Nederlandse overheden moeten verplicht security.txt gaan gebruiken

Nederlandse overheidsinstellingen moeten verplicht security.txt gebruiken op websites. Gemeenten, provincies en de Rijksoverheid moeten volgens een Pas toe of leg uit-standaard een document online zetten waarin te vinden is hoe ethische hackers hen kunnen bereiken.

De security.txt-standaard is volgens het Digital Trust Center inmiddels verheven tot de Pas toe of leg uit-status van het Forum Standaardisatie. Dat betekent effectief dat het verplicht is voor overheidsinstellingen om security.txt toe te passen op hun websites, tenzij beheerders een goede reden kunnen benoemen om dat niet te doen. Het Forum begon daar vorig jaar al een consultatie voor.

Volgens het Digital Trust Center heeft twintig procent van de Nederlandse overheidswebsites een security.txt-bestand. Het Forum Standaardisatie hoopt dat aandeel te verhogen. Het nieuwe beleid is van toepassing op websites van gemeenten, provincies, Rijksinstellingen en waterschappen. Die hoeven niet altijd een eigen bestand te uploaden. Ze kunnen ook verwijzen naar het algemene security.txt-bestand bij het Nationaal Cyber Security Centrum, dat het responsibledisclosurebeleid van de hele Nederlandse overheid voor rekening neemt.

Security.txt is sinds vorig jaar een officiële RFC-draft voor een standaard. De standaard beschrijft een tekstbestand dat websitebeheerders op een centraal vindbare plek op hun domein kunnen plaatsen, waarin informatie staat over hoe zij bereikbaar zijn voor ethische hackers die een kwetsbaarheid hebben gevonden. Tweakers sprak vorig jaar met de bedenker van de standaard en schreef er een achtergrondartikel over.

Het Digital Trust Center pleit al sinds vorig jaar voor de implementatie van de standaard. Het DTC is onderdeel van het ministerie van Economische Zaken en richt zich met name op het Nederlandse bedrijfsleven. Eind vorig jaar voegde Internet.nl al validatie voor security.txt toe aan zijn domeintest.

Security.txt

Reacties (49)

Malino 30 mei 2023 20:24

Het lijkt me veel logischer hier een extra veld in het WHOIS record voor toe te voegen (aangezien het "administratieve contact" blijkbaar niet voldoende was), in plaats van het wiel opnieuw uit te vinden met een los tekstbestand dat precies hetzelfde doeleinde heeft.

Adm.Spock @Malino • 30 mei 2023 20:41

Zou zomaar kunnen dat er voor de domeinregistratie 1 departement van een ministerie een hele rits aan domeinnamen heeft geregistreerd, maar dat die domeinen door een ander departement op een ander ministerie, provincie, gemeente, waterschap, of ander (semi)overheidsorgaan gebruikt wordt, dan is de whois informatie niet heel nuttig meer. Een "security.txt" kan dan een handig hulpmiddel zijn om met de juiste IT beheerder in contact te komen.

hawkeye73 @Adm.Spock • 30 mei 2023 21:05

Ik heb een testje gedraaid en de sites verwijzen 'allemaal' naar:

https://www.ncsc.nl/.well-known/security.txt

Tsja...

Triblade_8472 @hawkeye73 • 31 mei 2023 07:53

Wel makkelijk. Zou het ook werken als ik 'mijn' site hiernaar te verwijzen?

Het zou ze sieren als alle sites erin zouden staan die eronder vallen. Hoe moet ik nu weten of de verwijzing juist is?

trogdor @Triblade_8472 • 31 mei 2023 10:59

dat is wel een goed punt ja

Adm.Spock @Triblade_8472 • 31 mei 2023 20:23

Als een site van de (semi)overheid of een publiek orgaan naar het NCSC wijst, moet je er maar vanuit gaan dat dat juist is.

Een commercieel bedrijf dat naar de NCSC wijst is op z'n minst twijfelachtig, en, imho, dubieus.

Adm.Spock @hawkeye73 • 31 mei 2023 00:14

Blijkbaar is dus het NCSC de juiste IT beheerder.

EnigmaNL @hawkeye73 • 31 mei 2023 00:21

Het NCSC is ook de juiste ingang. Prima oplossing toch?

sjimmie @hawkeye73 • 31 mei 2023 07:45

Je kan het ook omdraaien, ze hebben het dus "allemaal" al geregeld.

Michelli

@hawkeye73 • 3 juni 2023 18:27

Dat is omdat CVD-meldingen voor de meeste organisaties van de Rijksoverheid via het NCSC verlopen. Er zijn echter uitzonderingen, zoals de Belastingdienst, met een eigen proces.

(Bedankje bij het NCSC is trouwens een T-shirt met daarop “I hacked the Dutch government and all I got was this lousy T-shirt”. Bij de Belastingdienst krijg je een beker met daarop “I hacked the Dutch Tax Authority and never got a refund”)

sjroorda @Adm.Spock • 31 mei 2023 09:43

Niet alleen dit (de whois kan je ook per domein laten verschillen), maar het hele grote voordeel van security.txt is dat het een eenduidige standaard is die onafhankelijk van derden kan worden geïmplementeerd. Bij een whois-implementatie zit je vast aan

de implementatie van de registry: welke velden zijn nodig, op welke manier geef je die door, hoe toont de registry dit in de whois, ... Dit leidt tot verschillen tussen de extensies
daarmee krijgt ook de gebruiker van security.txt (de ethisch hacker bijvoorbeeld) een probleem, omdat voor elke extensie een andere manier van data opzoeken nodig is
en last but not least: dit zal in zo'n geval altijd een optioneel veld worden, en daarmee is de kans heel groot dat heel veel registrars en webhostingpartijen dit veld niet zullen ondersteunen bij de registratie of het updaten van een domein

Het risico van de huidige implementatie is natuurlijk wel dat er eenvoudig gescraped kan worden, maar de consensus (van horen zeggen, ik heb geen bron) is dat de voordelen opwegen tegen dit nadeel.

Klauwhamer @Adm.Spock • 31 mei 2023 12:15

Ik kan uit eerste hand bevestigen dat dit het geval is. Ook ben ik voorstander van security.txt en heb klanten al veel eerder een por gegeven over dit initiatief.

GoBieN-Be @Malino • 30 mei 2023 20:57

Het ethisch hacken gebeurt gericht tegen een informatica systeem, zoals een webserver in dit voorbeeld. Dan vind ik het security.txt bestand op dat specifieke systeem de betere plaats.
Immers een andere URI kan naar een andere webserver verwijzen waar andere gegevens staan in de security.txt

ViperXL @GoBieN-Be • 31 mei 2023 10:15

Dat is ook mijn gedachtegang, daarnaast wat men oppert over WHOIS gegevens kan er een groot verschil zijn tussen de beheerders en/of organisaties die het domeinnaam/DNS beheren en de achterliggende systemen.
Bij een responsible disclosure wil je natuurlijk dat er correct, snel en bij de juiste partij een melding binnen komt en naartoe wordt verstuurd.

Sebazzz

@Malino • 30 mei 2023 20:57

Security.txt is meer dan alleen een e-mailadres. Je kan allerlei velden erin opnemen, zoals URLs, de datum wanneer het verloopt, een publieke GPG key, en je kan de security.txt zelf ook nog ondertekenen. Dit is geen vinding uit de koker van onze overheid, maar wordt al breder gebruikt - zie ook https://securitytxt.org.

Dit red je niet met een simpel DNS WHOIS record hoor

Malino @Sebazzz • 30 mei 2023 21:20

Ja maar het zou toch niet heel ingewikkeld hoeven zijn om dat soort extra velden op te nemen in de WHOIS standaard? Zodat je daar behalve een email adres en telefoonnummer, ook sleutels, url's, of desnoods Twitter handles in kwijt kunt.

Je ziet gewoon heel vaak dat wanneer een standaard een bepaalde functionaliteit mist, dat er meteen een hele alternatieve standaard ontwikkeld wordt. Terwijl het eigenlijk vaak beter is de bestaande standaard uit te breiden. Want nu heb je weer het gevolg dat de informatie over het domein op verschillende plekken verspreid staat.

Verwijderd @Malino • 30 mei 2023 22:39

Whois kan hier gebruik van maken.

Michelli

@Sebazzz • 3 juni 2023 18:29

Of zoals het NCSC doet: linkje naar de Wall of Fame en eentje naar de vacatures op Werken voor Nederland

ElgerStitch

30 mei 2023 17:34

Hier kan je de voortgang van de adoptie volgen:
https://basisbeveiliging....eb_appsecpriv_securitytxt

djwice

@ElgerStitch • 30 mei 2023 18:40

@Yero die site lijkt me ook informatief voor jou. Hoever overheden zijn met implementatie van diverse beveiligingstechnieken.

xbeam @ElgerStitch • 30 mei 2023 21:22

Komende vanaf jouw site: is dit weer lekker overheids voorbeeld. geen hoe hier een afspraak te kunnen maken? Geen idee trouwens wat wel de correcte inhoud zou moeten zijn zeker weten niet dit

$_/-\o_$
https://afspraken.lelystad.nl/

[Reactie gewijzigd door xbeam op 23 juli 2024 06:04]

baknu 30 mei 2023 21:13

Ze kunnen ook verwijzen naar het algemene security.txt-bestand bij het Nationaal Cyber Security Centrum, dat het responsibledisclosurebeleid van de hele Nederlandse overheid voor rekening neemt.

Dat geldt alleen voor organisaties van de Rijksoverheid. Zie hieronder het relevante citaat uit het nieuwsbericht van Forum Standaardisatie:

De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van NCSC. Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.

Bron: https://forumstandaardisatie.nl/nieuws/securitytxt-verplicht-voor-overheid

Verwijderd 30 mei 2023 18:32

In my opinion security.txt is just exposing another attack vector
https://app.intigriti.com/programs/dpmg/tweakers/detail
Is opgegeven als contact voor tweakers, maar het is helemaal geen contact pagina,
Ik heb gewoon een mail form met capcha waar ethical hacker zich kunnen melden. be my guest.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:04]

field33P @Verwijderd • 30 mei 2023 18:50

Hoe is security.txt een aanvalsvector als je toch al een webserver draait? Het enige wat erin staat is waar je moet aankloppen wanneer je een beveiligingsprobleem op een website/online systeem van een bedrijf/instantie aantreft.

Verwijderd @field33P • 30 mei 2023 18:54

Omdat alles wat je prijs geeft een extra attack vector is, ik geloof niet in security door obscurity, maar gratis prijsgeven van informatie alleen voor de eerlijke hacker vind ik wat naief.

field33P @Verwijderd • 30 mei 2023 19:23

Het security.txt-bestand van de Rijksoverheid bevat alleen maar een paar links en een mailadres. Wat is daar een attack vector aan?

Verwijderd @field33P • 30 mei 2023 20:06

dit is allemaal nep veiligheids gevoel

Kheos @Verwijderd • 30 mei 2023 20:24

geen idee welk veiligheidsgevoel een contactformulier (niet) zou kunnen geven, maar doe jij nu niet precies hetzelfde?
Het 'voelt' als another attack vector, het 'voelt' als gratis prijsgeven van informatie... Heb je ook iets concreet of is dit allemaal maar onderbuikgevoel dat nergens op gestaafd is?

Scriptkid @field33P • 31 mei 2023 09:18

het replacen van de file door de aanvaller om zo alle gemelde exploits te krijgen en te kunnen gebruiken

Niemand_Anders @Scriptkid • 31 mei 2023 10:58

Bij een goed ingerichte webserver heeft de user waaronder de webserver draait helemaal geen schrijfrechten op de bestanden binnen de web folder. Nog los van het feit dat veel security.txt bestanden helemaal niet fysiek bestaan (net als robots.txt), maar de inhoud rechtstreeks uit een database worden getrokken. Je hebt dan immers geen nieuwe release van je website nodig omdat iets in je policy veranderd...

Scriptkid @Niemand_Anders • 31 mei 2023 11:22

Bij een goed ingerichte webserver

Het zit al in je eerste zin, het grootste percentage hacks val niet onder de category goed ingerichte servers.

poktor @Scriptkid • 1 juni 2023 00:05

Dit inderdaad. Hoe vaak is het al niet gebeurd dat iemand op een "bestand.txt.exe" heeft geklikt en daardoor de hele pc werd gegijzeld? Ontelbare keren. Ook bij bedrijven en overheden. Dus als security.txt wordt vervangen door een security.txt.exe, zal dat door alle ambtenaren met een windows-pc niet worden opgemerkt en zal daar op geklikt worden. Minimaal 90% kans dat dat gebeurt.

[Reactie gewijzigd door poktor op 23 juli 2024 06:04]

The Realone @Verwijderd • 30 mei 2023 19:08

Vertel dan eens welke informatie precies de attack vector vergroot, want je doet onnodig vaag.

RobIII @Verwijderd • 30 mei 2023 18:53

Ook ik ben benieuwd hoe security.txt een aanvalsvector is...

Newbey @Verwijderd • 30 mei 2023 22:26

Ben jij een overheids website, waar het in dit artikel over gaat?

MrMonkE @Verwijderd • 31 mei 2023 02:22

Met een security.txt kan het melden echter geautomatiseerd worden.
Dat is wel handig lijkt me.

ShDT 30 mei 2023 17:39

Leuk hoor, maar daar is het DTC niet voor opgericht. Wat is het netto resultaat qua verhogen van de weerbaarheid binnen het mkb?

mOrPhie @ShDT • 30 mei 2023 17:54

DTC meldt alleen het nieuws. Het is Forum Standaardisatie die het aan de past-toe-of-leg-uit-lijst heeft toegevoegd.

FONfanatic @ShDT • 30 mei 2023 18:03

Vele handen maken licht werk. Als ethisch hacker serieus genomen worden als je een MKB-er tipt iets op de website op te lossen is een wereld van verschil met 10 jaar geleden toen ik een aangifte te verstouwen kreeg na het plegen van een goede daad.

Robbierut4 @ShDT • 30 mei 2023 17:54

Het DTC doet best wel nuttige dingen.

Tijd terug kreeg de organisatie waar ik werk een mailtje van het DTC, dat er een bepaalde service nog open stond naar het internet toe.
Was niemand bij ons bewust van, maar met de informatie van het DTC en veel zoeken hebben we het kunnen dichten.

Frame164 @Robbierut4 • 30 mei 2023 18:22

Goed dat je dat hier durft te zeggen dat het onbewust was. De algemene opinie hier is immers dat als er security issues zijn er ongelofelijke klunzen aan het werk zijn. Wat natuurlijk onzin is, en alleen door mensen wordt geroepen die als stuurman aan de wal staan.

TweakerCarlo @Frame164 • 30 mei 2023 19:44

Klunzen wil ik idd ook niet stellen. Misschien is er geen bewustzijn, dat is een nl een ander verhaal.
Bij ons zit een hoodfkantoor achter alles wat wij lokaal doen, die alles naloopt. Mochten we iets online zetten wat niet veilig is of niet aan eisen voldoet, word het meteen gechecked en krijgen we de oplossing aangeboden.

Room42 @TweakerCarlo • 30 mei 2023 20:22

Het ging daar niet over wat er online kwam maar wat er niet meer offline ging.

TweakerCarlo @Room42 • 30 mei 2023 20:23

Ahh zo, ik doelde op -> Alles wat online staat in welke vorm dan ook :-)

[Reactie gewijzigd door TweakerCarlo op 23 juli 2024 06:04]

Scriptkid 30 mei 2023 22:15

Dus nu ga je als aanvaller de website security.txt replacen en laat je andere het werk voor je doen zodat ze de vulnerabilities bij jouw komen melde. Die je dan zelf kunt gebruiken. Handig

EraYaN @Scriptkid • 31 mei 2023 00:36

Als je al op de webserver zit dan hoef je natuurlijk niet nog een exploit te hebben.

Scriptkid @EraYaN • 31 mei 2023 09:17

een txt file replacen is anders vele malen makelijker dan het hele db systeem er achter aanvallen zelfs al zou je full acces op de web server hebben.

bijvoorbeeld site steam zouden alle dingen ook van de client gemeld worden.

Jim80 30 mei 2023 19:06

Tweakers geeft alvast het goede voorbeeld!
https://tweakers.net/.well-known/security.txt

Sjaakzuid 31 mei 2023 18:10

Het is beter een ontkoppeling te maken tussen het internet en het intranet van de overheid met standaard formulieren die optisch gescheiden zijn, je kan dan alleen formulieren krijgen die een standaard indeling hebben en die als burger in standaard indeling weer kan beantwoorden.

Op dit item kan niet meer gereageerd worden.

Nederlandse overheden moeten verplicht security.txt gaan gebruiken

Lees meer

Reacties (49)

Sorteer op:

Weergave: