Nieuws

Beveiliging van .nl-websites vaak niet op orde

woensdag 18 november 2015, 16:38 door Redactie, 18 reacties

De meerderheid van websites met .nl-domeinnamen vertoont ernstige beveiligingsrisico’s. Ook is bijna een kwart van de Nederlandse webservers niet goed beveiligd. Vaak is dit te wijten aan het niet of te laat updaten van software. Dat blijkt uit een ‘passive vulnerability scan’ die de SIDN, de registry van het .nl-toplevel domein, heeft laten uitvoeren door Radically Open Security.

Volgens de SIDN maken de gevonden kwetsbaarheden het bijvoorbeeld mogelijk voor hackers om in te breken op de website, data te stelen of om de controle over de site helemaal over te nemen. Vooral voor webwinkels kan dit riskant zijn, aangezien zij werken met betaalgegevens en klantdata.

Radically Open Security heeft tussen juli en oktober van dit jaar 1380 .nl- websites onderzocht. Het meeste kwamen kwetsbaarheden in MySQL voor, gevolgd door SMTP-lekken. Ook bleken nog 11 websites, oftewel 0,8 procent, kwetsbaar te zijn voor het Heartbleed-lek.

Verder blijkt uit het onderzoek dat er slechts zelden gebruik wordt gemaakt van HTTP-headers die de beveiliging verhogen, zoals X-Frame-Options, ContentSecurity-Polic en X-Content-Type-Options.

De scantool, die onderdeel uitmaakt van de bewustzijnscampagne Alert Online, toont volgens de onderzoekers aan dat bij veel zakelijke websites de digitale veiligheid niet op orde is. “En dat terwijl online aanwezigheid en online dienstverlening steeds belangrijker worden.”

Amazon voert twee-factor authenticatie in

Botnet tool maakt gebruik van Twitter Direct Messages

Reacties (18)

18-11-2015, 19:10 door Anoniem

Tja, is gewoon een kwestie van geld, wat de opdrachtgever die een website laat bouwen
er simpelweg niet voor over heeft.
Het moet tegenwoordig goedkoop en liefst gisteren al klaar. Doe je als webbouwe/hoster moeilijk over veiligheid en extra tijd/kosten? Dag klant, je concurrent bouwt 'em dan wel, hoor. SIDN kan makkelijk dergelijk erapportjes maken, heel stoer enzo, maar als het geld moet kosten is het overal muisstil.

18-11-2015, 20:33 door Anoniem

Uit het rapport blijkt dat er helemaal geen .nl domeinnamen onderzocht zijn. Er is simpelweg een willekeurige set van Nederlandse IP adressen genomen, dus hier zitten ook gewoon consumenten tussen. Er was toch niets mis mee geweest om een lijst van .nl domeinnamen als basis te nemen?

Verder noemt het rapport een paar aannames:
- We assume that all banners returned by the server are accurate
• We assume that the detected software has a vulnerable configuration.

De onderzoekers stappen daar vrij makkelijk overheen maar het is natuurlijk totaal onrealistisch om daarvan uit te gaan. Zo worden alle IIS 7.5 webservers als 'onveilig' bestempeld. Dit is gewoon een ondersteunde versie van IIS en aan het versienummer is niet te zien of deze gepatched is. Veel Linux distro's backporten patches en hogen dan niet het versienummer op. De onderzoekers erkennen ergens midden in het rapport dat hun methodologie dit soort problemen heeft maar negeren dit in de conclusies volledig.

Kortom: een flutonderzoekje dat helemaal niets zegt over de veiligheid van .nl websites en totaal verkeerde conclusies trekt. Dit verwacht je van een klein security bedrijfje dat gratis publiciteit zoekt, maar dat SIDN hier zijn geld aan uitgeeft is toch wel schokkend.

18-11-2015, 20:46 door FSF-Moses

Is geld niet in vele gevallen het probleem?

19-11-2015, 07:49 door Anoniem

Wat heeft dit nou met .nl domeinnamen te maken? Zoals ik het lees zijn er random nederlandse ip adressen geselecteerd die dus helemaal niet aan een .nl domein hoeven te hangen.

De conclusie dat een versienummer direct kwetsbaar is voor een cve zoals hierboven aangegeven klopt inderdaad ook niet.

19-11-2015, 07:52 door Anoniem

Die "willekeurige" set slaat natuurlijk helemaal nergens op, zoals hierboven al geschetst wordt heb je hiermee helemaal geen zicht op de .nl domeinen die zijn getest, misschien test je op deze manier alleen maar websites ala buurman henk op de hoek.

We assume that the detected software has a vulnerable configuration.
Dan is alle software die je detect dus per defintie lek?? Right..

Dit lijkt eerder op een PR onderzoekje, zonder enige onderbouwing.
Volgende keer misschien wat beter over de onderzoeksmethode en classificatie nadenken...?

19-11-2015, 08:15 door Anoniem

Door Anoniem:
Verder noemt het rapport een paar aannames:
- We assume that all banners returned by the server are accurate
• We assume that the detected software has a vulnerable configuration.

Ook een domeinnaam kan van een particulier zijn, soms zelfs goedkoop in beheer bij een hobby-IT'er (zo begon ik ook geld te verdienen met sites bouwen) of in eigen beheer door een niet-zo-technische gebruiker die alleen een wordpress/joomla plugin er aan heeft gehangen zodat die een CMS heeft. Het komt genoeg voor.

19-11-2015, 08:24 door Anoniem

Heel veel fud... Als je naar blog.radicallyopensecurity.com kijkt blijkt daar Apache/2.2.22 te draaien. Volgens hun eigen rapport ben je dan superrrr onveilig want er zijn wel tien CVE's voor :D

19-11-2015, 09:10 door Anoniem

SIDN heeft sowieso moeite om de juiste beslissingen te nemen. Niets doen bij doelgericht geregistreerde phishing domeinen vinden ze normaal. Andere tld's ondernemen in zulke gevallen wel direct actie. Sterker, die verwijderen hele reeksen spamdomeinen uit de zone.

Ik begrijp dus de fascinatie met beveiliging niet zo als je je werk niet serieus neemt. Beveiliging gaat niet alleen over een paar name server records. Je moet ook je maatschappelijke verantwoordelijkheid nemen.

19-11-2015, 10:44 door Anoniem

Veel distributies laten het versienummer zoals ze zijn, maar patchen wel security lekken, dus versienummers zijn vaak niet indicatief voor onveiligheid.

19-11-2015, 11:53 door Anoniem

Wauw... Dat bedrijven hier geld voor inzetten. De angst regeert weer.
Ik mag hopen dat dit een student opdracht o.i.d. is geweest, want de kwaliteit is echt bedroevend:
- Het zegt niets over daadwerkelijke veiligheid.
- Enkel CVE's opnoemen voegt volledig niets toe... Het gaat JUIST om de configuratie erachter, en mogelijke patches
- De genomen diensten geven af en toe verouderde versies weer.

Om er maar een paar te noemen. Niet best dit...

19-11-2015, 18:10 door Anoniem

Nou ja.. volgens mij zijn de aannames (en de bijbehoorende onzekerheid) heel duidelijk op meerdere plekken in de rapportage vermeld..

20-11-2015, 02:37 door Anoniem

http://s3.postimg.org/bnz8ewyqr/alertonline.png

20-11-2015, 19:01 door dnmvisser

Misschien moeten we eens rondkijken op http://infosecurity.nl daar staat veel nuttige informatie.
Ohnee, daar posten ze plain text je email adres en password vanuit een formuliertje.

21-11-2015, 15:52 door Anoniem

Kortom: een flutonderzoekje dat helemaal niets zegt over de veiligheid van .nl websites en totaal verkeerde conclusies trekt. Dit verwacht je van een klein security bedrijfje dat gratis publiciteit zoekt, maar dat SIDN hier zijn geld aan uitgeeft is toch wel schokkend.

SIDN geeft aan allerlei rommel geld uit, volgens mij heb ik hier een keer post gehad, waren ze met iets in/voor azie bezig. Ik denk dat ze gewoon het geld moeten opmaken.

Paar jaar geleden toen de email interface nog bestond, legde 1 provider het hele registratie systeem plat met een loop in zijn script. Het lijkt me dan een koud kunstje om de firewall en email queue te schonen, maar dat was al te moeilijk voor ze. Dombo's daar op technisch en management niveau.

22-11-2015, 13:17 door superglitched - Bijgewerkt: 22-11-2015, 13:19

Door Anoniem: Nou ja.. volgens mij zijn de aannames (en de bijbehoorende onzekerheid) heel duidelijk op meerdere plekken in de rapportage vermeld..

De onderzoeker heeft er zichzelf erg makkelijk vanaf gemaakt. Kwalitatief (ook al is het een kwantitatief onderzoek) zou dit geen publicatie waardig zijn.

Maar ik wil mensen vragen om niet alleen de onderzoeker af te katten, maar ook security.nl omdat ze dit onderzoek blindelings overnemen zonder de nodige kritische (zoals een nieuwskanaal dat normaliter doet) opmerkingen bij te zetten. Systematisch zijn veel nieuwsoutlets net als security.nl lui uitgevallen en zijn het vaak niet meer dan 'repeaters' dan echte kritische reporters die bronnen nabellen, zelf onderzoek erbij doen, context plaatsen en ook de twijfels in kaart brengen.

Ik zie dit soort nutteloze weinigzeggende onderzoeken vaker terugkomen op security.nl dus ik durf deze opmerking best hier te plaatsen; anders had ik het uiteraard niet gedaan.

23-11-2015, 01:27 door Anoniem

De meeste wetenschappelijke publicaties beginnen met duidelijk vermelde aannames - deze rapportage is dus niet anders. De onderzoekers geven zelf wel heel duidelijk aan dat banner->CVE correlatie onzekerheid heeft. Het verbeteren daarvan is ook expliciet als Future Work genoemd. Mensen zitten hier echt nutteloos te trollen - dit is een prima stuk onderzoek!

24-11-2015, 08:23 door Anoniem

Door Anoniem: De meeste wetenschappelijke publicaties beginnen met duidelijk vermelde aannames - deze rapportage is dus niet anders. De onderzoekers geven zelf wel heel duidelijk aan dat banner->CVE correlatie onzekerheid heeft. Het verbeteren daarvan is ook expliciet als Future Work genoemd. Mensen zitten hier echt nutteloos te trollen - dit is een prima stuk onderzoek!

Het punt is dat de onderzoekers bijzonder weinig moeite gedaan hebben om een realistisch beeld te schetsen. Tijdelijk kan je aannames doen, maar dan moeten ze wel realistisch zijn. Dat ze ergens roepen dat hun methode 'niet 100% betrouwbaar' is, is wel heel makkelijk. 'Onbetrouwbaar' was eerlijker geweest, maar ja dan geen schreeuwerige persberichten over een onveilig internet.

24-11-2015, 14:07 door Anoniem

De punt van de rapportage is niet om een persbericht over onveilig Internet te maken. Niet één persoon hier heeft eigenlijk door dat de onderzoekers een nieuwe open-source Passive Scanning tool hebben gelanceerd.. deze rapportage lijkt meer van een uitleg, methodologie en handleiding voor de tool:
https://github.com/radicallyopensecurity/PassiveScanningTool

De tool is al 25 keer op Github gevolgd, 6 keer als 'Favorite' gekozen en is al 3 keer geforked. De levendige open-source community rondom deze tool spreekt veel harder dan een paar trolls op Security.nl, die niet begrijpen hoe onderzoekers expliciete 'Aannames' gebruiken (ook herhaald als verbeterpunten in de Future Work) om een goed afgebakende kader aan preliminaire onderzoek te geven.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer