Bijna 20 procent van de websystemen van Nederlandse gemeenten is door het gebruik van verouderde software onvoldoende beveiligd. Bij zowel grote als kleinere gemeenten blijken websystemen vaak niet up-to-date. Soms is de software zelfs zo verouderd, dat er geen updates meer voor worden ontwikkeld, zo ontdekte DongIT dat duizenden gemeentelijke domeinen analyseerde.

Om de benodigde data te verzamelen werd een Pythonscript geschreven genaamd Explorer. Dit script verzamelde de hoofddomeinen en subdomeinen van gemeenten, bijvoorbeeld 'amsterdam.nl' of 'leiden.nl'. Van alle verzamelde subdomeinen werd een DNS-lookup uitgevoerd en de IP-adressen opgeslagen.

Op alle verzamelde IP-adressen werd vervolgens een poortscan uitgevoerd. Als eerste werd een TCP-SYN-scan uitgevoerd om te bepalen welke services op de server beschikbaar zijn, vervolgens werd getracht de versie van de software te achterhalen.

Resultaten
Bij 35 van de 417 onderzochte gemeentelijke domeinen was het mogelijk een DNS zone transfer uit te voeren. Hierdoor zijn in totaal door middel van een zone transfer 599 subdomeinen gevonden. In totaal werden 5271 domeinen gevonden. 4729 domeinen bleken actief te zijn. Actief houdt in dat op het achterliggende IP-adres services gedetecteerd zijn.

Sommige webapplicaties waren zowel via poort 443 (HTTPS) en poort 80 (HTTP) te bereiken. Om een dubbele vermelding van een applicatie in de resultaten te voorkomen werd gecontroleerd of de applicaties op beide poorten van hetzelfde domein overeenkomen door de gedetecteerde versie en de body van de HTTP-response te vergelijken.

Uit het onderzoek komt naar voren dat gemeenten vooral een puinhoop van hun Apache-, Joomla- en PHP-installaties maken.

Kwetsbaar
19 procent van de onderzochte systemen bleek kritisch kwetsbaar door gebruik van verouderde software. Volgens DongIT voeren ICT-beheerders van gemeenten nieuwe updates niet of niet tijdig uit, waardoor systemen soms maandenlang onvoldoende beveiligd zijn. In sommige gevallen waren de systemen zelfs zo verouderd dat zij door de leverancier niet langer met updates worden ondersteund.

"Voor hackers is het relatief eenvoudig om in te breken wanneer software niet up-to-date is. Misbruik kan verstrekkende gevolgen hebben voor de betrouwbaarheid, integriteit en vertrouwelijkheid van het hele systeem."

De onderzoekers stellen dat de werkelijkheid waarschijnlijk nog veel erger is. "Het is aannemelijk dat de geschetste situatie te rooskleurig is, omdat deze gebaseerd is op gedetecteerde versies en in meer dan 85% van de gevallen geen versie kon worden vastgesteld."

De onderzoekers stellen dan ook dat de huidige inspanningen om gemeentelijke systemen te beveiligen nog niet afdoende effect hebben gehad.