De Cybersecurity test site internet.nl is een prachtig stuk gereedschap om te testen wat de veiligheidsstatus is van uw website of email. Een tool die wij tot op heden ook veel gebruiken. Echter sinds de laatste update van de tool komt wat verder van de praktische realiteit af te staan. En dat is ansicht niet erg want ze dienen een idealistisch doel. Ware het niet dat er wel een onveilig/veilig statement wordt afgegeven.
In deze blogpost willen wij toelichten waarom enerzijds deze tool ontzettend nuttig en belangrijk is. En anderzijds hoe een bedrijf is overgeleverd aan grote technologie leveranciers van email en websites.
De website test
Uiteraard hebben wij ook een website, anders kon u deze blogpost niet eens lezen. Deze website heeft een zeer sterke security configuratie, en we hebben de website beschermd tegen DDoS-aanvallen en zogenoemde webapplicatie-aanvallen. Dit doen we onder andere (maar niet alleen) met Cloudflare.
Nu zou u wellicht denken dat wij een score van 100% krijgen. Niets is minder waar, nou, tot voor kort althans. Sinds internet.nl nieuwe controles heeft ingevoerd is onze score gezakt naar 95%. Nu is dat nog steeds een goede score, maar het volgende wordt nu gezegd over onze verbinding van de website. De melding is “Verbinding niet of onvoldoende beveiligd (HTTPS).” En dat is wel een beetje veel uit zijn verband gerukt.
Bij het gebruik van Cloudflare zijn sommige zaken niet te configureren. Zo kunnen wij niet bepalen welke versleutelingstechnieken er precies ingezet worden. Wel weet ik dat de kwetsbaarheden die internet.nl meent te vinden, bij Cloudflare niet bestaan of gemitigeerd zijn. Enerzijds omdat ze specifieke configuraties alleen toepassen in situaties waarin het kan. En ook omdat dat zij continu controleren of het internetverkeer veilig is.
Het internet werkt door een technologie dat Internet Protocol, of kortweg IP, heet. Onze website heeft IP versie 6 (IPv6) door Cloudflare. Maar onze webserver is alleen over IP versie 4 (IPv4) te benaderen. Hier zit weinig verschil in veiligheid in. Maar wanneer internet.nl ziet dat IPv6 niet ondersteund wordt komt er gelijk een rood kruis te staan. Voor websites die nog niet zo ver zijn wordt dus een lagere score gegeven. Dat terwijl IPv6 niet zo veel van doen heeft met veiligheid.
Maar lang verhaal kort, door Cloudflare hun configuratie en internet.nl hun test wordt onze site nu als minder veilig bestempeld. Maar wees gerust, u bent hier prima veilig hoor!
De email test
De test op het gebied van email is nog wat lastiger. Nu heeft politie.nl zelfs een score van 100% gehad, maar ook zij zijn inmiddels gezakt naar een score van 97%. Onze grote complimenten overigens voor de Nederlandse Politie. Een score van 97% is nagenoeg niet haalbaar voor ontzettend veel organisaties, zowel groot als klein.
Hieronder zetten wij twee situaties uiteen die veel voorkomen bij bedrijven. Echter zult u zien dat het gebruik van Microsoft 365 of Google Suite betekent dat de score niet eens boven de 75% kan komen.
Microsoft Office 365 (Exchange Online)
Getest domein is hansminten.com.
Stel uw organisatie maakt gebruik van Microsoft Office 365. Dan heeft u wellicht ook uw email daar gestationeerd en doet u dus al uw email werk vanuit de Cloud. Uit ervaring weten we dat er niet zo veel veranderd kan worden aan de veiligheidsinstellingen op het gebied van email.
Wij hebben ook een domein met Microsoft Office 365 getest. Wanneer dat domein getest wordt met internet.nl, dan is de maximale score 65%. Hoger kunt u hem simpelweg zelf niet krijgen. Daarbij worden de volgende meldingen gegeven: Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6), Niet alle domeinnamen ondertekend (DNSSEC) en Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE).
Alle bevindingen die internet.nl weergeeft, zijn allemaal stuk voor stuk bevindingen die Microsoftt zou moet oplossen. U kunt ze zelf niet oplossen door het aanpassen van instellingen. En het zijn ook echt bevindingen, en uw bedrijf krijgt dus een slechte score door Microsoft. Maar dus ook wel een beetje omdat internet.nl net wat te strict naar zaken kijkt.
Een duidelijke daarvan is de techniek DANE. Wij zijn nog maar één organisatie tegengekomen (en het zijn er zeker meer) en dat is wederom politie.nl. DANE wordt nog weinig gebruikt, terwijl MTA-STS met een soortgelijk doel als DANE al wat bekender is. Echter MTA-STS maakt geen onderdeel uit van de test.
Google Suite (Gmail)
Getest domain is teusink.eu.
Wanneer uw organisatie gebruik maakt van Gmail van Google Suite dan is de score wat hoger dan bij Microsoft 365. Echter komt de score nog steeds niet boven de 75% uit. Maar daarmee is het in absolute zin niet veiliger dan Microsoft Office 365. Ironisch genoeg is het juist onveiliger. De meldingen zijn als volgt: “Niet alle domeinnamen ondertekend (DNSSEC)” en “Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE)“.
Dat de score hoger uitvalt komt door de ondersteuning voor wederom die IPv6. Wanneer gekeken wordt naar de daadwerkelijke security configuratie van email, zien we dat de Cipher-volgorde bij Google Suite niet goed is. En deze staat juist wel goed bij Office 365. Voor de rest is de score identiek. Dus wel IPv6 en geen juiste Cipher-volgorde is volgens internet.nl een veiligere domein dan de situatie omgedraaid. En dat is gewoon niet waar.
Nu hebben we via ons netwerk al eens de tip gekregen om de alternatieve mail-servers van Google te gebruiken (mx1.smtp.goog; mx2.smtp.goog; mx3.smtp.goog; mx4.smtp.goog), want op deze servers zijn wat security verbeteringen doorgevoerd. Echter konden we hiervoor totaal geen officiële en onofficiële documentatie vinden.
Daarop hebben we contact gezocht met Google Support, om te verifiëren wat de legitimiteit hiervan is. Zelfs de Google medewerker moest zoeken voor een antwoord. Het blijkt inderdaad wel legitiem te zijn, maar het betreft een configuratie dat voorlopig nog wel in testfase is. We kregen ook de uitdrukkelijke waarschuwing om het niet te gebruiken. Er worden totaal geen garanties gegeven dat het goed blijft werken. En dat is een groot risico voor een bedrijf dat afhankelijk is van email.
Reflectie
Zo ziet u dat we redelijk overgeleverd zijn aan bedrijven die de generieke infrastructuur bieden op het internet. Of dat nu Microsoft, Google, Cloudflare is, of Nederlandse bedrijven als KPN en Ziggo zijn. Zij bepalen voor een belangrijk deel de veiligheid van uw en ons internet. En hoewel er organisaties tussen zitten die het erg goed doen, u heeft er maar weinig invloed op.
Het testen van veiligheid is goed, en zelfs erg belangrijk. Het is immers niet voor niets een groot deel van onze business. En met internet.nl is ook niets mis, blijf het vooral gebruiken. Het is alleen ontzettend belangrijk om de score in perspectief te plaatsen. Want zelf nadenken over wat belangrijk is voor uw organisatie blijft een must.
En wellicht kan internet.nl nog wat sterker de pijlers richten op de tech-organisaties om daar meer invloed uit te oefenen. Want van veel infrastructuur zijn we inmiddels van hen afhankelijk.
Bent u geïnteresseerd in een onze security scan geworden? Klik dan hier voor meer informatie.