondersteunde versie van IIS en aan het versienummer is niet te zien of deze gepatched is. Veel Linux distro's backporten patches en hogen dan niet het versienummer op. De onderzoekers erkennen ergens midden in het rapport dat hun methodologie dit soort problemen heeft maar negeren dit in de conclusies volledig.
Kortom: een flutonderzoekje dat helemaal niets zegt over de veiligheid van .nl websites en totaal verkeerde conclusies trekt. Dit verwacht je van een klein security bedrijfje dat gratis publiciteit zoekt, maar dat SIDN hier zijn geld aan uitgeeft is toch wel schokkend.
De conclusie dat een versienummer direct kwetsbaar is voor een cve zoals hierboven aangegeven klopt inderdaad ook niet.
We assume that the detected software has a vulnerable configuration.
Dan is alle software die je detect dus per defintie lek?? Right..
Dit lijkt eerder op een PR onderzoekje, zonder enige onderbouwing.
Volgende keer misschien wat beter over de onderzoeksmethode en classificatie nadenken...?
Verder noemt het rapport een paar aannames:
- We assume that all banners returned by the server are accurate
• We assume that the detected software has a vulnerable configuration.
Ook een domeinnaam kan van een particulier zijn, soms zelfs goedkoop in beheer bij een hobby-IT'er (zo begon ik ook geld te verdienen met sites bouwen) of in eigen beheer door een niet-zo-technische gebruiker die alleen een wordpress/joomla plugin er aan heeft gehangen zodat die een CMS heeft. Het komt genoeg voor.
Ik begrijp dus de fascinatie met beveiliging niet zo als je je werk niet serieus neemt. Beveiliging gaat niet alleen over een paar name server records. Je moet ook je maatschappelijke verantwoordelijkheid nemen.
Ik mag hopen dat dit een student opdracht o.i.d. is geweest, want de kwaliteit is echt bedroevend:
- Het zegt niets over daadwerkelijke veiligheid.
- Enkel CVE's opnoemen voegt volledig niets toe... Het gaat JUIST om de configuratie erachter, en mogelijke patches
- De genomen diensten geven af en toe verouderde versies weer.
Om er maar een paar te noemen. Niet best dit...
Ohnee, daar posten ze plain text je email adres en password vanuit een formuliertje.
Kortom: een flutonderzoekje dat helemaal niets zegt over de veiligheid van .nl websites en totaal verkeerde conclusies trekt. Dit verwacht je van een klein security bedrijfje dat gratis publiciteit zoekt, maar dat SIDN hier zijn geld aan uitgeeft is toch wel schokkend.
SIDN geeft aan allerlei rommel geld uit, volgens mij heb ik hier een keer post gehad, waren ze met iets in/voor azie bezig. Ik denk dat ze gewoon het geld moeten opmaken.
Paar jaar geleden toen de email interface nog bestond, legde 1 provider het hele registratie systeem plat met een loop in zijn script. Het lijkt me dan een koud kunstje om de firewall en email queue te schonen, maar dat was al te moeilijk voor ze. Dombo's daar op technisch en management niveau.
Maar ik wil mensen vragen om niet alleen de onderzoeker af te katten, maar ook security.nl omdat ze dit onderzoek blindelings overnemen zonder de nodige kritische (zoals een nieuwskanaal dat normaliter doet) opmerkingen bij te zetten. Systematisch zijn veel nieuwsoutlets net als security.nl lui uitgevallen en zijn het vaak niet meer dan 'repeaters' dan echte kritische reporters die bronnen nabellen, zelf onderzoek erbij doen, context plaatsen en ook de twijfels in kaart brengen.
Ik zie dit soort nutteloze weinigzeggende onderzoeken vaker terugkomen op security.nl dus ik durf deze opmerking best hier te plaatsen; anders had ik het uiteraard niet gedaan.
Het punt is dat de onderzoekers bijzonder weinig moeite gedaan hebben om een realistisch beeld te schetsen. Tijdelijk kan je aannames doen, maar dan moeten ze wel realistisch zijn. Dat ze ergens roepen dat hun methode 'niet 100% betrouwbaar' is, is wel heel makkelijk. 'Onbetrouwbaar' was eerlijker geweest, maar ja dan geen schreeuwerige persberichten over een onveilig internet.
https://github.com/radicallyopensecurity/PassiveScanningTool
De tool is al 25 keer op Github gevolgd, 6 keer als 'Favorite' gekozen en is al 3 keer geforked. De levendige open-source community rondom deze tool spreekt veel harder dan een paar trolls op Security.nl, die niet begrijpen hoe onderzoekers expliciete 'Aannames' gebruiken (ook herhaald als verbeterpunten in de Future Work) om een goed afgebakende kader aan preliminaire onderzoek te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.