Faalkaart

Faalkaart geeft inzicht in hoe veilig uw gemeente is richting het internet. Er wordt gekeken hoe veilig de gemeente haar verbindingen heeft ingericht. Het is belangrijk dat dit goed gebeurt omdat hierover ook uw gegevens worden verstuurd.

Stuur nieuwe subdomeinen in via twitter: @faalkaart of mail info@faalkaart.nl

Voor burgers

Op een eenvoudige manier zien of beveiliging op orde is. Dat moet iedereen onafhankelijk kunnen, zonder kennis van techniek. Faalkaart is een middel dat dit mogelijk maakt. Door beoordelingen meteen te publiceren is er altijd inzicht in de laatste stand van zaken.

Voor organisaties

Organisaties krijgen continu, onafhankelijk inzicht in outward facing IT. Niet alleen scheelt het (publiek) geld, de verantwoordelijkheid voor het beschermen van gevoelige informatie en systemen wordt hiermee verder tastbaar. Faalkaart neemt zo veel mogelijk obscuriteit weg.

Voor ontwikkelaars

Het faalkaart project zorgt ervoor dat informatie en systemen beter beveiligd worden. Het project helpt informatiebeveiling op de kaart te zetten bij organisaties. Faalkaart is volledig open source en hulp om het beter te maken is altijd welkom.

Organisaties

Organisaties hebben vaak meerdere internet adressen. Alle fouten op deze adressen bij elkaar opgeteld bepalen of de organisatie haar beveiliging op orde heeft.

Oh, wow!
Pretty fair, but not really there.
They have a lot to learn.
We didn't scan them then...
Tijdstip Aantal Goed Matig Slecht
{{ key }} {{ x["included_organizations"] }} {{ x["green"] }} ({{ x["green percentage"] }}%) {{ x["orange"] }} ({{ x["orange percentage"] }}%) {{ x["red"] }} ({{ x["red percentage"] }}%)

Internet adressen

Van de onderstaande adressen hebben we een beveilingsstatus weten te bepalen.

Oh, wow!
Pretty fair, but not really there.
They have a lot to learn.
Tijdstip Aantal Goed Matig Slecht
{{ key }} {{ x["total_urls"] }} {{ x["green_urls"] }} ({{ x["green url percentage"] }}%) {{ x["orange_urls"] }} ({{ x["orange url percentage"] }}%) {{ x["red_urls"] }} ({{ x["red url percentage"] }}%)

Integriteit en vertrouwelijkheid

Goede versleuteling garandeert dat informatie niet door anderen gelezen of aangepast kan worden.

Beveiliging Resultaat Aantal
Toepassing van versleuteling
Geheel niet:{{ x['explained']['plain_https']['Site does not redirect to secure url, and has nosecure alternative on a standard port.'] }}
Doorverwijzing vanaf onveilig adres:{{ x['explained']['plain_https']['Redirects to a secure site, while a secure counterpart on the standard port is missing.'] }}
Kwaliteit van versleuteling
Onvoldoende:{{ x['explained']['tls_qualys']['Broken Transport Security, rated F'] }}
Ongeldig voor adres:{{ x['explained']['tls_qualys']['Certificate not valid for domain name.'] }}
Geen vertrouwen, C:{{ x['explained']['tls_qualys']['Could not establish trust. For the certificate installation: Less than optimal Transport Security, rated C.'] }}
Geen vertrouwen, B:{{ x['explained']['tls_qualys']['Could not establish trust. For the certificate installation: Less than optimal Transport Security, rated B.'] }}
Geen vertrouwen, A-:{{ x['explained']['tls_qualys']['Could not establish trust. For the certificate installation: Good Transport Security, rated A-.'] }}
Geen vertrouwen, A:{{ x['explained']['tls_qualys']['Could not establish trust. For the certificate installation: Good Transport Security, rated A.'] }}
Matig:{{ x['explained']['tls_qualys']['Less than optimal Transport Security, rated C.'] }}
Redelijk:{{ x['explained']['tls_qualys']['Less than optimal Transport Security, rated B.'] }}
Goed:{{ x['explained']['tls_qualys']['Good Transport Security, rated A-.'] }}
Perfect:{{ x['explained']['tls_qualys']['Good Transport Security, rated A.'] }}
Perfect en meer+:{{ x['explained']['tls_qualys']['Perfect Transport Security, rated A+.'] }}

Veiligheid inhoud website

Of de website diverse aanvallen voorkomt.

Beveiliging Resultaat Aantal
Afdwingen van versleuteling / HTTP Strict Transport Security (HSTS)
Niet:{{ x['explained']['security_headers_strict_transport_security']['Missing Strict-Transport-Security header.'] }}
Wel:{{ x['explained']['security_headers_strict_transport_security']['Strict-Transport-Security header present.'] }}
Voorkomen van Clickjacking aanvallen (X-Frame Options)
Niet:{{ x['explained']['security_headers_x_frame_options']['Missing X-Frame-Options header.'] }}
Wel:{{ x['explained']['security_headers_x_frame_options']['X-Frame-Options header present.'] }}
X-XSS Protection
Niet:{{ x['explained']['security_headers_x_xss_protection']['Missing X-XSS-Protection header.'] }}
Wel:{{ x['explained']['security_headers_x_xss_protection']['X-XSS-Protection header present.'] }}
X-Content Type Options
Niet:{{ x['explained']['security_headers_x_content_type_options']['Missing X-Content-Type-Options header.'] }}
Wel:{{ x['explained']['security_headers_x_content_type_options']['X-Content-Type-Options header present.'] }}

Diensten

Een adres kan allerlei diensten aanbieden, waaronder websites.

{{ xx[0] }}{{ xx[1] }}

Meer over Diensten

Het versturen van informatie over het internet kan op allerlei manieren: via verschillende adressen, protocollen en poorten. Sommige combinaties hiervan zijn zo gebruikelijk dat niemand er nog over nadenkt. Maar door de grote flexibiliteit zijn ook ongebruikelijke combinaties mogelijk.

Faalkaart kijkt niet alleen naar de meest gebruikelijke diensten maar neemt ook bekende alternatieven hier van mee.

Bijvoorbeeld: De meest gebruikelijke diensten op het internet zijn websites. Deze worden aangeboden op poort 80 (onversleuteld) en 443 (versleuteld). Het is niet nodig om dit aan te geven: door www.example.com in te tikken wordt http://www.example.com:80 bedoeld. Door expliciet een poort op te geven, zoals :8080, is het mogelijk om eem extra dienst aan een adres te koppelen.

Lees meer over:


Dit is de top faal van {{ humanize(top.metadata.data_from_time) }}

Notering Organisatie Punten Tweet
{{ rank.Rank }} {{ rank.OrganizationName }} {{ rank.Points }} Tweet! 📣

Dit is de top win van {{ humanize(top.metadata.data_from_time) }}

Notering Organisatie Punten Tweet
{{ rank.Rank }} {{ rank.OrganizationName }} {{ rank.Points }} Tweet! 📣

Dit zijn de slechtste adressen op {{ humanize(top.metadata.data_from_time) }}

Notering Organisatie Internet Adres
{{ rank.Rank }} {{ rank.OrganizationName }} {{ rank.Url }}

Waarom Faalkaart?

Antwoord: Er zijn veel instanties die gevoelige gegevens verwerken. Dit moet op een veilige manier gebeuren: als deze informatie op straat komt te liggen kan dit allerlei gevolgen hebben. Betrokken personen kunnen benadeeld worden of er kunnen mogelijk handelingen worden uitgevoerd die voor allerlei problemen zorgen.

Faalkaart is een middel om inzicht te geven in basale beveiliging van organisaties. Met de kaart wordt aangegeven of een organisatie in staat is om het minimale niveau van informatiebeveiliging aan te kunnen. De basisbeveiliging is vaak tekenend voor de rest van de organisatie.

Er is met opzet gekozen voor de naam "faalkaart": een meer tendentieuze naam leidt eerder tot actie en is makkelijk te begrijpen. Staat een organisatie rood op de kaart, dan moet ze actie ondernemen.

Mijn gemeente/organisatie is rood, wat nu?

Antwoord: Helaas zit er een gat in de muur. De organisatie zal actie moeten ondernemen om dit te dichten.

Vaak heeft een organisatie meerdere websites of diensten op het internet. We tellen hiervan alle fouten bij elkaar op.

Mijn gemeente is groen, is alles goed?

Antwoord: Faalkaart test alleen het laagste niveau van beveiliging, dit is toonaangevend voor de hele organisatie.

Er bestaat een kans dat een website of dienst mist en juist daar een probleem zit. Nieuwe websites of diensten kunnen altijd worden gedeeld met Faalkaart, deze worden dan zo snel mogelijk meegenomen. Zie: @faalkaart

Hoe compleet is dit?

Antwoord: rond de 5.000 domeinen van gemeenten worden regelmatig gecontroleerd.

Op faalkaart wordt alleen de basale beveiliging gecontroleerd van organisaties.

Er bestaat een kans dat een website of dienst mist en juist daar een probleem zit. Nieuwe websites of diensten kunnen altijd worden gedeeld met Faalkaart, deze worden dan zo snel mogelijk meegenomen. Zie: @faalkaart

Hoe komt de score tot stand?

Antwoord: Sinds eind 2017 wordt de score anders opgebouwd: er wordt gerekend in punten. Aan ieder beveiligingsprobleem worden punten toegekend.

Punten worden toegekend naarmate de ernst van een gevonden probleem.

Score Kleur Ernst
0-199GroenEen probleem dat een vrij laag risico met zich meedraagt.
200-999OranjeZeker de moeite waard om naar te kijken en op te lossen.
1000-1000+RoodErnstig probleem dat moet worden opgelost.
-1GrijsGeen scores bekend.

Welke grote veranderingen zijn er geweest?

Antwoord:

Wanneer Verandering
Oktober 2017Scan op het helemaal niet gebruiken van TLS toegevoegd.
Scores tussen 0 (geen vermelding), 200 en 1000.
Oktober 2017Scan op HTTP Headers toegevoegd, waaronder HSTS.
Scores tussen 0 en 200.
Oktober 2017Enkele duizenden domeinen toegevoegd.
Januari 2017Scanners hebben enkele maanden op pauze gestaan.
Juni 2016Nieuwe TLS kwetsbaarheid: veel rood.
Maart 2016Introductie faalkaart, 1800 domeinen.
Scores tussen 0 tot en met 1000.

De score is incorrect, wat moet ik doen?

Antwoord: het kan even duren voordat een wijziging in de beveiliging door faalkaart is gedetecteerd. Mocht er behoefte zijn om deze informatie sneller door te voeren, neem dan even contact op met info@faalkaart.nl.

Het doel is dat de kaart alle informatie correct weergeeft. Mocht er desondanks iets verkeerd op de kaart staan, dan zullen we dit proberen recht te trekken. Neem contact op met info@faalkaart.nl om in contact te komen met een van de moderators.

Hoe moet SSL/TLS worden ingericht?

Antwoord: Er is een aantal goede handleidingen te vinden. Toonaangevend advies komt van het Nationaal Cyber Security Centrum. Een variant toegespitst op gemeenten, die ook ingaat op DNSSEC, staat op de site van IBD Gemeenten. Lijsten met goede instellingen zijn te vinden op Cipher List.

Sinds wanneer bestaat deze kaart?

Antwoord: De kaart is gepresenteerd door sprekers op de "in het hoofd van de hacker" conferentie van 16 maart 2016. Een volledig programma van de conferentie is terug te zien op de site van de conferentie. In het eerste weekend na introductie zijn er meer dan 150 verbindingen extra versleuteld.

Hoe is dit tot stand gekomen?

Antwoord: Dit project is tot stand gekomen door:

  • Initiatiefnemer, programmeer, hak en breekwerk door Elger Jonker
  • DNSSEC en nuttig ongevraagd advies: Eelko Neven
  • PR, ondersteuning: Twan van Someren
  • Server management en CI: Johan Bloemberg

Wat is de historie van Faalkaart?

28 augustus 2017: Er wordt op een nieuwe manier beoordeeld. Per beveiligingsfout worden punten uitgedeeld. Heeft een organisatie geen punten, dan hebben we geen fouten kunnen vinden: perfect! Er is nu dus ook een top win!

In deze update is de kaartsoftware bijgewerkt: er wordt nu gebruik gemaakt van open streetmaps, beter kaartmateriaal, het django python framework, dynamische javascripts en betere caching. De site laadt niet alleen sneller, hij is beter te onderhouden. Alle ontwikkeling van de faalkaart gebeurd inmiddels open source. Patches zijn welkom.

Al het werk levert ook wat nieuwe features op: deze site wordt automatisch ververst als je de site open laat staan, het is mogelijk om door de tijd heen te scrollen en er is nu een top 50 van meest falende organisaties. In plaats van afzonderlijke sites te kijken, wordt er nu per organisatie beoordeeld. Tenslotte hebben we alle sites die niet meteen TLS spreken aangemerkt als een "gemiddelde" fout: in de vorige versie van de kaart werd hier nog geen oordeel over gegeven. Het ontbreken van TLS is net zo erg als slechte TLS.

15 februari 2017: Inmiddels wordt er weer volop gewerkt aan faalkaart. De kaart is bijgewerkt naar nieuwe, goed onderhoudbare, technieken. Inmiddels is er een stichting opgericht om de ontwikkeling van de kaart te stimuleren. Binnenkort wordt er gewerkt aan het beter scannen van e.e.a: er gaat meer en sneller gescand worden.

7 augustus 2016: Faalkaart heeft de steun gekregen van het SIDN fonds, we zullen het komende jaar de kaart uitbreiden en op veel meer controleren. We gaan de kaartrot oplossen en zorgen dat het makkelijk wordt om zelf de kaart te kunnen draaien (onafhankelijk). Ook is de chaching van de site ingevoerd, dus het voelt weer snel(ler) aan.

9 juni 2016: Door een nieuwe kwetsbaarheid zijn er 100+ domeinen in het rood beland, van 2% naar 9% kwetsbaar dus. Het aantal matige domeinen blijft gelukkig afnemen. Hoe lang zal het duren tot alles gepatched is? Wie patcht het laatst?

Extra update: Faalkaart heeft een projectbijdrage gevraagd aan het SIDN fonds om er voor te zorgen dat dit middel breder en makkelijker kan worden ingezet. We gaan hierdoor vele honderdduizenden kwetsbaarheden aan de kaak te stellen en blijven motiveren om ze te verhelpen. De techneuten, hackers en nerds achter faalkaart staan te trappelen om het internet robuuster te maken. Half Juni weten we meer. Spannend!

Extra update 2: We zien dat door de grote hoeveelheid data we caching moeten gaan toepassen en verder moeten optimaliseren. De bedoeling is om de kaart zo actueel mogelijk weer te geven. Tot dit opgelost is zal het iets langer duren voordat de kaart geladen is.

8 april 2016: Het aantal domeinen met een onvoldoende is gezakt naar 2%, was ooit 8%. Er zijn zojuist 1200 domeinen toegevoegd. Er is een team aan het ontstaan dat de faalkaart verder gaat uitbreiden en onderhouden. Vele handen maken licht werk. Dank aan gemeenten voor het insturen van subdomeinen. Dit is altijd welkom!

25 maart 2016: De kaart wordt automatisch ververst. Onder de uitleg staat een overzicht met domeinen die onvoldoende scoren.

18 maart 2016: De kaart wordt zeer binnenkort automatisch bijgewerkt. Nieuw zijn statistieken met historie. De domeinenlijst is verbeterd en er is tekst toegevoegd over de totstandkoming van het cijfer. Binnenkort ook open source.

16 maart 2016: De eerste serie van 1800 domeinen is geladen, dit wordt nog aangevuld en zal binnenkort opnieuw worden gecontroleerd. De testdatum is nu zichtbaar. De eerste verbeteringen schijnen een half uur na presentatie al te zijn doorgevoerd. Dat is stoer!

Internet Cleanup Foundation

Let's clean up the internet: our privacy depends on it.

SIDN fonds

Invests in a resillient internet for everyone.

Fail Map

Fail map is open software maintained by the Internet Cleanup Foundation.

Bescherm je gegevens! Doneer nu!

We houden organisaties scherp om ieders gegevens te beschermen. Vind je dit cool? Jouw donatie zorgt voor blijvende updates, onderhoud en nieuwe controles!

Doneer gemakkelijk, veilig en snel door op een bedrag te klikken: