12 mei
De hostinginfrascan
Sinds 2020 werkt ThreadStone samen met SIDN en de Vereniging van Registrars. Om hostingsplatforms op een laagdrempelige en betaalbare manier te kunnen controleren op kwetsbaarheden, hebben we de hostinginfrascan ontwikkeld. Sinds juni 2020 voeren wij die uit.
Interessante meta-data
Nu we 350 servers hebben gescand, kunnen we een eerste balans opmaken. De metingen en feedback leverden interessante informatie op.
De meest voorkomende kwetsbaarheden zijn het ontbreken of niet goed functioneren van encryptie (SSL-certificaten etc.) en het openlijk delen van te veel informatie over de configuratie van de server, die kwaadwillenden kunnen misbruiken.
Het goede nieuws: de meeste kwetsbaarheden kunnen relatief makkelijk worden gemitigeerd
De meest kritische kwetsbaarheden hangen samen met verouderde versies van software, die een upgrade nodig hebben. We zagen bijvoorbeeld dat klanten van de hostingpartijen met oude, niet meer ondersteunde browsers werken. Dat maakt de beveiliging ook lastiger. Hostingbedrijven zouden hierin best strenger mogen optreden tegen hun klanten door te zeggen dat bepaalde browserversies niet meer worden ondersteund. Dat is klantgericht, want het gaat ook om hun digitale veiligheid.
Maar het goede nieuws is: de meeste kwetsbaarheden kunnen relatief makkelijk worden gemitigeerd.
Gesignaleerde punten opgepakt? Betere score
Een kleine 270 servers zijn een tweede keer gescand. Het is mooi om te zien dat het doorvoeren van de in de eerste scan gesignaleerde verbeterpunten ook echt effect heeft gehad. Want de partijen die dat deden, kregen bij de tweede scan gemiddeld een 26% hogere veiligheidsscore.
Er is ook interessante feedback opgehaald bij de eerste deelnemers van de hostinginfrascan. Overall is men zeer tevreden over de eenvoud van inschrijven, de kwaliteit van de scan en de aangeleverde informatie en de werking van het portaal. Voor de rapportages werd aangegeven dat deze verbeterd konden worden, wat inmiddels is doorgevoerd.
‘Scan zou verplicht moeten zijn’
Meest interessant vinden wij dat er hostingpartijen zijn die vinden dat een dergelijke scan eigenlijk verplicht zou moeten worden gesteld en zou moeten worden aangeboden door bijvoorbeeld overheidsinstanties. De hostingsector wordt gezien als vitale infrastructuur, dus moet deze sector ook de middelen worden aangereikt om op een eenvoudige en laagdrempelige manier de beveiliging te kunnen meten. In onze optiek zou de hostinginfrascan een dergelijke rol kunnen vervullen: enerzijds kan de scan de aantallen aan (in feite zouden we alle servers in Nederland kunnen scannen), anderzijds kan de hostinginfrascan aangeven wat de werkelijke weerbaarheid/kwetsbaarheid is van het Nederlandse internet.
Ook websites van klanten meenemen
Een ander interessant geluid is dat er hostingpartijen zijn die vinden dat naast de infrastructuur ook de websites van klanten gecontroleerd zouden moeten kunnen worden. In een pilotfase in 2019 hebben we bij een hoster zo’n 500 websites van klanten gecontroleerd op kwetsbaarheden. Door de klantenwebsites via de hostinginfrascan te scannen op kwetsbaarheden, zouden we ook meteen een (duivels) juridisch dilemma kunnen tackelen. Theoretisch kunnen wij namelijk alle ruim 6 miljoen .nl-websites controleren op kwetsbaarheden en mensen waarschuwen op het moment dat zich kwetsbaarheden in hun site voordoen. Probleem is dat we dit niet ongevraagd mógen doen. Ook al is ons doel om mensen bewuster te maken van de veiligheid van hun website, dan nog zouden wij met ongevraagde hack-pogingen bezig zijn. Hostingpartijen mogen dit juridisch gezien wel doen, omdat zij een duidelijk belang hebben bij het veilig hebben en houden van de websites van hun klanten. In onze optiek zouden zij de hostinginfrascan juist wél mogen inzetten om daarmee ook hun klanten te kunnen waarschuwen voor kwetsbaarheden. Hiermee zouden we dus meerdere vliegen in die ene welbekende klap slaan.
De komende tijd gaan we door met het uitvoeren van deze scans. Hostingbedrijven en registrars kunnen zich nog steeds opgeven. Samen gaan we voor een veiliger internet: meten is verbeteren.
Het volledige rapport is hier te vinden:
https://publications.sidn.nl/hostinginfrascan?utm_medium=threadstone