April Awareness: 87% van de Nederlandse websites is onveilig

87% van de Nederlandse websites die een beveiligde (HTTPS) verbinding aanbiedt, is niet veilig. Dit blijkt uit onderzoek door LBVD in het kader van April Awareness 2015. Door dit lek kan het netwerkverkeer worden onderschept en is er verhoogd risico op onder meer diefstal en fraude.

LBVD beseft dat niet alle websites even veilig hoeven te zijn en het is de verantwoordelijkheid van de eigenaar van de website om te bepalen welke mate van veiligheid nodig is. Onderzoekers van LBVD troffen veel onveilige verbindingen aan. Bezoekers van deze websites krijgen wel het groene slotje in hun browser te zien, wat zorgt voor schijnveiligheid. Slechts 13% van de Nederlandse websites met HTTPS biedt een veilige HTTPS-configuratie aan, namelijk TLS zonder RC4 ciphers (versleutelingen) en zonder SSLv3.

Conclusie: de mens lijkt de zwakste schakel

We constateren in April Awareness 2015 dat de mens de zwakste schakel lijkt. Slechts bij 13% van de IP-adressen met HTTPS is dit goed geconfigureerd. Wij zijn geschokt door dit resultaat: 13% is veel minder dan wij hadden verwacht. Wij hopen dat systeembeheerders door April Awareness nog eens goed naar hun HTTPS-configuratie kijken en verbeteringen aanbrengen. Hiermee zorgen we er samen voor dat de verbindingen afdoende beveiligd zijn en websitebezoekers geen vals gevoel van veiligheid krijgen.
LBVD is van mening dat al het webverkeer standaard via HTTPS moet verlopen: bij juiste configuratie creëren we een veiliger internet en een leefbare digitale wereld.

HTTPS blijkt complex om goed in te richten
In de praktijk blijkt HTTPS complex om goed in te richten. Wanneer één element niet, of niet goed wordt geïmplementeerd kan de hele website risico lopen. TLS is op dit moment, met de juiste configuratie, de enige veilige manier om HTTPS aan te bieden. We onderzochten welke versie werd aangeboden: SSLv3, TLS 1.0, TLS 1.1, TLS 1.2. Ook keken we of de IP-adressen die TLS ondersteunen gebruikmaken van ciphers met RC4, wat maakt dat ze alsnog niet veilig zijn.
Tijdens April Awareness 2015 scanden we alle IP-adressen in Nederland, in totaal 36.142.560 IP-adressen. Hiervan hebben 1.123.457 IP-adressen een webserver en daarvan hebben er 427.717 HTTPS.

Van alle IP-adressen die HTTPS aanbieden, ondersteunt maar liefst 68,6% het onveilige SSLv3
SSLv3 is onveilig en moet niet gebruikt worden. Toch ondersteunt 68,6% (293.228) van alle IP-adressen die HTTPS aanbieden SSLv3.
35.3% (396.756) van alle IP-adressen die HTTPS aanbieden ondersteunt TLS. TLS heeft op dit moment drie versies, waarvan de nieuwe relatief iets beter zijn, maar de oudere niet slecht zijn.
Van alle IP-adressen die HTTPS met TLS aanbieden heeft 99.5% (394.673) TLS1.0 , 43.6% (172.889) TLS1.1 en 41.7% (165.552) TLS1.2. IP-adressen kunnen meerdere versies ondersteunen. Van de IP-adressen die TLS ondersteunen, ondersteunt echter 77.8% (308.803) RC4 ciphers en zijn hierdoor alsnog niet veilig.
Er zijn 32.974 (8.3%) IP-adressen die via HTTPS veilig zouden zijn als ze SSLv3 uitzetten.

Wat is April Awareness?

April Awareness is onderdeel van het jaarlijks terugkerend onderzoek van LBVD naar de digitale wereld, met als doel het leefbaar maken van de digitale wereld. De digitale wereld brengt gemak en comfort met zich mee, maar ook risico’s op fraude en diefstal. Organisaties die deelnemen aan April Awareness kunnen het bewustzijnsniveau van hun directie en medewerkers verhogen en in dit geval ook de techniek verbeteren. Hierdoor maken de organisaties samen met LBVD, de digitale wereld leefbaar.
Hoe werkt April Awareness?

Tijdens April Awareness controleert LBVD hoe veilig de websites van Nederlandse organisaties zijn. Organisaties die graag wilden weten hoe goed zij scoren in vergelijking met de overige organisaties in ons onderzoek, konden zich bij LBVD aanmelden voor deelname aan April Awareness. Omdat LBVD dit jaar 10 jaar bestaat deden alle recente opdrachtgevers en LBVD-nieuwsbriefleden automatisch mee. Zij ontvangen eind april de rapportage met daarin hun score en instructies voor het juist configureren van HTTPS.
Door deelname aan April Awareness maken de organisaties deel uit van de benchmark en tonen we aan hoe ze ten opzichte van andere organisaties scoren. LBVD heeft met April Awareness uitsluitend goede bedoelingen en de resultaten zijn niet te herleiden naar personen of organisaties.

Wie deden mee met April Awareness?
De deelnemers van April Awareness blijven anoniem. Wel noemen we de diverse sectoren, onder meer: zorginstellingen, vervoersbedrijven, lokale overheden, provinciale overheden, zakelijke dienstverleners, ICT-dienstverleners, banken en verzekeraars.

Achtergrond LBVD

LBVD is een landelijk opererend adviesbureau dat sinds 2005 de digitale wereld leefbaar maakt voor organisaties, overheden en instellingen. Zij staat opdrachtgevers bij met diensten op de gebieden: Awareness, Red Teaming en Consultancy. LBVD geeft inzicht, draagt oplossingen aan en ondersteunt bij de realisatie van verandering. Tot tevreden opdrachtgevers behoren overheden, multinationals, politieke instellingen, zorginstellingen, financiële, juridische en NGO-instellingen, profit- en non-profitbedrijven

Gerelateerde berichten...