image

Veel gemeenten lek door verouderde software

maandag 28 januari 2013, 10:29 door Redactie, 5 reacties

Bijna 20 procent van de websystemen van Nederlandse gemeenten is door het gebruik van verouderde software onvoldoende beveiligd. Bij zowel grote als kleinere gemeenten blijken websystemen vaak niet up-to-date. Soms is de software zelfs zo verouderd, dat er geen updates meer voor worden ontwikkeld, zo ontdekte DongIT dat duizenden gemeentelijke domeinen analyseerde.

Om de benodigde data te verzamelen werd een Pythonscript geschreven genaamd Explorer. Dit script verzamelde de hoofddomeinen en subdomeinen van gemeenten, bijvoorbeeld 'amsterdam.nl' of 'leiden.nl'. Van alle verzamelde subdomeinen werd een DNS-lookup uitgevoerd en de IP-adressen opgeslagen.

Op alle verzamelde IP-adressen werd vervolgens een poortscan uitgevoerd. Als eerste werd een TCP-SYN-scan uitgevoerd om te bepalen welke services op de server beschikbaar zijn, vervolgens werd getracht de versie van de software te achterhalen.

Resultaten
Bij 35 van de 417 onderzochte gemeentelijke domeinen was het mogelijk een DNS zone transfer uit te voeren. Hierdoor zijn in totaal door middel van een zone transfer 599 subdomeinen gevonden. In totaal werden 5271 domeinen gevonden. 4729 domeinen bleken actief te zijn. Actief houdt in dat op het achterliggende IP-adres services gedetecteerd zijn.

Sommige webapplicaties waren zowel via poort 443 (HTTPS) en poort 80 (HTTP) te bereiken. Om een dubbele vermelding van een applicatie in de resultaten te voorkomen werd gecontroleerd of de applicaties op beide poorten van hetzelfde domein overeenkomen door de gedetecteerde versie en de body van de HTTP-response te vergelijken.

Uit het onderzoek komt naar voren dat gemeenten vooral een puinhoop van hun Apache-, Joomla- en PHP-installaties maken.

Kwetsbaar
19 procent van de onderzochte systemen bleek kritisch kwetsbaar door gebruik van verouderde software. Volgens DongIT voeren ICT-beheerders van gemeenten nieuwe updates niet of niet tijdig uit, waardoor systemen soms maandenlang onvoldoende beveiligd zijn. In sommige gevallen waren de systemen zelfs zo verouderd dat zij door de leverancier niet langer met updates worden ondersteund.

"Voor hackers is het relatief eenvoudig om in te breken wanneer software niet up-to-date is. Misbruik kan verstrekkende gevolgen hebben voor de betrouwbaarheid, integriteit en vertrouwelijkheid van het hele systeem."

De onderzoekers stellen dat de werkelijkheid waarschijnlijk nog veel erger is. "Het is aannemelijk dat de geschetste situatie te rooskleurig is, omdat deze gebaseerd is op gedetecteerde versies en in meer dan 85% van de gevallen geen versie kon worden vastgesteld."

De onderzoekers stellen dan ook dat de huidige inspanningen om gemeentelijke systemen te beveiligen nog niet afdoende effect hebben gehad.

Reacties (5)
28-01-2013, 11:13 door yobi
Tja: "If it works don't fix it" geldt tegenwoordig niet meer! Ik hoop, dat het bij de gemeenten blijft en dat de andere overheidsinstellingen het wel voor elkaar hebben.
28-01-2013, 11:31 door [Account Verwijderd]
[Verwijderd]
28-01-2013, 11:45 door Anoniem
En dan kan je bij ons aan de digitale balie allerlei bestanden uploaden, hopelijk hebben ze daar een hele goeie scan op staan.
28-01-2013, 13:22 door SecuritySander
De praktijk is dat vaak vergeten wordt dat na een installatie ook onderhoud nodig is. En dan is software patchen toch wel een van de eerste zaken die je moet doen. Wel even testen vantevoren overigens - het zal niet de eerste keer zijn dat een software update een applicatie onderuit schopt. En af en toe een security scan kan blijkbaar ook geen kwaad.
28-01-2013, 14:23 door Anoniem
er zijn paar punten waardoor de systeem/applicatie/netwerkbeheerders willen niet op tijd een update/fix installeren

a. Vaak hebben ze geen plan B. Daarom zijn ze bang voor als iets mis gaat. Dat ze zeggen het werkt en laat het zo, is tegenwoordige geen "verkoop praatje". Een update komt niet zomaar uit de lucht als dat niet noodzakelijk was geweest.

b. Ze hebben geen test omgevig of juist wel maar niemand heeft intersse.

c. Soms bij het installaren van een "UPGRADE" naar een nieuwe versie opeens een of meerdere functie(s) werken niet meer dus bij een gemeente systeem/applicatie/netwekbeheer zal dit een ramp/nachtM kunnen worden. dus een goede test ongeving zal bij deze goed verhelpen.

d. Bijscholen/Opleidingen hoeft het niet per se naar school maar uutje thuis zal genoeg zijn om je product beter bestuderen.

e. Zo veel mogelijke met elkaar communiceren "systeem/applicatie/netwekbeheer".

f. Altijd goed documenteren.

g. Een als laatste en beste kom vaak naar de form sites. Je blijft altijd op de hoogte Bugs/Fix/Backdoor enz.

mvg
Fraidon
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.