Vier jaar geleden is op de universiteit het responsible disclosure beleid vastgesteld. In dat beleid geven we aan dat we geen (straf)maatregelen nemen als degene die door een lek of kwetsbaarheid een systeem heeft gehackt, dat op een verantwoorde wijze aan ons meldt.
Hiervoor is een template van het Nationaal Cyber Security Centrum (NCSC) gebruikt. De Universiteit Twente was de eerste organisatie, buiten het NCSC zelf, die het gebruikte. Onze ervaringen en opmerkingen van melders hebben geresulteerd in kleine aanpassingen, die vervolgens zijn afgestemd om het template te wijzigen. Ons eigen beleid is begin 2018 herzien en aan de omstandigheden aangepast.
De eerste versie van het beleid is in februari 2014 gepubliceerd en in april kwamen de eerste meldingen. Die eerste versie was alleen in het Nederlands beschikbaar. Zoals verwacht kwamen hierdoor de meeste meldingen van onze eigen studenten. Zij zorgden in 2014 voor 17 meldingen.
Een interessante melding had betrekking op de manier waarop Oracle omging met de opslag van wachtwoorden voor toegang tot hun beheerinterface. De Oracle server gaf die wachtwoorden, als hem de juiste vraag stelde. Wat daarnaast interessant was aan die melding, was dat de melder niet bij die interface had mogen kunnen komen. Onze beheerders hebben direct onderzoek gedaan naar de manier waarop die toegang was verkregen. Die toegangsmogelijkheid was binnen enkele uren gevonden en geblokkeerd. Dat was anders met het lek in de Oracle server zelf. Oracle deed bijna 300 dagen over het oplossen hiervan.
In 2015 ontvingen we 29 meldingen. Ook dat jaar waren de melder voornamelijk studenten van onze universiteit. Er kwamen echter ook enkele meldingen van studenten van andere universiteiten en dan met name die universiteiten waar we nauw mee samenwerken op het gebied van cybersecurity onderzoek. Dat jaar was het eerste jaar waarin we, de steeds weer terugkerende, Cross Site Scripting (XSS) en SQL injection (SQLi) meldingen kregen.
Het daaropvolgende jaar bleef het aantal meldingen steken op 25. Wat we nu voornamelijk tegenkwamen, waren meldingen over onveilige toegang tot diverse systemen. Veel leveranciers gaan er vanuit dat een apparaat achter een firewall o.i.d. komt te hangen. Dat is op het universiteitsnetwerk bijna nooit het geval. Onveilige configuraties en standaard wachtwoorden zijn het gevolg.
Vorig jaar haalden we de 33 meldingen. Een nieuw fenomeen dat jaar waren de clickjacking meldingen. Clickjacking zorgt ervoor dat een site in een zogenaamd iframe geladen kan worden, waardoor de site dat de iframe toont, onzichtbare knoppen over de andere site kan leggen. Dat kan gevaarlijk zijn. Aan de andere kant is het ook een feature, die bij zeer veel sites gewenst is. We hebben ze niet allemaal op kunnen lossen, maar de beheerders van de sites hebben wel weer eens nagedacht over het risico en vervolgens een overwogen keuze gemaakt.
Dit was ook het eerste jaar dat er meldingen kwamen over specifieke nameserver records, zoals SPF, waarmee phishing bestreden kan worden. Alle melders kregen een vermelding in de Hall of Fame, maar het aantal van dergelijke meldingen werd op een gegeven moment zo groot dat we besloten hebben om die niet meer te honoreren met een vermelding.
Dit jaar is pas een paar maanden oud en nu al zitten het dubbele aantal van vorig jaar. Dat werd voornamelijk veroorzaakt door een hausse in februari, waarin we 45 meldingen in een paar weken tijd kregen. Meer dan 90% van de meldingen was afkomstig uit India en Pakistan (het beleid staat nu ook in het Engels op onze site).
Veel van die meldingen hadden betrekking op een nieuwe kwetsbaarheid voor websites, namelijk Cross Origin Resource-Sharing (CORS). Bij CORS sta je een andere website toe, zonder verdere authenticatie, informatie te tonen binnen de context van je eigen pagina. Dat kan handig zijn, maar als die andere informatie een script is, kan dat voor onverwachte problemen zorgen. Zoals bij sites als nu.nl is gebleken bij het laden van scripts van externe advertentie leveranciers.
In totaal hebben nu ruim 80 personen meer dan 170 meldingen gedaan. We willen hen bedanken voor hun hulp om de universiteit veiliger te maken.
