Re: Bijna 80% van de gemeentelijke websites bevatten één of meer beveiligingsrisico’s

Thu Nov 13 13:22:47 CET 2003

REPLY TO: D66 at nic.surfnet.nl

Op dit onderzoek valt het een en ander af te dingen hoor. Dat een server
reageert op een ping zegt niet zoveel over de beveiliging. Sterker nog,
volgens sommige richtlijnen is het volgens mij verplicht. De website van
Gemeenteweb zelf is ook te pingen. Het lijkt meer een "reclame"-onderzoek
voor hun seminar. Dat veel gemeentelijke websites wellicht gaten vertonen
geloof ik zo wel. Maar de gekozen onderzoeksmethode ligt wel erg voor de
hand.

- De versie van het besturingssysteem;
- De versie van de webserver;
- Overige diensten;
- Is het mogelijk de server te ‘pingen’;
- Aanwezigheid ‘third party’ scripts;
- Reacties van beheerders."

> REPLY TO: D66 at nic.surfnet.nl
>
> http://www.gemeenteweb.nl/show?id=221954&frameid=312868
>
>     Nieuwsflits online
> In deze nieuwsflits:
>
>      * Bijna 80% gemeentelijke websites bevat
> veiligheidsrisico's
>
>
> BIJNA 80% GEMEENTELIJKE WEBSITES BEVAT VEILIGHEIDSRISICO’S
>
> ‘Veiligheid websites nog te lage prioriteit bij gemeenten’
>
> Bijna 80% van de gemeentelijke websites bevatten één of meer
> beveiligingsrisico’s van de kwalificatie ‘medium’ of hoger.
> Dat blijkt uit een landeljjk onderzoek van GemeenteWeb.
> GemeenteWeb heeft hiervoor 446 gemeentelijke websites aan
> een securitytest onderworpen.
>
> Dienstverlening
> Vrijwel alle gemeenten in Nederland hebben inmiddels een
> website. De website wordt ingezet om de dienstverlening aan
> inwoners te verbeteren. Dat betekent dat gemeenten ook
> steeds meer nadenken over het uitbreiden van deze
> dienstverlening om het inwoners eenvoudiger te maken om
> diensten en producten bij de gemeente af te nemen wanneer
> het hen uitkomt. Met de toename van de digitalisering van
> gegevens neemt ook de vraag naar veiligheid toe. Zeker bij
> het koppelen van de backoffice aan de frontoffice. Op dat
> moment gaan veel (privacy)gevoelige gegevens over het
> Internet. Dat schreeuwt om beveiliging. Dit was voor
> GemeenteWeb de aanleiding om de veiligheid van de websites
> te onderzoeken. In opdracht van GemeenteWeb heeft Pine
> Digital Security een landelijk onderzoek gedaan onder 446
> gemeentelijke websites. “Met dit onderzoek willen we de
> veiligheid van de website hoger op de gemeentelijke agenda
> zetten,” aldus John Heins, directeur van GemeenteWeb. “Wij
> stimuleren gemeenten om zoveel mogelijk, maar vooral ook op
> een goede manier, gebruik te maken van het Internet. Dat
> betekent dat we gemeenten zoveel mogelijk adviseren. En soms
> ook de rol van ‘luis in de pels’ op ons nemen, zoals met dit
> onderzoek. Het is zeker niet de bedoeling gemeenten af te
> schrikken, maar hen juist te bewegen om veiligheidsrisico’s
> altijd in hun overwegingen te laten meenemen.”
>
> Testplan
> De sites werden aan de volgende tests onderworpen:
> · De versie van het besturingssysteem;
> · De versie van de webserver;
> · Overige diensten;
> · Is het mogelijk de server te ‘pingen’;
> · Aanwezigheid ‘third party’ scripts;
> · Reacties van beheerders.
> Het gaat hierbij om zogenaamde non-destructieve tests die
> potentiële tot acute beveiligingsproblemen identificeren.
> Dit is bewust gedaan om de overlast voor de betreffende
> websites te minimaliseren. Er zijn dus geen websites
> daadwerkelijk gehacked, er is op hoofdlijnen bekeken welke
> veiligheidsrisico’s spelen bij de betreffende websites.
> ‘Lekken’ in zogenaamde ‘custom made’ webapplicaties zijn
> niet bekeken.
>
> Bij elk testitem is een risico-waarde gehanteerd van nihil
> tot zeer ernstig.
>
> De resultaten
> Allereerst:
> · 22,64% van de geteste sites bevatte geen enkel
> veiligheidsrisico dat hoger is dan ‘nihil’.
> · Er zijn in totaal 108 reacties geweest vanuit beheerders
> op de test. Het ging hier om gealarmeerde beheerders die
> verdachte zaken constateerden en contact op hebben genomen
> met Pine. Hierbij moet worden aangetekend dat van de
> voornoemde 108 sites er 102 onder dezelfde
> beheersorganisatie vallen.
>
> De overige resultaten op een rij:
> · Bijna de helft (49,78%) van de sites had 1 of meer ‘lage’
> beveiligingsrisico’s;
> · Meer dan de helft (65,02%) bevatte 1 of meer
> beveiligingsrisico’s van het predikaat ‘medium’;
> · Meer dan een derde (38,79) bevatte 1 of meer risico’s van
> het type ‘hoog’;
> · 13,45% van de gemeentelijke sites hadden ‘ernstige’
> beveligingsrisico’s;
> · Eenderde van de geteste sites (31,61%) reageerde niet op
> zogenaamde 'ping requests'. Dit werpt een (lage) drempel op
> tegen wormen en 'scripted attacks' die vaak eerst een ping
> request sturen, om na een antwoord te hebben gekregen echt
> tot de aanval over te gaan.
>
> Opvallend:
> 5 servers werden op een adsl-lijn gehost
> 7 servers werden op een kabelmodem gehost
>
> Conclusie
> De conclusie is dat veel gemeenten nog onvoldoende aandacht
> besteden aan de beveiliging van hun website. Zij lopen
> hierdoor het risico dat ze het slachtoffer kunnen worden van
> aanvallen van hackers.
> Het is dan ook aan te raden dat gemeenten een website bij
> oplevering op veiligheid laten testen. Daarna is het
> raadzaam dit jaarlijks, of bij wijzigingen in programmacode,
> te herhalen. Op die manier kunnen gemeenten hun website zo
> veilig mogelijk exploiteren.
>
> Ook is het zaak goede afspraken te maken met de beheerder
> van de website. Ruim 75% van de beheerders heeft in het
> onderzoek niet gereageerd. En dat terwijl de door
> GemeenteWeb gehanteerde test veel sporen na laat in
> logbestanden. Het lijkt er op dat veel beheerders deze
> logbestanden niet nalopen op eventuele onregelmatigheden.
> Dit is een zaak die een gemeente zeker bij de beheerder ter
> sprake zal moeten brengen.
>
> Gratis rapport
> Uit veiligheidsoverwegingen geeft GemeenteWeb de individuele
> resultaten van het onderzoek niet prijs aan derden.
> Gemeenten die de resultaten van het onderzoek willen
> ontvangen kunnen telefonisch contact opnemen met GemeenteWeb
> en krijgen de individuele resultaten gratis toegestuurd.
>
> Deelnemersdag
> Op 26 november organiseert GemeenteWeb een deelnemersdag
> voor gemeenten die in het teken staat van veiligheid en
> dienstverlening. Tijdens deze dag leren gemeenten onder meer
> hoe een hacker te werk gaat en hoe ze hier vooraf rekening
> mee kunnen houden bij de beveiliging van hun website. Voor
> meer informatie hierover klikt u op de link 'deelnemersdag'.
>
> http://www.gemeenteweb.nl/show
>
> **********
> Dit bericht is verzonden via de informele D66 discussielijst
(D66 at nic.surfnet.nl).
> Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het
tekstveld alleen: SUBSCRIBE D66
> Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het
tekstveld alleen: SIGNOFF D66
> Het on-line archief is te vinden op:
http://listserv.surfnet.nl/archives/d66.html
> **********
>

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********