SIDN introduceert incentive om gebruik van security.txt te stimuleren
Zoals het er nu naar uitziet wordt de toepassing van security.txt vanaf de eerste helft van volgend jaar toegevoegd aan de Registrar Scorecard (RSC). Dat betekent dat er straks een financiële korting wordt geven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt.Met deze incentive-regeling ondersteunt Stichting Internet Domeinregistratie Nederland (SIDN) het stimuleringsproject van de Vereniging van Registrars (VvR) voor de adoptie van security.txt.
Security.txt is bijna 2 jaar geleden gestandaardiseerd als RFC 9116. Het betreft een relatief eenvoudig tekstbestand waarin organisaties hun 'responsible disclosure (CVD)'-beleid en contactpersonen kunnen publiceren. Het Digital Trust Center (DTC) is groot voorstander van security.txt. Op dit moment heeft het DTCvaak veel werk aan het vinden van de juiste ingangen voor het waarschuwen van individuele bedrijven over kwetsbare of gecompromitteerde systemen.
Belonen, promoten, trainen en automatiseren
"In de tweede helft van dit jaar beginnen we met de implementatie van de incentive en het promoten van security.txt," vertelt Alfredo Garcia Frias, relatiemanager bij SIDN. "De infrastructuur voor de nieuwe incentive-regeling is er al: Labs kan voor elk .nl-domein zien of security.txt beschikbaar is en wat daarin zit. De uitbreiding van de RSC-applicatie vraagt nog wel behoorlijk wat werk. Op dit moment werken we ook de details van de regeling zelf uit: wat willen we precies met hoeveel korting belonen?"
"Daarnaast is er al een korte e-learning module beschikbaar in SIDN Academy. Daarin werken we in 4 stappen uit hoe je tot de publicatie van een volwaardig security.txt-bestand komt. Vooralsnog zijn die modules alleen toegankelijk voor onze registrars, maar we kijken of we deze via de Internet.nl-testportal breed beschikbaar kunnen maken."
Verschillende deelprojecten
SIDN werkt voor de stimulering van security.txt nauw samen met de VvR, de aanjager van al deze initiatieven. Op dit moment is maar 2,2% van alle .nl-webdomeinen voorzien van een geldig security.txt-bestand. "Dat zijn alleen de early, early adopters," zegt VvR projectleiderDaniël Federer. "We weten van open standaarden dat een kritieke massa nodig is om het gebruik op gang te brengen. De incentive-regeling van SIDN is bedoeld als tijdelijke maatregel om de adoptie over die eerste drempel heen te tillen." Vorig jaar heeft de VvR bij het SIDN-fonds een aanvraag gedaan voor de financiering van 3 deelprojecten rondom security.txt:
- Native ondersteuning van security.txt in veelgebruikte hosting control panels als DirectAdmin, cPanel en Plesk, waarmee hosters aan de slag kunnen. Hierbij is gekozen om security.txt integraal onderdeel van deze pakketten te maken, zodat het onderhoud daarna ook bij de leveranciers ligt (dit in tegenstelling tot het onderhoud van een externe plugin). De VvR is inmiddels in gesprek met deze partijen over de implementatie van security.txt in hun software.
- Een plugin voor WordPress, het meest gebruikte open-source Content Management System (CMS). Hiermee worden zowel eindgebruikers van dit pakket als digital agency's geholpen. De hoop is dat deze plugin op termijn in de core van WordPress wordt opgenomen. Voor de functionaliteit van de plugin is aansluiting gezocht bij de security.txt-test die nu al onderdeel is van Internet.nl. Deze plugin doet meer dan alleen een rijtje invoervelden vertalen naar een security.txt-bestand om die vervolgens te publiceren (dit in tegenstelling tot de twee al bestaande plugins voor WordPress). De inhoud wordt ook digitaal ondertekend en de gebruiker krijgt een waarschuwing als de geldigheidstermijn verloopt.
- De ontwikkeling vanbest practicesvoor de toepassing van security.txt. Dit onderdeel wordt uitgevoerd door het DTC. Het idee is om registrars praktische implementatietips te geven voor de toepassing van security.txt op hun portfolio, eventueel in combinatie met de control panels.
Toegevoegde waarde
Deze subsidie-aanvraag is in oktober toegekend door het SIDN-fonds. "We hebben alle stakeholders bij dit initiatief betrokken," aldus Federer. "SIDN voor de incentive, het DTC en het Nationaal Cyber Security Centrum (NCSC) als belangrijke gebruikers vanuit de overheid, Internet.nl voor de awareness, en de VvR zelf namens de registrars. Iedereen vond het een goed idee en iedereen levert een bijdrage."
"De toegevoegde waarde van security.txt ligt vooral bij de registrars, al zit deze functionaliteit meer aan hosting-zijde dan aan de DNS-kant." Daarbij benadrukt Federer dat deze standaard direct concrete meerwaarde oplevert. "Dat is anders dan bij DNSSEC bijvoorbeeld. De Kaminsky-aanval die destijds leidde tot de ontwikkeling van DNSSEC was vooral theoretisch, en nog steeds vinden ernstige DNS-aanvallen minder vaak plaats dan bijvoorbeeld plofkraken – om maar wat te noemen."
Security.txt biedt een simpele oplossing voor een veel voorkomend probleem. "Helemaal los van daadwerkelijke aanvallen blijkt de beveiliging van websites vaak stuk of lek te zijn doordat ze niet (goed genoeg) geüpdatet worden of niet goed geconfigureerd zijn. Dat kan met name voor zakelijke websites waar producten verhandeld worden, transacties plaatsvinden en persoonsgegevens worden verwerkt, flinke schade opleveren. Bij detectie van kwetsbaarheden is het lastig om de juiste mensen te bereiken. Dat maakt dat deze standaard geen theoretisch, maar een belangrijk en zichtbaar doel nastreeft." Een lid van de DTC Community reageert als volgt op security.txt:
"Goed initiatief! Wij zijn zelf nog 'druk' bezig hiermee... de technische voorbereiding is er m.i. wel maar de disclosure ligt nog bij onze 'legal' afdeling om te reviewen."
Contactinformatie belangrijk bij notificaties
Het DTC is een belangrijke voortrekker van de security.txt-standaard. De gepubliceerde contactinformatie wordt gebruikt voor de notificatiedienstverlening, waarbij individuele bedrijven – van zzp-er tot grootbedrijf – proactief benaderd worden als ernstige kwetsbaarheden in hun systemen of concrete bedreigingen worden gemeld. Voorbeelden daarvan zijn kwetsbaarheden in 'Zimbra Collaboration'-omgevingen, verouderde 'Windows (Exchange)'-systemen en veiligheidsproblemen in het SMB-protocol.
"Onze dienst houdt in dat wij bedrijven mailen en bellen, waarschuwen voor specifieke cybersecuritybedreigingen en zo veel mogelijk handelingsperspectief aanreiken," zo vertelde Kim van der Veen, projectleider van de DTC Notificatiedienst eerder. "Dat laatste betekent bijvoorbeeld dat ze hun software moeten patchen of hun configuratie moeten aanpassen."
"De input voor die meldingen wordt bij ons aangeleverd door partijen die beschikken over doelwit- en slachtofferinformatie, waaronder het NCSC. In de meeste gevallen hebben we als startpunt alleen een IP-adres beschikbaar. Via Reverse DNS en andere verrijkingsmogelijkheden proberen we daar dan een domeinnaam bij te vinden. Daarna gaan we op de website op zoek naar een ingang voor onze melding. Als het meezit, vinden we dan het telefoonnummer van de receptie of een algemeen info-mailadres. Vervolgens moeten we maar hopen dat onze waarschuwing op de juiste plaats belandt en opvolging krijgt."
Tijdswinst op precair moment
Waar het in 2022 nog om 4.600 meldingen ging, is dat aantal het afgelopen jaar verveelvoudigd. Vanaf de start in 2021 tot eind 2023 heeft het DTC op deze manier ruim 156.000 meldingen verwerkt, veelal aangeleverd in de vorm van lijsten met IP-adressen. Vanwege al het handmatige uitzoekwerk en het belang van snel handelen, is het DTC enorm geholpen met de informatie in het security.txt-bestand. Vandaar dat het DTC een campagne is gestart om het gebruik van security.txt te stimuleren. Voor ondernemers wordt in een paar stappen uitgelegd wat ze moeten doen. Voor IT-dienstverleners is er informatie over bulkacties beschikbaar.
Verdere adoptie
Hoewel de toepassing van security.txt de afgelopen twee jaar sterk is gegroeid, is het gebruik op het totaal van alle .nl-webdomeinen nog heel beperkt. Verdere adoptie van deze standaard is dan ook een grote wens van het DTC. "De security.txt-bestanden helpen ons enorm om via mail of per telefoon het juiste contact of de juiste ingang voor onze meldingen te vinden," zegt Van der Veen. "Het gebruik is wel toegenomen, maar het gaat veel minder hard dan wij zouden willen. Security.txt is niet alleen voor ons van belang, maar ook voor security-onderzoekers, universiteiten en ethische hackers. En natuurlijk voor de organisaties die uiteindelijk op deze manier geïnformeerd worden over kwetsbaarheden en bedreigingen."
"Wij krijgen dagelijks lijsten met kwetsbaarheden en IP-adressen aangeleverd. Gaat het om ernstige dreigingen tegen grote organisaties, dan pakken we die handmatig op. Maar generieke kwetsbaarheden op grote aantallen kunnen we niet anders dan geautomatiseerd verwerken. Voor het achterhalen van het bedrijf achter een IP-adres gebruiken we bestaande tooling en diensten. Zoekmachines als Shodan nemen inmiddels ook al het security.txt-bestand mee."
Digitaal weerbaarder
"Veel meldingen sturen we noodgedwongen naar de netwerkeigenaar," zegt Van der Veen. "Wat we hopen is dat zij die berichten vervolgens doorzetten naar hun klanten, maar dat gebeurt lang niet altijd. En zelfs als we wel de klant weten te bereiken, dan is het nog moeilijk om voorbij de servicedesk te komen en de IT-afdeling of directeur te bereiken." Sommige dienstverleners koppelen terug wat ze met de waarschuwing gedaan hebben:
"Actie is niet noodzakelijk voor ons, onze eindgebruikers zitten niet op de getroffen software laag. Mag ik u wel bedanken voor de prima informatie actie."
Eén van de redenen om notificaties niet door te zetten is natuurlijk dat veiligheidswaarschuwingen negatief kunnen afstralen op de dienstverlener. Maar je kunt het ook zien als een extra dienst. "Onze doelstelling is om Nederland digitaal weerbaarder te maken. Het mooist zou zijn als hostingbedrijven security.txt voor hun klanten inregelen, en daarbij zichzelf als ingang voor deze meldingen instellen. Dat kan bijvoorbeeld met een redirect voor alle hostingklanten. CMS-leveranciers en -hosters kunnen een default instellen die bijvoorbeeld wijst naar een HackerOne-pagina, waar security-onderzoekers en ethische hackers terecht kunnen voor het 'Bug bounty en CVD'-programma."
Van der Veen benadrukt dat de meeste ontvangers overwegend positief zijn over de waarschuwingen. "Er staan feedbacklinks onder al onze notificaties. We horen natuurlijk graag of een waarschuwing nuttig was en of de ontvanger daar actie op heeft ondernomen. Enkele reacties:
"Dank voor de waarschuwing. Ik heb niet gerealiseerd dat de situatie zo dreigend is. Ik neem maatregelen."
"Poorten direct geblokkeerd in de firewall."
"Iets meer info zou ik graag hebben; hoelang het duurde en of het nu nog steeds zo is."
In de Verenigde Staten en Duitsland is de adoptie van security.txt al aanzienlijk hoger dan hier in Nederland. Van der Veen verwacht de komende tijd echter een inhaalslag. "Nu security.txt op de 'Pas toe of leg uit'-lijst staat, zullen aanbieders die aan overheden leveren deze standaard sowieso moeten ondersteunen."
Test of je security.txt hebt
Relevante links
Wat is security.txt?
Security.txt voor IT-dienstverleners
Security.txt verplicht voor overheid