Tesorion podcast https://staging.tesorion.nl De Tesorion podcast is een tweewekelijkse podcast over cybersecurity door medewerkers van Tesorion voor professionals. De podcast bevat onderdelen zoals een nieuwsoverzicht, inhoudelijke verdiepingen en interviews. De lengte is ongeveer 20-40 minuten. Wed, 30 Sep 2020 08:15:00 +0000 nl hourly 1 https://wordpress.org/?v=5.0.6 https://staging.tesorion.nl/wp-content/uploads/2019/02/cropped-favicon_tesorion-32x32.png Tesorion podcast https://staging.tesorion.nl 32 32 De Tesorion podcast is een tweewekelijkse podcast over cybersecurity door medewerkers van Tesorion voor professionals. De podcast bevat onderdelen zoals een nieuwsoverzicht, inhoudelijke verdiepingen en interviews. De lengte is ongeveer 20-40 minuten. Tesorion clean episodic Tesorion lex.borger@tesorion.nl lex.borger@tesorion.nl (Tesorion) Tesorion Cybersecurity all-in Tesorion podcast https://staging.tesorion.nl/wp-content/uploads/powerpress/Beeldmerk_podcast_tesorion.jpg https://staging.tesorion.nl lex.borger@tesorion.nl TV-G Nederland Biweekly Nieuwe patiëntenrechten https://staging.tesorion.nl/podcast-43/ Mon, 17 Aug 2020 09:44:46 +0000 https://staging.tesorion.nl/?p=8251 https://staging.tesorion.nl/podcast-43/#respond https://staging.tesorion.nl/podcast-43/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-43/">Nieuwe patiëntenrechten</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 43

Aflevering 43: Nieuwe patiëntenrechten
In deze aflevering bespreken we de nieuwe patiëntenrechten sinds 1 juli

Door: Lex Borger en Pieter Jan Visser | 12 augustus 2020

Nieuwe wetgeving: patiënt heeft recht op gratis elektronisch inzicht in medisch dossier
Folder: Elektronische gegevensuitwisseling in de zorg
Overheid.nl – Besluit elektronische gegevensverwerking door zorgaanbieders
ICTRecht: De nieuwe wet Cliëntenrechten bij elektronische verwerking van gegevens

Na het fiasco in 2011 met het landelijk EPD (elektronisch patiëntendossier), ontsloten via het LSP (landelijk schakelpunt) heeft de overheid dit onderwerp anders aangepakt. Dit resulteerde in de wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg (1e fase per juli 2017):

 

  • EPD: Doel voor zorgverleners om sneller te kunnen werken en minder fouten te maken, met waarborging van veiligheid
  • PGO: Doel voor patiënten om zelf gegevens te kunnen bijhouden en te delen met de zorgverleners
  • Uitwisseling: Zorggegevens zijn privé: patiënten moeten expliciet toestemming geven voor het uitwisselen van gegevens met andere zorgverleners
  • Zorgverzekeraars, keuringsartsen, bedrijfsartsen, verzekeringsartsen krijgen geen toegang tot patiëntgegevens via het elektronisch uitwisselingssysteem.

Besluit elektronische gegevensverwerking door zorgaanbieders, geldend vanaf 15 december 2018:

 

  1. Systemen moeten voldoen aan de NEN 7510 (Artikel 3)
  2. Verwerkers moeten voldoen aan de NEN 7510 (Artikel 8 & 9)
  3. Verbindingen moeten voldoen aan de NEN 7512 (Artikel 3)
  4. Logging moeten voldoen aan de NEN 7513 (Artikel 5)

Nieuwe patiëntenrechten per 1 juli 2020 (2e fase van de wet):

 

  • Het geven van toestemming om alle of bepaalde gegevens voor inzage beschikbaar te stellen aan alle of bepaalde zorgverleners met wie hij een behandelrelatie heeft (of krijgt).
  • Het (kosteloos) krijgen van elektronische inzage en een elektronisch afschrift van eigen medisch dossier.
  • Op verzoek krijgt de cliënt een elektronisch overzicht wie bepaalde informatie in een elektronisch uitwisselings-systeem beschikbaar heeft gesteld en op welke datum en wie informatie heeft ingezien of opgevraagd en op welke datum.

Dus plichten voor de zorgverlener:

 

  • Toestemming vragen aan de patiënt welke gegevens hij aan welke zorgverleners voor inzage beschikbaar wil laten stellen.
  • Een registratie bijhouden van de door zijn clienten verleende toestemmingen.

 

Credits

 

Het bericht Nieuwe patiëntenrechten verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 20:10
DDoS en Blue Leaks https://staging.tesorion.nl/podcast-42/ Mon, 29 Jun 2020 06:31:49 +0000 https://staging.tesorion.nl/?p=7441 https://staging.tesorion.nl/podcast-42/#respond https://staging.tesorion.nl/podcast-42/feed/ 0 <p>In deze aflevering bespreken we DDoS records, de Blue Leaks dump en meer Door: Lex Borger en Robin van Sambeek | 26 juni 2020 DDoS records Amazon says it mitigated the largest DDoS attack ever recorded Updated:...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-42/">DDoS en Blue Leaks</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 42

In deze aflevering bespreken we DDoS records, de Blue Leaks dump en meer

Door: Lex Borger en Robin van Sambeek | 26 juni 2020

DDoS records

Amazon says it mitigated the largest DDoS attack ever recorded Updated: This DDoS Attack Unleashed the Most Packets Per Second Ever

21 Juni 2020 – 809 Mpps, 418 Gbps (EU bank, via Akamai)
30 April 2020 – 580 Mpps (via Imperva)
17 Februari 2020 – 2,3 Tbps (via AWS Shield – CLDAP reflection attack)
10 Januari 2020 – 500 Mpps (via Imperva)
Maart 2018 – 1,7 Tbps (via NetScout Arbor)
28 Februari 2018 – 130 Mpps, 1,3 Tbps met versterkingsfactor 50.000 (GitHub – memcached attack)
21 Oktober 2016 – 1,2 Tbps door 152.000 endpoints (Dyn – Mirai IoT attack)
Maart 2015 – (GitHub – Nation-state attack, attributie aan China)
18 Maart 2013 – 30 –> 90 –> 300 Gbps (Spamhaus – Open DNS recursor attack) 

De DDoS records komen en sneuvelen weer ineens bij bosjes…

Blue Leaks

Hack Brief: Anonymous Stole and Leaked a Megatrove of Police Documents
Twitter Suspends Account of Organization Behind Police Leaks
Twitter Locks Journalist’s Accounts

Lex en Robin bespreken de Blue Leaks dump en wat opvallende gerelateerde verhaallijnen.

DDoS of BGP-fout?

Anonymous Tweets U.S. Hit By Major DDoS Attack on June 15
No, There Wasn’t a Major DDoS Cyberattack on the U.S.—Despite ‘Anonymous’ Claims, Experts Say Breaking News Twitter thread

Nog een Anonymous verhaal: Was het een DDoS aanval? Of een BGP-probleem?

Credits

Het bericht DDoS en Blue Leaks verscheen eerst op Tesorion.

]]>
In deze aflevering bespreken we DDoS records, de Blue Leaks dump en meer Door: Lex Borger en Robin van Sambeek | 26 juni 2020 DDoS records Amazon says it mitigated the largest DDoS attack ever recorded Updated:... In deze aflevering bespreken we DDoS records, de Blue Leaks dump en meer Door: Lex Borger en Robin van Sambeek | 26 juni 2020 DDoS records Amazon says it mitigated the largest DDoS attack ever recorded Updated:... Tesorion clean 21:18
T-Core voor NEN 7510 Compliance https://staging.tesorion.nl/podcast-41/ Mon, 08 Jun 2020 10:13:53 +0000 https://staging.tesorion.nl/?p=7355 https://staging.tesorion.nl/podcast-41/#respond https://staging.tesorion.nl/podcast-41/feed/ 0 <p>In deze aflevering bespreken we hoe T-Core naar NEN 7510 compliancy leidt Door: Lex Borger, Edwin van den Heikant en Pieter Jan Visser | 3 juni 2020 T-Core Met T-Core naar NEN 7510 CompliancyRASCI methodeInbisco De werkdruk...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-41/">T-Core voor NEN 7510 Compliance</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 41

In deze aflevering bespreken we hoe T-Core naar NEN 7510 compliancy leidt

Door: Lex BorgerEdwin van den Heikant en Pieter Jan Visser | 3 juni 2020

T-Core

Met T-Core naar NEN 7510 Compliancy
RASCI methode
Inbisco

De werkdruk in de zorg is al tijden ongekend hoog en dat is met het coronavirus alleen maar verder toegenomen. Om elke patiënt of cliënt de maximale zorg te bieden, innoveert en digitaliseert de sector in aanzienlijk tempo. Dat betekent onder andere digitale communicatie, digitale zorg en digitale gegevensuitwisseling/ dataverwerking tussen zorgaanbieders en zorgverzekeraars.

Lex, Edwin en Pieter Jan bespreken het nieuwe dienst die Tesorion in samenwerking met de RASCI-methode en Inbisco aanbiedt: T-Core voor NEN 7510 compliance.

Genoemd in de podcast:
ICT&health
ActiZ visie ‘Digitaal denken en doen’ gepubliceerd

Credits

Het bericht T-Core voor NEN 7510 Compliance verscheen eerst op Tesorion.

]]>
In deze aflevering bespreken we hoe T-Core naar NEN 7510 compliancy leidt Door: Lex Borger, Edwin van den Heikant en Pieter Jan Visser | 3 juni 2020 T-Core Met T-Core naar NEN 7510 CompliancyRASCI methodeInbisco De werkdruk... In deze aflevering bespreken we hoe T-Core naar NEN 7510 compliancy leidt Door: Lex Borger, Edwin van den Heikant en Pieter Jan Visser | 3 juni 2020 T-Core Met T-Core naar NEN 7510 CompliancyRASCI methodeInbisco De werkdruk... Tesorion clean 28:59
Verizon DBIR https://staging.tesorion.nl/podcast-40/ Thu, 28 May 2020 14:35:58 +0000 https://staging.tesorion.nl/?p=7196 https://staging.tesorion.nl/podcast-40/#respond https://staging.tesorion.nl/podcast-40/feed/ 0 <p>In deze aflevering de 2020 uitgave van de Verizon DBIR Door: Lex Borger | 25 mei 2020 Verizon – 2020 Data Breach Investigations ReportDARKreading – Web Application Attacks Double from 2019: Verizon DBIRTripwire –...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-40/">Verizon DBIR</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 40

In deze aflevering de 2020 uitgave van de Verizon DBIR

Door: Lex Borger | 25 mei 2020

2020 Verizon DBIR

Verizon – 2020 Data Breach Investigations Report
DARKreading – Web Application Attacks Double from 2019: Verizon DBIR
Tripwire – Verizon DBIR 2020: Cloud Apps, Stolen Credentials, and Errors

De dit jaar uitgebrachte DBIR is vrij lijvig, 119 pagina’s, 150 duizend incidenten, 32 duizend incidenten geanalyseerd, vierduizend datalekken uit 81 bronnen. Wat leren we hieruit?

  • 70% van de incidenten heeft een externe actor, meestal met criminele doelen (financieel motief).
  • Grote stijging in incidenten vanwege fouten: misdelivery en misconfiguration.
  • Bij bepaalde marktsectoren floreert crimeware (malware).
  • Incidenten door social engineering of fouten hebben minder dan 6 stappen nodig, sommige hacks hebben 30 stappen nodig om tot een incident te komen.

Beluister de podcast en lees het rapport voor meer interessante informatie.

Credits

Het bericht Verizon DBIR verscheen eerst op Tesorion.

]]>
In deze aflevering de 2020 uitgave van de Verizon DBIR Door: Lex Borger | 25 mei 2020 Verizon – 2020 Data Breach Investigations ReportDARKreading – Web Application Attacks Double from 2019: Verizon DBIRTripwire –... In deze aflevering de 2020 uitgave van de Verizon DBIR Door: Lex Borger | 25 mei 2020 Verizon – 2020 Data Breach Investigations ReportDARKreading – Web Application Attacks Double from 2019: Verizon DBIRTripwire –... Tesorion clean 24:10
De zoektocht naar Corona-apps https://staging.tesorion.nl/podcast-39/ Sat, 25 Apr 2020 10:01:59 +0000 https://staging.tesorion.nl/?p=7065 https://staging.tesorion.nl/podcast-39/#respond https://staging.tesorion.nl/podcast-39/feed/ 0 <p>Tesorion security podcast – cybersecurity all-in Door: Lex Borger | 20 april 2020 Corona-apps Lex bespreekt de zoektocht naar Corona-apps, de kritische geluiden van experts daarbij. Centraal staan de ideeën van Apple en...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-39/">De zoektocht naar Corona-apps</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 39

Tesorion security podcast – cybersecurity all-in

Door: Lex Borger | 20 april 2020

Corona-apps

Illustratie uit XKCD: Pathogen Resistance

Lex bespreekt de zoektocht naar Corona-apps, de kritische geluiden van experts daarbij. Centraal staan de ideeën van Apple en Google om contact tracing in te bouwen in hun mobiele operating systemen en de lijst van tien uitgangspunten die Nederlandse privacybeschermers publiceerden

Op basis hiervan oppert Lex een idee om het doel van de contact-tracing app bij te stellen naar een app voor vergaring van globale, anonieme contactinformatie als gedistribueerd meetinstrument voor het RIVM.

Referenties

Economist – App-based contact tracing may help end coronavirus lockdowns
VeiligTegenCorona.nl – Bescherm onze gezondheid, maar bescherm ook onze rechten
Volkskrant – Deze techhoogleraar (zelf herstellende van het virus) is zeer kritisch op corona-apps – en niet eens zozeer vanwege privacy
Medium – When Google and Apple get privacy right, is there still something wrong?
Blog entries van Jaap-Henk Hoepman:
– Stop the Apple and Google contact tracing platform
– A critical look at the EU approach to contact tracing apps
– Google Apple Contact Tracing (GACT): a wolf in sheep’s clothes

Credits

Het bericht De zoektocht naar Corona-apps verscheen eerst op Tesorion.

]]>
Tesorion security podcast – cybersecurity all-in Door: Lex Borger | 20 april 2020 Corona-apps Lex bespreekt de zoektocht naar Corona-apps, de kritische geluiden van experts daarbij. Centraal staan de ideeën van Apple en... Tesorion security podcast – cybersecurity all-in Door: Lex Borger | 20 april 2020 Corona-apps Lex bespreekt de zoektocht naar Corona-apps, de kritische geluiden van experts daarbij. Centraal staan de ideeën van Apple en... Tesorion clean 27:42
Hackerhotel herbeleefd https://staging.tesorion.nl/podcast-38/ Tue, 10 Mar 2020 10:34:31 +0000 https://staging.tesorion.nl/?p=6236 https://staging.tesorion.nl/podcast-38/#respond https://staging.tesorion.nl/podcast-38/feed/ 0 <p>In deze aflevering bespreken we de belevenissen op Hackerhotel Door: Lex Borger, Simone van Lent en Gijs Rijnders | 4 maart 2020 Hackerhotel Hackerhotel 2020Angry Nerds – Hackerhotel Review Lex spreekt met Simone en Gijs over hun...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-38/">Hackerhotel herbeleefd</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 38

In deze aflevering bespreken we de belevenissen op Hackerhotel

Door: Lex BorgerSimone van Lent en Gijs Rijnders | 4 maart 2020

Hackerhotel

Hackerhotel 2020
Angry Nerds – Hackerhotel Review

Lex spreekt met Simone en Gijs over hun deelname aan Hackerhotel.

Credits

Het bericht Hackerhotel herbeleefd verscheen eerst op Tesorion.

]]>
In deze aflevering bespreken we de belevenissen op Hackerhotel Door: Lex Borger, Simone van Lent en Gijs Rijnders | 4 maart 2020 Hackerhotel Hackerhotel 2020Angry Nerds – Hackerhotel Review Lex spreekt met Simone en Gijs over hun... In deze aflevering bespreken we de belevenissen op Hackerhotel Door: Lex Borger, Simone van Lent en Gijs Rijnders | 4 maart 2020 Hackerhotel Hackerhotel 2020Angry Nerds – Hackerhotel Review Lex spreekt met Simone en Gijs over hun... Tesorion clean 25:02
Unimaas rapport https://staging.tesorion.nl/podcast-37/ Sun, 16 Feb 2020 20:51:36 +0000 https://staging.tesorion.nl/?p=5647 https://staging.tesorion.nl/podcast-37/#respond https://staging.tesorion.nl/podcast-37/feed/ 0 <p>In deze aflevering bespreken we het rapport over de ransomwarebesmetting bij de Universiteit Maastricht Door: Lex Borger en Wouter Schoot | 12 februari 2020 Rapport ransomwarebesmetting Universiteit Maastricht Reactie Universiteit Maastricht op rapport Fox-IT 05–02–2020 De...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-37/">Unimaas rapport</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 37

In deze aflevering bespreken we het rapport over de ransomwarebesmetting bij de Universiteit Maastricht

Door: Lex Borger en Wouter Schoot | 12 februari 2020

Rapport ransomwarebesmetting Universiteit Maastricht

Reactie Universiteit Maastricht op rapport Fox-IT 05–02–2020

De Universiteit Maastricht werd op 23 december 2019 het slachtoffer van een aanval door cybercriminelen. In de vroege nacht van 24 december 2019 heeft de Universiteit Maastricht contact opgenomen met Fox-IT BV. Fox-IT heeft vanaf die dag ondersteuning geboden op het gebied van crisismanagement, het in kaart brengen van de toedracht van de aanval, alsmede forensisch onderzoek en advisering in het herstelproces van de systemen.

De Universiteit Maastricht wil door openbaarmaking van het rapport, deze reactie en de resultaten van vervolgonderzoek haar aandeel leveren in vergroting van digitale veiligheid.

Onderzoeksinstituut Wetsus in Leeuwarden gehackt, hacker betaald in bitcoins

… Maar met het stukje code dat het daarna kreeg, kwamen niet alle 15 servers weer aan de praat. Het instituut heeft “een keer of 50 à 70” mailcontact gehad. …

Credits

Het bericht Unimaas rapport verscheen eerst op Tesorion.

]]>
In deze aflevering bespreken we het rapport over de ransomwarebesmetting bij de Universiteit Maastricht Door: Lex Borger en Wouter Schoot | 12 februari 2020 Rapport ransomwarebesmetting Universiteit Maastricht Reactie Universiteit Maastricht op rapport... In deze aflevering bespreken we het rapport over de ransomwarebesmetting bij de Universiteit Maastricht Door: Lex Borger en Wouter Schoot | 12 februari 2020 Rapport ransomwarebesmetting Universiteit Maastricht Reactie Universiteit Maastricht op rapport Fox-IT 05–02–2020 De... Tesorion clean 33:53
Nieuwsoverzicht https://staging.tesorion.nl/podcast-36/ Wed, 29 Jan 2020 14:05:55 +0000 https://staging.tesorion.nl/?p=5533 https://staging.tesorion.nl/podcast-36/#respond https://staging.tesorion.nl/podcast-36/feed/ 0 <p>In deze aflevering behandelen we nieuws over Citrix en Microsoft kwetsbaarheden en de hack van Jeff Bezos Door: Lex Borger | 27 januari 2020 Nieuwsoverzicht Kwetsbaarheid in Citrix ADC en Citrix Gateway servers Ernstige...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-36/">Nieuwsoverzicht</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 36

In deze aflevering behandelen we nieuws over Citrix en Microsoft kwetsbaarheden en de hack van Jeff Bezos

Door: Lex Borger | 27 januari 2020

Nieuwsoverzicht

Kwetsbaarheid in Citrix ADC en Citrix Gateway servers

Ernstige kwetsbaarheid in Citrix producten die zouden kunnen leiden tot uitvoering van arbitraire code door een ongeauthenticeerde gebruiker.

CVE–2019–19781 – Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance

A vulnerability has been identified in Citrix Application Delivery Controller (ADC) formerly known as NetScaler ADC and Citrix Gateway formerly known as NetScaler Gateway that, if exploited, could allow an unauthenticated attacker to perform arbitrary code execution.

Exploits of this issue on unmitigated appliances have been observed in the wild. Citrix strongly urges affected customers to immediately upgrade to a fixed build OR apply the provided mitigation which applies equally to Citrix ADC, Citrix Gateway and Citrix SD-WAN WANOP deployments. 

Per 24 January: Citrix has released fixes in the form of refresh builds across all supported versions of Citrix ADC, Citrix Gateway, and applicable appliance models of Citrix SD-WAN WANOP.

NCSC – Door Citrix geadviseerde mitigerende maatregelen niet altijd effectief

Het NCSC raadt u in ieder geval aan Citrix ADC en Citrix Gateway servers uit te schakelen, als uw organisatie niet voor donderdag 9 januari 2020 door Citrix geadviseerde mitigerende maatregelen heeft getroffen.

Verkeer moet rekening houden met mist, gladheid en Citrix-files

De meeste Nederlandse ministeries haalden vrijdagavond de Citrix-servers offline vanwege een beveiligingslek, waardoor minder ambtenaren thuis kunnen werken. Hierdoor verwacht de ANWB meer drukte op de weg. Overheidsmedewerkers gebruiken Citrix normaliter om in te loggen op het interne netwerk van ministeries.

FireEye and Citrix Tool Scans for Indicators of Compromise Related to CVE–2019–19781

To help organizations identify compromised systems associated with CVE–2019–19781, FireEye and Citrix worked together to release a new tool that searches for indicators of compromise (IoC) associated with attacker activity observed by FireEye Mandiant. This tool is freely accessible in both the Citrix and FireEye GitHub repositories.

Remember, the tool will not make an assertion that a system has not been compromised. The tool will only state when IoCs are identified. It will also not provide formal malware family names of all malicious tools and scripts identified on compromised systems, nor will it identify the existence of all malware or evidence of compromise on the system. The tool is limited to the tool-related indicators that FireEye is aware of at the time of release of the tool or tool-related indicators.

Meerdere grote Microsoft kwetsbaarheden

Meerdere ernstige kwetsbaarheden in Microsoft producten die zouden kunnen leiden tot uitvoering van arbitraire code door een ongeauthenticeerde gebruiker.

January 2020 Security Updates: CVE–2020–0601

Microsoft Patches Windows Vuln Discovered by the NSA

The certificate-validation flaw exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates. An attacker could exploit the bug by using a spoofed code-signing certificate to sign a malicious executable so the file appears to be from a known and trusted source. The move could trick both users and anti-virus software, the DHS explains in an emergency directive on today’s patches. Neither a user nor the AV program would know a file was malicious.

PoC Exploits Released for Crypto Vulnerability Found by NSA

One of the first researchers to announce successfully creating an exploit was Saleem Rashid, who published a couple of screenshots apparently showing the vulnerability being used to forge TLS certificates. A few others claim that they have managed to exploit the flaw to sign malicious binaries.

While some researchers have yet to make their PoC exploits public, others have done so. Kudelski Security has published a PoC exploit and it has set up a demo website that uses a forged certificate recognized by Windows as being trusted.

Darkreading.com

Microsoft today also disclosed multiple Windows RDP bugs. CVE–2020–0609 and CVE–2020–0610 are critical Windows RDP Gateway Server remote code execution vulnerabilities that exist when an unauthenticated attacker connects to a target system using RDP and sends specially crafted requests. Both are pre-authentication and require no user interaction; to exploit them an attacker would need to send a specially crafted request to a target system’s RD Gateway via RDP. The two vulnerabilities affect Windows Server 2012 and newer.

De analyse van de hack van Jeff Bezos’ telefoon

In 2018 werd de mobiele telefoon van Jeff Bezos gehackt. Als gevolg hiervan liep zijn huwelijk op de klippen. Jeff heeft laten uitzoeken wat er gebeurd is, met een paar verrassende uitkomsten.

John Gruber – Hacked to Bits

The Amazon billionaire Jeff Bezos had his mobile phone “hacked” in 2018 after receiving a WhatsApp message that had apparently been sent from the personal account of the crown prince of Saudi Arabia, … Large amounts of data were exfiltrated from Bezos’s phone within hours, according to a person familiar with the matter. 

UNHR – UN experts call for investigation into allegations that Saudi Crown Prince involved in hacking of Jeff Bezos’ phone

The forensic analysis assessed that the intrusion likely was undertaken through the use of a prominent spyware product identified in other Saudi surveillance cases, such as the NSO Group’s Pegasus–3 malware, a product widely reported to have been purchased and deployed by Saudi officials. This would be consistent with other information. For instance, the use of WhatsApp as a platform to enable installation of Pegasus onto devices has been well-documented and is the subject of a lawsuit by Facebook/WhatsApp against NSO Group. 

The Special Rapporteurs note that the allegations regarding the hacking of Bezos’ mobile phone are also consistent with the widely reported role of the Crown Prince in leading a campaign against dissidents and political opponents. The hacking of Mr. Bezos’ phone occurred during a period, May-June 2018, in which the phones of three close associates of Jamal Khashoggi, Yahya Assiri, Omar Abdulaziz and Ghanem Al Masarir were also hacked, allegedly using the Pegasus malware. 

Credits

Het bericht Nieuwsoverzicht verscheen eerst op Tesorion.

]]>
In deze aflevering behandelen we nieuws over Citrix en Microsoft kwetsbaarheden en de hack van Jeff Bezos Door: Lex Borger | 27 januari 2020 Nieuwsoverzicht Kwetsbaarheid in Citrix ADC en Citrix Gateway servers Ernstige... In deze aflevering behandelen we nieuws over Citrix en Microsoft kwetsbaarheden en de hack van Jeff Bezos Door: Lex Borger | 27 januari 2020 Nieuwsoverzicht Kwetsbaarheid in Citrix ADC en Citrix Gateway servers Ernstige... Tesorion clean 16:26
De risicomatrix https://staging.tesorion.nl/podcast-35/ Thu, 02 Jan 2020 21:25:07 +0000 https://staging.tesorion.nl/?p=5477 https://staging.tesorion.nl/podcast-35/#respond https://staging.tesorion.nl/podcast-35/feed/ 0 <p>In deze aflevering beschouw ik de NCSC expertblogs ‘Risico’s toegelicht’ Door: Lex Borger | 31 december 2019 De risicomatrix NCSC Expertblog – Risico’s toegelicht – deel 1NCSC Expertblog – Risico’s toegelicht – deel 2...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-35/">De risicomatrix</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>
Podcast 35

In deze aflevering beschouw ik de NCSC expertblogs ‘Risico’s toegelicht’

Door: Lex Borger | 31 december 2019

De risicomatrix

NCSC Expertblog – Risico’s toegelicht – deel 1
NCSC Expertblog – Risico’s toegelicht – deel 2

Risicomatrix
Bron: NCSC

Mijn reactie op de NCSC Expertblogs:

Waarom maken we ons onvoldoende druk over de risico’s in de hoek rechtsonder?

Wanneer we op de risicomatrix langs de diagonaal van linksboven naar rechtsonder zakken, en de scenario’s bekijken die we op die plaats gezet hebben bij risicoinschatting, dan gaan we van risico’s die goed statistisch te analyseren zijn en in dashboards weer te geven zijn naar risico’s die zo zelden voorkomen dat je alleen wat nieuwsberichten hebt om aan te geven hoe incidenten fout kunnen lopen. 

Bij de eerste groep weten we door de analyses en eigen observaties en gesteund door informatie uit vele raamwerken en methodes goed hoe we de risico’s kunnen ontwijken. Preventie is troef.

Als we de risico’s in de tweede groep beschouwen, zien we dat we niet duidelijk weten wat de goede risicobeheersingsmaatregelen zijn in deze gevallen. Hier komen we in het werkgebied van BCM, business continuity management. De risicoaanpak wordt verwerend. Hierbij gaan we de aanpak generaliseren om de gevolgen van mogelijke zware tot catastrofale incidenten te beperken. Het is niet nodig om specifieke incidenten, zoals het ‘NotPetya’ scenario voor Mearsk tot in detail te analyseren, beperk het scenario tot een grootse malware aanval in het bedrijf en verweer je daartegen. Detectie en respons worden troef om incidenten in wording te kunnen spotten voordat ze groot worden en een catastrofale impact onafwendbaar is geworden. 

Dat gezegd hebbend, het gebruiken van een consistente en hadzame set risico scenario’s bij risicoanalyses. Te vaak zie ik dat we bedolven raken onder de veelheid van scenario’s of dat er ter plekke scenario’s bijverzonnen moeten worden. Hierbij kun je niet zeker zijn dat je een representatieve selectie scenario’s hebt, waartegen je jouw risico’s meet. Dan is de hele risicoanalyse niet meer betrouwbaar.


Reactie op de stelling: ‘Door de beschikbaarheid van belangrijke diensten bewust wat lager te houden, gaan we beter nadenken over onze afhankelijkheid daarvan en onszelf beter voorbereiden op het niet beschikbaar zijn van die dienst, waardoor we een robuustere samenleving krijgen’

De risicoaanpak hierbij is overdracht van risico. Door als verantwoordelijk beheerder duidelijk zichtbaar de maatregelen die je neemt te beperken, dwing je de gebruiker zelf de risico’s te beheersen, verweren en ontwijken kunnen beide toegepast worden. Dit is vooral interessant als de beheerder uiteindelijk risiconemend gedrag van de gebruiker niet kan inperken. In jouw voorbeeld: Veilige ‘shared space’ nodigt uit tot te hard rijden, omdat de gebruiker zich veilig voelt.

Maverisk – Er is niks mis met risk heat maps …

Credits

Het bericht De risicomatrix verscheen eerst op Tesorion.

]]>
In deze aflevering beschouw ik de NCSC expertblogs ‘Risico’s toegelicht’ Door: Lex Borger | 31 december 2019 De risicomatrix NCSC Expertblog – Risico’s toegelicht – deel 1NCSC Expertblog – Risico’s toegelicht – deel 2... In deze aflevering beschouw ik de NCSC expertblogs ‘Risico’s toegelicht’ Door: Lex Borger | 31 december 2019 De risicomatrix NCSC Expertblog – Risico’s toegelicht – deel 1NCSC Expertblog – Risico’s toegelicht – deel 2... Tesorion clean 22:58
Nieuwsoverzicht https://staging.tesorion.nl/podcast-34/ Mon, 25 Nov 2019 16:00:54 +0000 https://staging.tesorion.nl/?p=5414 https://staging.tesorion.nl/podcast-34/#respond https://staging.tesorion.nl/podcast-34/feed/ 0 <p>Podcast 34 Tesorion associate partner of NoMoreRansom project, nieuwe ISP, 2FA omzeilen en LinkedIn phishing Door: Lex Borger en Vivette Willemsen; 13 november 2019 Nieuw op de website Tesorion associate partner of NoMoreRansom project...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-34/">Nieuwsoverzicht</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 34

Tesorion associate partner of NoMoreRansom project, nieuwe ISP, 2FA omzeilen en LinkedIn phishing

Door: Lex Borger en Vivette Willemsen13 november 2019

Nieuw op de website

Tesorion associate partner of NoMoreRansom project

News associate partnership

Tesorion is partner geworden van het NoMoreRansom project. Als je ruim telt, de derde Nederlandse partner. Tesorion verdient deze eer door haar bijdrage aan de bestrijding van ransomware met de Nemty decryptor. 

Nieuwsoverzicht

Nieuwe ISP Freedom Internet

Wil je meekijk-vrij internet?
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
Het begin van Xs4all-variant Freedom Internet

Freedom is een nieuwe internetprovider, waar je als klant ‘meekijkvrij’ internet krijgt via xDSL of glasvezel. De provider is ontstaan nadat KPN op 10 januari 2019 meldde XS4ALL op te willen heffen. Er werd een petitie gestart en actiecomité ‘XS4ALL Moet Blijven’ streed maandenlang voor behoud van XS4ALL. Toen duidelijk werd dat KPN haar plannen definitief ging doorzetten, werd dit ‘plan B’ uitgedacht: een nieuwe provider die zich inzet voor mensen, kwaliteit, vrijheid, privacy en veiligheid. 

Bypassing 2FA

Hackers bypassing some types of 2FA security FBI warns
Hackers Can Now Bypass Two-Factor Authentication With a New Kind of Phishing Scam

Lex en Vivette bespreken twee soorten aanvallen op 2FA: Het klassieke SIM-swapping en een meer geavanceerde man-in-the-middle aanval.

LinkedIn phishing

Watch out for this latest LinkedIn phish that’s ‘sent’ by a friend

LinkedIn is niet langer een veilige social media thuishaven. Ook via je LinkedIn account kun je ordinair gephished worden.

Credits

Het bericht Nieuwsoverzicht verscheen eerst op Tesorion.

]]>
Podcast 34 Tesorion associate partner of NoMoreRansom project, nieuwe ISP, 2FA omzeilen en LinkedIn phishing Door: Lex Borger en Vivette Willemsen; 13 november 2019 Nieuw op de website Tesorion associate partner of NoMoreRansom project... Podcast 34 Tesorion associate partner of NoMoreRansom project, nieuwe ISP, 2FA omzeilen en LinkedIn phishing Door: Lex Borger en Vivette Willemsen; 13 november 2019 Nieuw op de website Tesorion associate partner of NoMoreRansom project... Tesorion clean 22:37
‘Het is oorlog’ https://staging.tesorion.nl/podcast-33/ Fri, 20 Sep 2019 13:32:42 +0000 https://staging.tesorion.nl/?p=5285 https://staging.tesorion.nl/podcast-33/#respond https://staging.tesorion.nl/podcast-33/feed/ 0 <p>Podcast 33 Bespreking van het boek ‘Het is oorlog, maar niemand die het ziet’ van Huib Modderkolk Door: Lex Borger en Simone van Lent; 18 september 2019 ‘Het is oorlog’ Het is oorlog maar...</p> <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-33/">‘Het is oorlog’</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 33

Bespreking van het boek ‘Het is oorlog, maar niemand die het ziet’ van Huib Modderkolk

Door: Lex Borger en Simone van Lent; 18 september 2019

‘Het is oorlog’

Het is oorlog maar niemand die het ziet

Net gepubliceerd en gelijk een algemene bestseller. Het nieuwe boek ‘Het is oorlog, maar niemand die het ziet’ van Huib Modderkolk is spannend en succesvol. Luister wat twee security professionals ervan vinden.

Ter sprake gebracht:
Appen Review – Is Appen a Scam or a Legit Work-at-Home Opportunity?
Geskimd en geript in de bankshop
New SIM Card Flaw Lets Hackers Hijack Any Phone Just By Sending SMS

Credits: 

Het bericht ‘Het is oorlog’ verscheen eerst op Tesorion.

]]>
Podcast 33 Bespreking van het boek ‘Het is oorlog, maar niemand die het ziet’ van Huib Modderkolk Door: Lex Borger en Simone van Lent; 18 september 2019 ‘Het is oorlog’ Het is oorlog maar... Podcast 33 Bespreking van het boek ‘Het is oorlog, maar niemand die het ziet’ van Huib Modderkolk Door: Lex Borger en Simone van Lent; 18 september 2019 ‘Het is oorlog’ Het is oorlog maar... Tesorion clean 35:34
Border Gateway Protocol – BGP https://staging.tesorion.nl/podcast-32/ Fri, 16 Aug 2019 14:34:09 +0000 https://staging.tesorion.nl/?p=5172 https://staging.tesorion.nl/podcast-32/#respond https://staging.tesorion.nl/podcast-32/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-32/">Border Gateway Protocol – BGP</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Het bericht Border Gateway Protocol – BGP verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 27:58
Nieuwsoverzicht en digitale geletterdheid https://staging.tesorion.nl/podcast-31/ Sun, 07 Jul 2019 08:16:51 +0000 https://staging.tesorion.nl/?p=4147 https://staging.tesorion.nl/podcast-31/#respond https://staging.tesorion.nl/podcast-31/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-31/">Nieuwsoverzicht en digitale geletterdheid</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 31

 

 

Verhuizing naar tesorion.nl

De verhuizing van de podcast naar Tesorion.nl is een feit! Per direct is de podcast RSS-feed https://www.tesorion.nl/feed/podcast

Nieuwsoverzicht

Noodmeldingen
Op 24 juni werden er verschillende noodmeldingen uitgestuurd in Nederland. Noodmeldingen die ik ontvangen heb:

  • Eerste twee meldingen in dezelfde minuut (17:21), een lokale (regio Amsterdam) en een landelijke beiden in het Nederlands en zonder telefoonnummer;
  • Derde melding om 18:12, een landelijke met alternatieve telefoonnummer, Whatsapp nummer en Twitter account in het Nederlands en Engels; echter het Whatsapp nummer is van de Telegraaf!
  • Vierde melding een uur later, om het Whatsapp nummer te corrigeren;
  • Vijfde melding was de afmelding in het Nederlands, om 21:29.

Ransomware and the city
Second Florida city pays giant ransom to ransomware gang in a week

A wave of ransomware attacks targeting US cities Lake City has now become the second Florida city to pay a gigantic ransomware demand to hackers. Riviera City officials agreed to pay a ransomware gang 65 bitcoins ($600,000) last week. In March, earlier this year, officials in Jackson County, Georgia, also agreed to an astronomical ransomware demand, paying hackers $400,000 to regain access to their files. A report by US cyber-security firm Recorded Future published in May highlighted a spike in ransomware attacks targeting US cities. Previous victims include Lynn, Massachusetts, Cartersville, Georgia, and Baltimore, Maryland, just to name a few.

KTDI paspoort app
World Economic Forum consortium launches paperless Canada-Netherlands travel pilot Nederland en Canada testen grenscontrole met app die paspoort vervangt

The Known Traveller Digital Identity

Achieving Secure and Seamless Travel Together Potential savings: $150B ($120B is avoidance of economic costs of major attacks)

Four Enabling Technologies:

  • Distributed Ledger;
  • Cryptography;
  • Biometric Technology;
  • Mobile Interface.

Secure at booking, luggage drop-off, departure gate & exit control, arrival & border security, visa application & screening, check-in airline, security screening, luggage reclaim & customs, check-in at hotel, after stay.

Digitale geletterdheid
SLO | Digitale geletterdheid

In het huidige curriculum is nog te weinig aandacht voor digitale geletterdheid. Als er al aandacht voor is, dan is deze versnipperd en weinig samenhangend. In het onderwijs van de toekomst krijgen digitale vaardigheden een prominentere plaats. Samen met scholen ontwikkelt SLO een doorlopende leerlijn digitale geletterdheid waarin aandacht wordt besteed aan mediawijsheid, informatievaardigheden, computational thinking en ICT basisvaardigheden. Voor elk van de digitale vaardigheden zijn voorbeelden van leerdoelen gemaakt, leerlijnen ontwikkeld en passende leermiddelen gezocht.

SLO | Leerlijnen digitale geletterdheid
Ontwikkelteam Digitale geletterdheid
Conceptbouwsteen: DG2.1 – Veiligheid
Conceptbouwsteen: DG2.2 – Privacy

In deze podcast duiken we in de rol van veiligheid en privacy in de onderwijsvernieuwing, onder de vlag ‘digitale geletterdheid’.

Four Enabling Technologies:

Credits:

 

Het bericht Nieuwsoverzicht en digitale geletterdheid verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 22:25
Boekbespreking ‘Survivalgids voor de digitale jungle’ https://staging.tesorion.nl/podcast-30/ Wed, 19 Jun 2019 09:41:04 +0000 https://staging.tesorion.nl/?p=4056 https://staging.tesorion.nl/podcast-30/#respond https://staging.tesorion.nl/podcast-30/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-30/">Boekbespreking ‘Survivalgids voor de digitale jungle’</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 30

 

 

Ik geef mijn bespreking van het boek ‘Survivalgids voor de Digitale Jungle’ door Brenno de Winter. Wat vind ik ervan? Heel iets anders dan ‘Unhacked’, luister maar…

Survivalgids voor de Digitale Jungle

 

Credits:

 

 

Het bericht Boekbespreking ‘Survivalgids voor de digitale jungle’ verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 20:57
Nieuwsoverzicht en Facebook’s toekomst https://staging.tesorion.nl/podcast-29/ Sun, 05 May 2019 18:59:05 +0000 https://staging.tesorion.nl/?p=4543 https://staging.tesorion.nl/podcast-29/#respond https://staging.tesorion.nl/podcast-29/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-29/">Nieuwsoverzicht en Facebook’s toekomst</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 29

 

 

Nieuwsoverzicht

WebAuthn Becomes a Standard
No More Passwords? WebAuthn Becomes an Official Web Standard (4 maart)

 

“Now is the time for web services and businesses to adopt WebAuthn to move beyond vulnerable passwords and help web users improve the security of their online experiences,” said Jeff Jaffe, W3C CEO. “W3C’s Recommendation establishes web-wide interoperability guidance, setting consistent expectations for web users and the sites they visit. W3C is working to implement this best practice on its own site.”

Web Authentication: What It Is and What It Means for Passwords(1 december 2017)

 

The new standard known as Web Authentication, or WebAuthn for short, is a credential management API that will be built directly into popular web browsers. It allows users to register and authenticate with web applications using an authenticator such as a phone, hardware security keys, or TPM (Trusted Platform Module) devices.

This means with devices like a phone or a TPM, where a user can provide us with biometric verification, we can use WebAuthn to replace traditional passwords. Aside from user verification, we can also confirm ‘user presence.’ So if users have a U2F token like a Yubikey, we can handle that second factor of authentication through WebAuthn API as well.

Podcast 17: FIDO2 en Ubikey 5 (24 september 2018)
Ik heb hier al een podcast aan gewijd.

Facebook and Passwords
Facebook Caught Asking Some Users Passwords for Their Email Accounts (3 april)

 

Facebook has been found asking some newly-registered users to provide the social network with the passwords to their email accounts, which according to security experts is a terrible idea that could threaten privacy and security of its users.

Facebook Did Not Securely Store Passwords. Here’s What You Need to Know (21 maart)

 

Facebook said on Thursday that millions of user account passwords had been stored insecurely, potentially allowing employees to gain access to people’s accounts without their knowledge.

Storing passwords in plain text is a poor security practice. It leaves passwords wide open to cyberattacks or potential employee abuse. A better security practice would have been to keep the passwords in a scrambled format that is indecipherable.

Privacy Is Too Big to Understand
Privacy Is Too Big to Understand (16 april)

 

You are losing control over your life. When technology governs so many aspects of our lives — and when that technology is powered by the exploitation of our data — privacy isn’t just about knowing your secrets, it’s about autonomy.

At its heart, privacy is about how that data is used to take away our control. Today, our control is chipped away in ways large and small. It may be as innocuous as using your listed preferences, browsing behavior, third-party information about your annual income and a rough understanding of the hours that you’re most susceptible to make a purchase to nudge you toward buying a pair of shoes. Or it may be as potentially life-altering as the inability to get a loan or see a job listing.

 

Facebook: ‘The Future Is Private’

F8 – The Future is Private

Op 30 april opende Mark Zuckerberg de F8 conferentie met een indrukwekkende presentatie: “The Future is Private”. Facebook moet voelen als de veilige woonkamer, waar wat er gezegd wordt privé blijft. Waar groepen hun ideeën kunnen delen. Ook noemde hij activiteiten die niet op de woonkamer slaan: veilig kunnen betalen en veilig je locatie kunnen delen.

Dit Facebook zegt zijn platform opnieuw te gaan bouwen, op basis van ‘private messaging’, waarbij Mark opmerkt ‘zoals we dat gedaan hebben met WhatsApp’. Hierbij zijn volgens Mark zes principes belangrijk:

 

  1. Private interactions – helderheid en beschikking over met wie je communiceert;
  2. Encryption – end-to-end encryption – dat hebben we toch al sinds 2016?
  3. Reduced permanence – Facebook zal jouw data niet langer opslaan dan jij wilt;
  4. Safety – ‘We keep you safe’ – wat betekent dat?
  5. Interoperability – voor al je vrienden, op verschillende netwerken en platformen;
  6. Secure data storage – Afsluiten met een organisatorische invulling van principe 1: geen gevoelige data opslaan in probleemlanden.

Dit zegt Facebook, het bedrijf dat zijn geld verdient met het verzamelen en verkopen van informatie over zijn gebruikers. WhatsApp kun je niet eens gebruiken als je je adresboek niet deelt. Hoe dat past in de privacy toekomst heeft Mark het niet over gehad.

A Privacy-Focused Vision for Social Networking

Na de opname vond ik deze blog-post van Mark Zuckerberg. De F8 presentatie was dus niet de eerste keer dat hij deze gedachten uitte.

Credits:

 

 

Het bericht Nieuwsoverzicht en Facebook’s toekomst verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 15:38
Sterke authenticatie met mobiel https://staging.tesorion.nl/podcast-28/ Sat, 06 Apr 2019 18:05:11 +0000 https://www.i-to-i.nl/?p=3356 https://staging.tesorion.nl/podcast-28/#respond https://staging.tesorion.nl/podcast-28/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-28/">Sterke authenticatie met mobiel</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 28

Presentatie op Tesorion kennissessie mobile security

Door: Lex Borger; 4 april 2019

Tesorion kennissessie

Sterke authenticatie met mobiel
Presentatie

Deze aflevering laat ik een presentatie horen die ik op de Tesorion kennissessie mobile security op 4 april gehouden heb. Deze presentatie is live opgenomen bij ons op kantoor in Leusden.

mobile-3469818_1920

Credits:

Het bericht Sterke authenticatie met mobiel verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 35:48
Interview Lucien Barink https://staging.tesorion.nl/podcast-27/ Sun, 17 Mar 2019 20:41:41 +0000 https://www.i-to-i.nl/?p=3344 https://staging.tesorion.nl/podcast-27/#respond https://staging.tesorion.nl/podcast-27/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-27/">Interview Lucien Barink</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 27

 

NTA–7516 en Cryptshare

Door: Lex Borger; 13 maart 2019

 

Interview Lucien Barink

NTA 7516
Veilig mailen
NTA7516 voor veilige mail, het wordt een spannende week

In deze aflevering spreek ik op het Securelink Security Bootcamp met Lucien Barink. Dit interview is op locatie opgenomen in de Van Nelle Fabriek, dat is te horen aan de galm en achtergrondgeluiden. Wij hebben getracht de verstoring hierdoor tot een minimum te beperken.

 

Cryptshare-logo-e1539853131306

Cryptshare
Cryptshare

Tijdens het interview spreken we ook over Cryptshare. Cryptshare is een product van Befine Solutions AG. Befine Solutions is een technology partner van Tesorion.

Credits:

 

 

Het bericht Interview Lucien Barink verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 36:10
Nieuwsoverzicht https://staging.tesorion.nl/podcast-26/ Mon, 25 Feb 2019 21:13:00 +0000 https://www.i-to-i.nl/?p=3335 https://staging.tesorion.nl/podcast-26/#respond https://staging.tesorion.nl/podcast-26/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-26/">Nieuwsoverzicht</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 26

 

Cyberaanval Australisch parlement, gebruikersdata in de uitverkoop en Facebook’s CSRF bounty

Door: Lex Borger; 24 februari 2019

 

Nieuwsoverzicht

Cyberaanval Australisch parlement
Australia’s parliament confirmed that is investigating a suspicious security incident

 

A government cybersecurity expert said one difficulty in identifying the perpetrators was that the hackers used tools that had not previously been seen.

The nations most likely to carry out such an attack are China and Russia, security experts said, though Iran, Israel and North Korea also have sophisticated cyberwarfare capabilities.

Nation states zijn behoorlijk actief geweest, getuige de volgende berichten:
Chinese and Iranian Hackers Renew Their Attacks on U.S. Companies
Alleged Iran-linked APT groups behind global DNS Hijacking campaign
North Korea’s Lazarus Hackers Found Targeting Russian Entities

Gebruikersdata in de uitverkoop
Hacker puts up for sale third round of hacked databases on the Dark Web

 

Today, the hacker published eight more hacked DBs containing data for 92.76 million users. The biggest name in today’s batch is GfyCat, the famous GIF hosting and sharing platform.

Hacker ‘Gnosticplayers’ gaat door met gebruikersdata verkopen.

Hacker Breaches Dozens of Sites, Puts 127 Million New Records Up for Sale

 

During an interview with The Hacker News, the hacker also claimed that many targeted companies have probably no idea that they have been compromised and that their customers’ data have already been sold to multiple cyber criminal groups and individuals.

Facebook’s CSRF bounty
Facebook flaw could have allowed an attacker to hijack accounts
Facebook paid a $25,000 bounty for a critical CSRF vulnerability

 

“This bug could have allowed malicious users to send requests with CSRF tokens to arbitrary endpoints on Facebook which could lead to takeover of victims accounts. In order for this attack to be effective, an attacker would have to trick the target into clicking on a link.” wrote the expert.

Credits:

 

 

Het bericht Nieuwsoverzicht verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 7:20
Nieuwsoverzicht en data governance https://staging.tesorion.nl/podcast-25/ Sun, 10 Feb 2019 13:38:09 +0000 https://www.i-to-i.nl/?p=3324 https://staging.tesorion.nl/podcast-25/#respond https://staging.tesorion.nl/podcast-25/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-25/">Nieuwsoverzicht en data governance</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 25

 

Niks te verbergen, verdubbeling datalekken, big brother is watching you en het thema data governance

Door: Lex Borger en Edwin van den Heijkant; 1 februari 2019

 

Nieuwsoverzicht

Niks te verbergen
Daniël Verlaan on Twitter – Ik keek vandaag DWDD en zag daar aan tafel vijf oude mannen …
Volkskrant – De opmerkelijkste onzin uit de DWDD-uitzending over privacy

Daniël Verlaan, techjournalist en bekendvan Laat Je Niet Hack Maken, gooide een veelgevolgde Twitterstorm over ons heen over een uitzending van De Wereld Draait Door op 27 januari.

Verdubbeling datalekken
NRC – Aantal meldingen datalekken in 2018 verdubbeld

 

De Autoriteit Persoonsgegevens heeft in 2018 twee keer zoveel meldingen van datalekken ontvangen als een jaar eerder. Bijna 21.000 keer maakten organisaties melding van een lek, blijkt uit de dinsdag gepubliceerde cijfers van de Autoriteit. De sterke stijging heeft volgens de toezichthouder te maken met de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 en de media-aandacht hiervoor.

Big Brother is watching you
Meer en meer bedrijven kijken mee terwijl jij surft
Promovendus Van Eijk maakt privacy meetbaar bij online advertenties

 

… “Op de achtergrond kijken allerlei bedrijven mee terwijl je surft, en dat zijn er veel meer dan een paar jaar geleden”, zegt Robbert van Eijk, die vandaag aan de Universiteit Leiden op dit onderwerp promoveert.

“Een paar jaar geleden hadden we het nog over tientallen bedrijven die meekijken, nu zijn het er honderden.”

 

Data governance

Placeholder voor link naar blog over data governance

Lex praat met Edwin over zijn blog over data governance.

 

Iedereen wil tegenwoordig ‘data-driven’ worden. Hoe je dit het best aanpakt is de grootste vraag. Een top-down benadering en daarmee de status van data als een vast directieonderwerp vaststellen is cruciaal. Op dat niveau moet heel helder worden gemaakt wat data voor het bedrijf kan betekenen en wat de voordelen zijn als je er echt mee aan de slag gaat.

Je moet BI, data-analytics en data governance goed organiseren. Start met de inrichting van data governance als onderdeel van datamanagement. Een praktische aanpak is richting geven vanuit de volgende 6 datamanagement basisaspecten

Credits:

 

 

Het bericht Nieuwsoverzicht en data governance verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 20:04
Nieuwe cyber-publicaties https://staging.tesorion.nl/podcast-24/ Tue, 29 Jan 2019 11:04:35 +0000 https://www.i-to-i.nl/?p=3317 https://staging.tesorion.nl/podcast-24/#respond https://staging.tesorion.nl/podcast-24/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-24/">Nieuwe cyber-publicaties</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 24

 

Tim Cook’s essay en Unhacked

Door: Lex Borger; 27 januari 2019

 

Tim Cook’s privacy essay

You Deserve Privacy Online. Here’s How You Could Actually Get It
I Mentored Mark Zuckerberg. I Loved Facebook. But I Can’t Stay Silent About What’s Happening.

Column van Tim Cook by een artikel in Time magazine dat heel kritisch is over Facebook.

 

Unhacked

Unhacked

Ik geef mijn eerste indruk van het boek Unhacked, het nieuwe boek van Rian van Rijbroek, op basis van de inhoud van twee hoofdstukken, H11 (Datacenter) en H14 (Versleuteling). Wat vind ik ervan? Luister maar…

 

Unhacked_LR

Ik refereer ook nog naar Purdue’s PERA en dit artikel op de blog van Guardtime:

Purdue Enterprise Reference Architecture
Six Reasons why Encryption isn’t working — Guardtime

Credits:

 

 

Het bericht Nieuwe cyber-publicaties verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 27:50
Nieuwsoverzicht https://staging.tesorion.nl/podcast-23/ Mon, 14 Jan 2019 22:21:33 +0000 https://www.i-to-i.nl/?p=3307 https://staging.tesorion.nl/podcast-23/#respond https://staging.tesorion.nl/podcast-23/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-23/">Nieuwsoverzicht</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 23

Dark Overlord, Ethereum hack, data van Duitse politici gelekt, zoeken naar gebreken

Door: Lex Borger; 13 januari 2019

Nieuwsoverzicht

Dark Overlord
Security Affairs – Dark Overlord hacking crew publishes first batch of confidential 9/11 files

De hacking groep Dark Overlord heeft bij de verzekeringsmaatschappij Hiscox duizenden documenten gestolen, o.a. met betrekking tot 9/11:

The Dark Overlord hacking group claims to have stolen a huge trove of documents from the British insurance company Hiscox,

Hackers stole “hundreds of thousands of documents,” including tens of thousands files related to the 9/11 terrorist attacks.

Het motief van Dark Overlord is geld. Ze verkopen de documenten aan wie ervoor wil betalen:

“If you’re a terrorist organisation such as ISIS/ISIL, Al-Qaeda, or a competing nation state of the USA such as China or Russia, you’re welcome to purchase our trove of documents.”

Volgens de Russische media is er een tweede ronde van documenten gepubliceerd.

Ethereum hack
CSO online – Ethereum Classic cryptocurrency suspended after attackers steal nearly $1.1M

Coinbase delisted Ethereum Classic (ETC) after detecting “a deep chain reorganization of Ethereum Classic blockchain.” Put another way, nearly $500,000 was spent twice.

The Verge – Why the Ethereum Classic hack is a bad omen for the blockchain

“The feasibility of a 51 percent attack is dependent solely on the availability and cost of mining equipment,” Cornell cryptographer Emin Gün Sirer told The Verge. As that equipment gets cheaper and more available, the attacks become more common. “Bear markets also cause hashpower to be turned off,” Sirer continued, “which then can be rented and used for attacks.”

Data van Duitse politici gelekt

Security Affairs – Hackers leak data on hundreds of German Politicians, including Chancellor Merkel

Data belonging to hundreds of German politicians, including Chancellor Angela Merkel, were exposed online due to a massive leak that is the biggest data dump of its kind in the country.

Simon Hegelich, a political scientist at Munich’s Technical University, told to Bloomberg that it looks like the hackers got the passwords to Facebook accounts and Twitter profiles and worked their way up from there.

“It’s a very elaborately done social engineering attack,” he said Friday by phone. “It’s a lot of data that’s been dumped.”

Zoeken naar gebreken
Krebs on Security – Scanning for Flaws, Scoring for Security

What’s remarkable is how many organizations don’t make an effort to view their public online assets as the rest of the world sees them — until it’s too late.

A 96-page report (PDF) released this week by a House oversight committee found the Equifax breach was “entirely preventable.” For 76 days beginning mid May 2017, the intruders made more than 9,000 queries on 48 Equifax databases.

… companies with advanced “security maturity” also are regularly taking a hard look at what their outward-facing security posture says to the rest of the world, fully cognizant that appearances matter

Credits:

Het bericht Nieuwsoverzicht verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 10:18
Terugblik en vooruitblik https://staging.tesorion.nl/podcast-22/ Fri, 04 Jan 2019 21:00:55 +0000 https://www.i-to-i.nl/?p=3295 https://staging.tesorion.nl/podcast-22/#respond https://staging.tesorion.nl/podcast-22/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-22/">Terugblik en vooruitblik</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 22

 

Top 5 onderwerpen uit de podcast en onderwerpen in 2019

Door: Lex Borger en Joost Wijnings; 31 december 2018

 

Terugblik

Drie podcasts met Joost

 

Top 5 onderwerpen besproken in de podcast

 

  1. Procesorganisatie van beveiliging: datakwaliteit (#3), dataclassificatie (#6), security awareness (#9)
  2. AVG: De kansen ervan (#2) en de 10 stappen die de AP aanbeveelt (#16, dat is de meest beluisterde podcast)
  3. Facebook: hun handelen (#11) en de authenticatie hack (#18)
  4. SOC: wat is het (#13), waarom uitbesteden (#15) en indirect in de Marriott breach (#21)
  5. Authenticatie: wachtwoorden (#4) en #5), in IAM (#10), FIDO 2 en nieuwe Yubikey (#17), NCSC factsheet 2FA (#19) en indirect in SIM swapping (#21)

 

past_future_signs-3479398_640

 

Vooruitblik

Welke onderwerpen moeten we gaan bespreken in 2019?

 

  • AVG – rond mei
  • WNBI – nieuwe wet uit november voor ASD & DSPs met verplichting incidenten te melden; geeft toezichthouders mogelijkheid tot handhaving; nieuw CSIRT van EZK
  • EIDAS authenticatie – goede adoptie DigiD, weinig gebruik van e-Herkenning; wat moet er veranderen?

Welke onderwerpen komen in het nieuws in 2019?

 

  • Hoe gaan bedrijven anders om met grote hacks?
  • Wat zijn de gevolgen van de krapte op de arbeidsmarkt m.b.t. cyber?
  • Chad Loder @chadloder & Kevin Beaumont @GossiTheDog

Credits:

 

 

Het bericht Terugblik en vooruitblik verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 42:46
Nieuws: twee dataschendingen en sim-swapping https://staging.tesorion.nl/podcast-21/ Tue, 11 Dec 2018 20:28:18 +0000 https://www.i-to-i.nl/?p=3280 https://staging.tesorion.nl/podcast-21/#respond https://staging.tesorion.nl/podcast-21/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-21/">Nieuws: twee dataschendingen en sim-swapping</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 21

Twee grote dataschendingen en de herrijzing van sim-swapping

Door: Lex Borger; 9 december 2018

Nieuwsoverzicht

Twee grote dataschendingen

Quora Security Update

Hackers breach Quora.com and steal password data for 100 million users

Exclusive: Clues in Marriott hack implicate China – sources

Marriott Hack Adds Passport Headache, but Its Intensity Is in Dispute

Quora:

Quora officials said they discovered the unauthorized access on Friday. They have since hired a digital forensics and security firm to investigate and have also reported the breach to law enforcement officials. The service has logged out all affected users, and in the event they use passwords to authenticate, old passwords have been invalidated. Users who chose the same password to protect accounts on a different service should immediately reset those passwords as well. Quora has already begun emailing affected users.

Starwood:

Marriott said last week that a hack that began four years ago had exposed the records of up to 500 million customers in its Starwood hotels reservation system. Private investigators looking into the breach have found hacking tools, techniques and procedures previously used in attacks attributed to Chinese hackers, said three sources who were not authorized to discuss the company’s private probe into the attack.

access-data-694539_640

De herrijzenis van sim-swapping

Nieuwe hacktruc met 06-nummers: honderden slachtoffers door ‘sim-swapping’

Sim-swapping: hoe werkt het en hoe bescherm je jezelf?

Hacker stole $1m from Silicon Valley executive via SIM swap

RTL Nieuws:

Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro’s gestolen. De ‘sim-swappers’ richten zich ook op socialemediaprofielen met populaire gebruikersnamen, zoals @baas of drielettercombinatie’s als @abc. Deze accounts worden via sim-swapping overgenomen en vervolgens voor veel geld – soms wel duizenden euro’s – doorverkocht.

Credits:

Het bericht Nieuws: twee dataschendingen en sim-swapping verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 9:51
Nieuws en Blockchain in de praktijk https://staging.tesorion.nl/podcast-20/ Sat, 10 Nov 2018 09:10:38 +0000 https://www.i-to-i.nl/?p=3271 https://staging.tesorion.nl/podcast-20/#respond https://staging.tesorion.nl/podcast-20/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-20/">Nieuws en Blockchain in de praktijk</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 20

 

’Oumuamua een ruimteschip en het thema Blockchain experiment in de zorg

Door: Lex Borger en Bram van Pelt; 7 november 2018

blockchain-3019120_640

Nieuwsoverzicht

’Oumuamua een ruimteschip
Mysterieuze asteroïde mogelijk buitenaards ruimteschip
Ignore all the stories about ‘Oumuamua, the Harvard paper, and aliens
Podcast 16

Lex en Bram bespreken een update over ’Oumuamua, de sigaar van buiten ons zonnestelsel.

Telegraaf:

Ruimte-deskundigen breken hun hoofd over een bizar object dat in ons zonnestelsel is verschenen.

Ars Technica:

The Harvard University-based authors of the study, Shmuel Bialy and Abraham Loeb, spend most of their new paper discussing the shape and mass of an object that might be subjected to enough radiation pressure to explain ‘Oumuamua’s movement, and by what natural processes this might occur. At the end of their paper, however, the authors, present “a more exotic scenario” in which they speculate that ‘Oumuamua may be “a fully operational probe sent intentionally to Earth vicinity by an alien civilization.”

Blockchain experiment in de zorg

De blockchain: een revolutie die uw leven nog even niet verandert
Praktijkproef blockchain kraamzorg met Mijn Zorg Log
Bram en Lex bespreken een artikel dat de Volkskrant publiceerde over het gebruik van blockchain in een zorgproces in de praktijk.
Volkskrant:

… Het gaat erom het papierwerk in de zorg terug te dringen. Dan kunnen uiteindelijk ook de premies voor de burger minder stijgen. Digitalisering gaat daar zeker aan bijdragen, concluderen de betrokken partijen in de evaluatie van hun experiment. Maar: ‘Dat is waarschijnlijk ook te behalen zonder de specifieke inzet van blockchaintechnologie.’

Rapport:

… In theorie is het mogelijk dat de zorgverzekeraar de kraamzorgaanbieder dagelijks uitbetaalt voor de geleverde uren kraamzorg omdat alle betrokken partijen over één actuele waarheid beschikken.
Er is gekozen voor een permissioned blockchain omdat op voorhand duidelijk was welke partijen uit de zorg gingen deelnemen in de praktijkproef; …
Eigenschappen van de gekozen blockchainoplossing: Permissioned blockchain; Ethereum; Smart Contract; Wallet; Proof of Authority en Parity technologie; Transacties op de blockchain.

Credits:

Het bericht Nieuws en Blockchain in de praktijk verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 20:21
Nieuws en het NCSC Factsheet 2FA https://staging.tesorion.nl/podcast-19/ Sat, 03 Nov 2018 16:57:13 +0000 https://www.i-to-i.nl/?p=3261 https://staging.tesorion.nl/podcast-19/#respond https://staging.tesorion.nl/podcast-19/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-19/">Nieuws en het NCSC Factsheet 2FA</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 19

 

Nasleep van de grote hack en het thema NCSC Factsheet ‘Gebruik tweefactorauthenticatie’

Door: Lex Borger | 29 oktober 2018

Nieuwsoverzicht

Nasleep van de grote hack
Amazon, Super Micro executives join Apple’s call to retract Bloomberg spy chip story
Apple CEO Tim Cook Is Calling For Bloomberg To Retract Its Chinese Spy Chip Story
Source: Amazon Pulled Its Ads From Bloomberg Over China Hack Story
New Evidence of Hacked Supermicro Hardware Found in U.S. Telecom
Around the Watercooler: Bloomberg “Big Hack” Edition
Security in a World of Physically Capable Computers

Drie weken geleden bracht Bloomberg op hun voorpagina het verhaal van ‘The Big Hack’, een spionageverhaal over de geheime implantatie van chips in computers die in China gemaakt worden en naar belangrijke Amerikaanse klanten verscheept worden. Met name genoemd zijn Super Micro, Apple en Amazon. Die drie bedrijven ontkennen met klem, Bloomberg blijft bij zijn verhaal.

NCSC Factsheet ‘Gebruik tweefactorauthenticatie ’

Factsheet Gebruik tweefactorauthenticatie
Lex bespreekt het NCSC Factsheet over het gebruik van tweefactorauthenticatie.

Handelingsperspectief:

  • Het NCSC adviseert om gebruik te maken van tweefactorauthenticatie bij diensten die dat aanbieden.
  • Het NCSC raadt aan om een wachtwoordmanager te overwegen en gebruiken voor het beheer van wachtwoorden. U bepaalt zelf of u voor een online of offline wachtwoordmanager kiest.

eff_2fa

  • Als u kiest om geen wachtwoordmanager te gebruiken, raadt het NCSC aan om accounts in te delen in categorieën op basis van risico’s die misbruik van accounts met zich meebrengt. Gebruik sterke en unieke wachtwoorden voor risicovolle accounts.
  • Het NCSC adviseert om sterke wachtwoorden te gebruiken en het gebruiken van hetzelde wachtwoord voor verschillende accounts te voorkomen.

Advies: Belast klant niet met periodiek vervangen van wachtwoorden

Het periodiek vervangen van wachtwoorden, wat vaak als niet gebruiksvriendelijk wordt ervaren, is niet noodzakelijk als er compenserende maatregelen worden getroffen.10 Het NCSC raadt aanbieders van internetdiensten aan om de volgende compenserende maatregelen toe te passen.

  1. Monitoring en logging vindt plaats om onverwacht gebruik te detecteren. Voor meer informatie lees onze factsheet: ‘SOC inrichten, begin klein.11’
  2. Gebruikers worden gewaarschuwd wanneer er een succesvolle of mislukte poging tot inloggen heeft plaatsgevonden. Gebruikers kunnen in reactie daarop rapporteren of ze hiervoor verantwoordelijk waren en eventuele maatregelen treffen, zoals het beëindigen van alle inlogsessies en het wijzigen van hun wachtwoord.

Credits:

Het bericht Nieuws en het NCSC Factsheet 2FA verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 13:14
Nieuws en de Facebook hack https://staging.tesorion.nl/podcast-18/ Fri, 05 Oct 2018 21:00:35 +0000 https://www.i-to-i.nl/?p=3252 https://staging.tesorion.nl/podcast-18/#respond https://staging.tesorion.nl/podcast-18/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-18/">Nieuws en de Facebook hack</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 18

 

Russische cyberaanval in Den Haag, FireEye rapport over APT38 en de Facebook access tokens hack

Door: Lex Borger; 5 oktober 2018

Nieuwsoverzicht

Russische cyberaanval in Den Haag
Dit weten we over de verijdelde hackaanval op de OPCW in Den Haag
‘Russische aanval zat vol blunders’
Russian Spies Arrested on Suspicion of Plans to Hack Swiss Laboratory
Netherlands accuses Russia of cyberattack attempt on OPCW
Reactie op waarschuwing van Amerikaanse en Britse veiligheidsdiensten over kwetsbare netwerkapparatuur [niet meer beschikbaar]

In april dit jaar hebben vier Russische spionnen een brutale cyberaanval geplaatst, gericht op het netwerk van OPCW (Organisation for the Prohibition of Chemical Weapons), na de vergiftiging van Sergej Skripal en zijn dochter in Engeland een maand eerder. De details van deze aanval zijn nu naar buiten gebracht door minister Bijleveld van defensie.

Nu is het duidelijk waar de Amerikanen en Britten de wereld voor waarschuwden midden april dit jaar, iets waar ook het NCSC aandacht aan besteedde.

FireEye rapport over APT38
APT38: Details on New North Korean Regime-Backed Threat Group
North Korean Attacks on Banks Attributed to ‘APT38’ Group
Mandiant Exposes APT1 – One of China’s Cyber Espionage Units & Releases 3,000 Indicators

Deze week publiceerde FireEye een uitgebreid rapport waarin ze APT38 blootleggen. Deze groep is verantwoordelijk voor verschillende frauduleuze financiële transacties waarbij miljoenen buitgemaakt zijn. Ze wijzen de vinger naar Noord-Korea, met aardig wat bewijs.

FireEye is geen onbekende met onderzoek naar APT-groeperingen. Mandient, in 2013 overgenomen door FireEye, publiceerde eerder dat jaar een rapport waarin ze APT1 ontmaskerden.

facebook-3317378_1280

Facebook access tokens hack

Everything We Know About Facebook’s Massive Security Breach
The Facebook Hack Exposes an Internet-Wide Failure
Facebook Hacked — 10 Important Updates You Need To Know About
Insecure code cited in Facebook hack impacting nearly 50 million users
Facebook: Access Tokens

Lex bespreekt de Facebook hack die misbruik maakte van de ‘ViewAs’ functie en access tokens en leidde tot de token reset van 90 miljoen gebruikers.

Credits:

Het bericht Nieuws en de Facebook hack verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 12:02
FIDO2 en Ubikey 5 https://staging.tesorion.nl/podcast-17/ Wed, 26 Sep 2018 19:01:49 +0000 https://www.i-to-i.nl/?p=3241 https://staging.tesorion.nl/podcast-17/#respond https://staging.tesorion.nl/podcast-17/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-17/">FIDO2 en Ubikey 5</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 17

Door: Lex Borger; 24 september 2018

FIDO2 en Ubikey 5

Introducing the YubiKey 5 Series with New NFC and FIDO2 Passwordless Features
10 Things You’ve Been Wondering About FIDO2, WebAuthn, and a Passwordless World
FIDO2 Moves Forward with Passwordless Authentication
FIDO2 Project

Lex bespreekt FIDO2 en de net aangekondigde Ubikey 5, waarmee wachtwoordloze, sterke authenticatie mogelijk wordt gemaakt.
FIDO2-Graphic-v2
Credits:

Het bericht FIDO2 en Ubikey 5 verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 12:01
Nieuwsoverzicht en de 10 stappen van de AVG https://staging.tesorion.nl/podcast-16/ Mon, 30 Jul 2018 14:11:15 +0000 https://www.i-to-i.nl/?p=3229 https://staging.tesorion.nl/podcast-16/#respond https://staging.tesorion.nl/podcast-16/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-16/">Nieuwsoverzicht en de 10 stappen van de AVG</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 16

BSN op paspoort, Hengelo lekt één BSN, stoppen met BSN in btw-nummer en het thema AVG – de 10 stappen in de praktijk

Door: Lex Borger en Renato Kuiper; 27 juli 2018

Tesorion_logo_Leusden_LR

Weetje van de week

Renato:
Half a Billion Enterprise Devices Exposed by DNS Rebinding
New Bluetooth Hack Affects Millions of Devices from Major Vendors
Lex:
ʻOumuamua
ʻOumuamua

ʻOumuamua is a small object, estimated to be about 230 by 35 meters (800 ft × 100 ft) in size. It has a dark red color, similar to objects in the outer Solar System.

The Three Surprises of ’Oumuamua

The first surprise of `Oumuamua is that it is not a comet.
The second surprise of `Oumuamua is how elongated it is.
The third surprise was the fact that `Oumuamua is tumbling.

Interstellar Visitor ’Oumuamua Is a Comet After All

Classifying the object as a comet explains its arcing movement and nongravitational acceleration, as comets can be propelled by gas they release.
There are other possible explanations for this acceleration, … . But the researchers ruled these out.
This leaves the remaining explanation that ’Oumuamua is propelled partially by gas, which would indicate that it is a comet.

Bedrijfsnieuws

Nieuwe logo op het hoofdkantoor in Leusden geplaatst

Nieuwsoverzicht

Kamervragen over BSN op paspoort
Kamervragen over de herleidbare vermelding van het persoonlijke burgerservicenummer (BSN) op de voorzijde van het paspoort

Bent u bereid bij de eerstvolgende herziening van het paspoort, of zoveel eerder als mogelijk, alle naar een persoonlijk BSN herleidbare gegevens van de voorzijde van het paspoort te verwijderen?

Hengelo lekt één BSN
Gemeente Hengelo stuurt excuusbrief na datalek
André Koot’s discussie op Linkedin

Donderdagochtend (red: 19 juli) is op 867 adressen in Hengelo een brief van de gemeente bezorgd met excuses voor een datalek. Woensdag kregen deze adressen de persoonsgegevens van één Hengeloër op een antwoordformulier voor kavelzoekenden.
En alweer een datalek waarbij BSN’s geslachtofferd werden: En meteen wordt dan geconcludeerd dat er een risico van identiteitendiefstal bestaat. Misschien moet ik nog eens proberen het duidelijk te maken; Het BSN is een attribuut van de identiteit van een burger. Naar de overheid toe kan een burger zich ermee identificeren, maar het is geen authenticatiemiddel.

Stoppen met BSN in btw-nummers
Onderzoek naar de verwerking van BSN in btw-identificatienummers door de Belastingdienst
AP: Belastingdienst moet stoppen gebruik BSN in btw-nummers

De Belastingdienst moet zo snel mogelijk stoppen met het verwerken van burgerservicenummers in zogeheten btw-identificatienummers van zelfstandigen met een eenmanszaak. De wettelijke grondslag ontbreekt daarvoor, zo concludeert de Autoriteit Persoonsgegevens (AP).

Thema: AVG – de 10 stappen in de praktijk**

AP biedt 10-stappenplan voorbereiding nieuwe privacywet
Renato deelt zijn ervaring met AVG implementaties aan de hand van de 10 stappen.

Credits:

Het bericht Nieuwsoverzicht en de 10 stappen van de AVG verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 39:42
Nieuwsoverzicht en SOC uitbesteden https://staging.tesorion.nl/podcast-15/ Mon, 09 Jul 2018 08:10:49 +0000 https://www.i-to-i.nl/?p=3219 https://staging.tesorion.nl/podcast-15/#respond https://staging.tesorion.nl/podcast-15/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-15/">Nieuwsoverzicht en SOC uitbesteden</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 15

Fake dating, Gmail privacy zorgen, gezichtsherkenning, AVG blijft lastig en het thema SOC: Zelf doen of uitbesteden?

Door: Lex Borger en Roel Gloudemans; 6 juli 2018

Weetje van de week

Roel:
Dark Matter May be Smoother than Expected

Uit de KiDS survey (scan van de hemel) is de conclusie getrokken dat de verdeling van donkere materie in het universum waarschijnlijk anders is dan tot op heden werd aangenomen. Met de huidige natuurkunde kunnen we dit niet verklaren. We hebben de fundamenten van de natuurkunde mogelijk dus niet volledig correct beschreven. Welke wonderen wachten op ontsluiering en wat zouden we met die nieuw verworven kennis kunnen doen?

Lex:
Frans de Waal – The surprising science of alpha males

Watch Frans’ 2017 TEDMED Talk for his keen observations on how human social structure mirrors primate social structure and how analyzing these patterns can yield rich insights into our own society, what we value, and how we choose our leaders.

Nieuwsoverzicht

Fake dating
Hamas Uses Fake Dating Apps to Infiltrate Israeli Military
Israel: Hamas created fake dating apps to hack soldiers’ phones

Hamas gebruikt een fake dating app.

Gmail privacy zorgen
Google responds to Gmail privacy concerns: ‘we’re not reading your emails’
Ensuring your security and privacy within Gmail Someone else is reading your Gmails

Google legt de verantwoordelijkheid terug bij de gebruiker.

Gezichtsherkenning
Gezichtsherkenning blijkt niet opgewassen tegen Juggalo-make-up
Juggalos figured out how to beat facial recognition
Want to beat facial recognition? Join the Insane Clown Posse

Volgens beveiligings- en privacyonderzoeker Tahkion kunnen bepaalde systemen die bedoeld zijn voor gezichtsherkenning om de tuin worden geleid met specifieke, met schmink aangebrachte, zwart-witte Juggalo-ontwerpen. Wie had dat gedacht.

AVG blijft lastig
Geautomatiseerde scan wijst op tekortkomingen in privacybeleid 14 techbedrijven

Het BEUC, een Europese koepelorganisatie van consumentengroepen, heeft geautomatiseerd onderzoek laten doen naar het privacybeleid van veertien techbedrijven, waaronder Google, Apple en Facebook. De conclusie is dat deze tekortschieten in het licht van privacywet AVG.

Thema: NIST Cybersecurity Framework

SOC, zelf doen of uitbesteden
State of the SOC? Depends on Who You Ask

Veel grote bedrijven maken gebruik van of werken aan een eigen security operations centre (SOC). Bij een SOC wordt vaak Security Information and Event Monitoring (SIEM) gebruikt. Door de bank genomen is dit dure software die meer inzicht moet geven in assets en de anomalieën rondom die assets.

Het is best lastig en duur om een goed SOC te bouwen. Wat vaak onderbelicht is, is dat het SOC maar een begin is. In de meeste implementaties lost het SOC niets duurzaam op. Het is een signaleringsmiddel en eerste responsmiddel. De organisatie moet ook klaar gemaakt worden voor het verwerken van de stroom van security incidenten en om de problemen (in de ITIL zin) te detecteren en duurzame oplossingen hiervoor te ontwerpen en te implementeren.

Het afnemen van een SOC als dienst kan helpen als:

  • Kostenbesparing
  • Tijd besparing

Waardoor er meer tijd en budget besteed kan worden aan wat er echt toe doet: het verbeteren van de interne huishouden.

Credits:

 

Het bericht Nieuwsoverzicht en SOC uitbesteden verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 23:21
Nieuwsoverzicht en NIST Cybersecurity Framework https://staging.tesorion.nl/podcast-14/ Sun, 24 Jun 2018 20:15:38 +0000 https://www.i-to-i.nl/?p=3207 https://staging.tesorion.nl/podcast-14/#respond https://staging.tesorion.nl/podcast-14/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-14/">Nieuwsoverzicht en NIST Cybersecurity Framework</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 14

 

Nieuw CSBN, Tesla sabotage, SIDN detecteert malafide websites automatisch en het thema NIST Cybersecurity Framework

Door: Lex Borger en Roel Gloudemans; 22 juni 2018

Weetje van de week

Roel:
Aarde
Wat is het verschil tussen een sterrendag en een zonnedag?

De aarde draait om zijn as. Om één keer helemaal rond te draaien heeft de aarde … nodig. Hé, dat is toch vreemd! Eén dag duurt toch precies 24 uur!

Lex:
The Mystery of the Orangutan Flange
Apenheul: Het leukste dagje uit tussen de apen!

Een weetje gerelateerd aan de apenrots (zie podcast 12). Sommige mannetjes hebben wangflappen

Before the point at which the male develops his flange he will look like an adolescent, to all intents and purposes an orangutan in a subadult stage. This retardation is believed to have a social cause and may even be socially controlled. Yet when circumstances, which are still not fully understood, are convenable, he will begin to develop his flange as well as a large muscle-covered throat patch, long hair and a distinctive musty odor. Once development starts he will have his full flange within a year.

Nieuw op de website

Sleutels en Encryptie
Door Roel Gloudemans | 20 juni 2018

Deel 3 uit de serie blogs over de blockchain.

Nieuwsoverzicht

Nieuw CSBN
Cybersecuritybeeld Nederland 2018: Digitale dreiging in Nederland neemt toe
MKB-Nederland: ‘Ondernemers doen niet genoeg aan cybersecurity’

De omvang en ernst van de digitale dreiging in Nederland zijn nog steeds aanzienlijk en blijven zich ontwikkelen. Er is sprake van een continue digitale dreiging voor de nationale veiligheid. De Nederlandse maatschappij en economie zijn volledig afhankelijk geworden van digitale middelen. De gevolgen van aanvallen en uitval kunnen groot en zelfs maatschappij ontwrichtend zijn.

  • Digitale dreiging permanent
  • Sabotage en verstoring door landen grootste dreiging
  • Cybercriminaliteit houdt aan
  • Basismaatregelen ontbreken

Tesla sabotage
Tesla’s Musk alleges ‘extensive’ employee sabotage
Tesla Breach: Malicious Insider Revenge or Whistleblowing?

Just before midnight last Sunday evening (June 17, 2018), Elon Musk sent an email to all staff. He was dismayed, he said, to learn about a Tesla employee “making direct code changes to the Tesla Manufacturing Operating System under false usernames and exporting large amounts of highly sensitive Tesla data to unknown third parties.”

 

SIDN detecteert malafide websites automatisch
Malafide website-detector wint vierde editie Dutch Open Hackathon
SIDN werkt aan systeem om malafide websites met .nl-domein sneller op te sporen

De Dutch Open Hackathon 2018 is gewonnen door het team CrimeBusterBot met de ontwikkeling van een tool voor het identificeren van malafide websites. Bij de ontwikkeling van deze tool is gebruikgemaakt van de beschikbare datasets van het Kadaster, Politie en SIDN. In de toepassing vindt en analyseert een automatische bot malafide websites. Tijdens het Dutch Open Hackathon-weekend werkten 23 teams aan de ontwikkeling van toepassingen op basis van data die beschikbaar werd gesteld door HeadFirst, het Kadaster, KPN, Politie, PostNL en SIDN.

Thema: NIST Cybersecurity Framework

NIST Releases Version 1.1 of its Popular Cybersecurity Framework
Implementing the NIST cybersecurity framework could be worth at least $1.4m to your business
COBIT 5 and the NIST Cybersecurity Framework – A Simplified Framework Solution

For organizations looking to implement a cybersecurity framework or standard, the NIST Cybersecurity Framework is considered the most thorough way to apply best practices. While there are many other frameworks available, the NIST CSF provides a nationally recognized guideline as you scale your business and cybersecurity program.

Boek (Ken E. Sigler e.a., 2016):
Securing an IT Organization through Governance, Risk Management, and Audit

Credits:

Het bericht Nieuwsoverzicht en NIST Cybersecurity Framework verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 24:33
SOC interview https://staging.tesorion.nl/podcast-13/ Mon, 11 Jun 2018 11:18:32 +0000 https://www.i-to-i.nl/?p=3197 https://staging.tesorion.nl/podcast-13/#respond https://staging.tesorion.nl/podcast-13/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-13/">SOC interview</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 13

 

Het SOC interview

Door: Lex Borger | 10 juni 2018

In deze dertiende editie van de Tesorion podcast interviewt Tesorion consultant Lex Borger collega’s Bram van Pelt en Martijn Sneep over het SOC.

Weetje van de week

Martijn: Tesla Model 3 krijgt geen aanbeveling van Amerikaanse consumentenbond Tesla Model 3 Gets CR Recommendation After Braking Update

Dit weetje werd opgenomen als deel van het interview, met als nabrander een update op het weetje:

Until now, that type of remote improvement to a car’s basic functionality had been unheard of. “I’ve been at CR for 19 years and tested more than 1,000 cars,” says Jake Fisher, director of auto testing at Consumer Reports, “and I’ve never seen a car that could improve its track performance with an over-the-air update.”
In CR’s initial review of the Model 3, testers noted that the EV’s 152 feet (46 meter 35 cm) to stop from 60 mph was 7 feet longer than a Ford F–150 pickup’s stopping distance, and 25 feet longer than Tesla’s own Model X SUV’s. In retesting after the software update was downloaded, the sedan stopped in 133 feet (40 meter 55 cm) from 60 mph, an improvement of 19 feet (5 meter 80 cm).

Nieuw op de website

Twee blogs van collega Roel Gloudemans:
Checksums en hashes
Cracking the Hash

SOC interview

Op 23 mei heb ik Bram van Pelt en Martijn Sneep geïnterviewd op locatie van het SOC van Nováccent, ook een Tesorion onderneming.

Credits:

Het bericht SOC interview verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 27:15
Nieuwsoverzicht en de apenrots https://staging.tesorion.nl/podcast-12/ Tue, 22 May 2018 06:09:32 +0000 https://www.i-to-i.nl/?p=3184 https://staging.tesorion.nl/podcast-12/#respond https://staging.tesorion.nl/podcast-12/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-12/">Nieuwsoverzicht en de apenrots</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 12

Kaspersky, Efail fail, Ecuador, de AVG en het thema apenrots

Door: Lex Borger en Ciska Jonker; 18 mei 2018

In deze twaalfde editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Ciska Jonker je bij over het security nieuws van de afgelopen weken en over ‘de apenrots’.

Weetje van de week

Ciska:
Winners of the Ig Nobel Prize

The Ig Nobel Prizes honor achievements that first make people laugh, and then make them think. The prizes are intended to celebrate the unusual, honor the imaginative
Ignoble is Engels voor laaghartig.

 

Lex:
Laurel – Yanny
Een prachtig staaltje gehoorbedrog.

Nieuwsoverzicht

Kaspersky
Voorzorgsmaatregel ten aanzien van gebruik Kaspersky antivirussoftware
Dutch Government plans to phase out the use of Kaspersky solutions

Antivirussoftware is verbonden met, en/of heeft rechten over netwerken en systemen en daarmee uitgebreide en diepgaande toegang tot ICT-systemen om computervirussen te bestrijden. Dergelijke software kan echter, vanwege de uitgebreide toegang die deze biedt, ook misbruikt worden om digitale spionage en sabotage mogelijk te maken. Kaspersky Lab is een Russisch bedrijf met haar hoofdkantoor in Rusland en valt daarmee onder Russische wetgeving.
In response to the accusations from several governments, Kaspersky is moving a number of its core activities from Russia to Switzerland as part of its “Global Transparency Initiative.”

Efail fail?
EFAIL
Rickey Gevers Efail tweet
Schneier: Details on a New PGP Vulnerability

De pers bericht dat PGP zo kwetsbaar is, dat het gebruik ervan meteen gestopt moet worden. Is het storm in een glas water? Security experts zeggen van wel.

Ecuador en Assange op gespannen voet

Revealed: Ecuador spent millions on spy operation for Julian Assange
Ecuador Spied on Assange at London Embassy: Report
Why Is Ecuador Protecting WikiLeaks’ Julian Assange?

Assange verblijft al ruim vijf jaar in de Ecuadoraanse ambassade in Londen. Lang genoeg, kennelijk, om zijn gastheer te irriteren. The Guardian schrijft over één van die irritaties:

In an extraordinary breach of diplomatic protocol, Assange managed to compromise the communications system within the embassy and had his own satellite internet access, according to documents and a source who wished to remain anonymous. By penetrating the embassy’s firewall, Assange was able to access and intercept the official and personal communications of staff, the source claimed.

Thema: apenrots

How to Manage the Alpha Male
Prof. Thomas Malone (MIT) – Emotional Intelligence

We zijn in de gemiddelde enterprise die Agile gaat werken van één apenrots (managers) naar veel apenrotsen (product owners) aan het gaan. Tegelijkertijd hebben deze enterprises te maken met AVG, en dus ‘security by design’ en ‘security by default’. Daar past apenrotsgedrag juist niet bij. We missen een kans om een vlak landschap te maken.

Credits:

Het bericht Nieuwsoverzicht en de apenrots verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 31:47
Nieuwsoverzicht en Facebook https://staging.tesorion.nl/podcast-11/ Sat, 05 May 2018 20:09:35 +0000 https://www.i-to-i.nl/?p=3160 https://staging.tesorion.nl/podcast-11/#respond https://staging.tesorion.nl/podcast-11/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-11/">Nieuwsoverzicht en Facebook</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 11

 

Tesorion, Nederlandse VW hack, hotelsleutelbeheer en het thema Facebook

Door: Lex Borger en Ard-Jan Visser; 4 mei 2018

In deze elfde editie van de i-to-i podcast praten i-to-i consultants Lex Borger en Ard-Jan Visser je bij over het security nieuws van de afgelopen weken en over Facebook en de AVG.

Weetje van de week

Ard-Jan:
Kabaal in Zee [niet meer beschikbaar]Milieuvervuiling in de vorm van geluidsoverlast voor het leven in zee door menselijke activiteiten in zee.

Lex:
Why is pollution level goes high at night? [niet meer beschikbaar]Waarom heb je juist geïrriteerde slijmvliezen ’s morgens vroeg? Het niveau van luchtvervuiling is ’s morgens vroeg het hoogst.

Nieuwsoverzicht

Tesorion
Tesorion
Rickey Gevers @UID_ – 1 mei
Waarom is Tesorion opgericht?
Wij constateren dat cybersecurity tot op heden vooral een optelsom van deeloplossingen is. De praktijk bewijst dat hackers steeds professioneler te werk gaan en dat daar geen einde aan komt. Het is onze overtuiging dat zaken als hacken, in- en externe bedreigingen altijd zullen blijven bestaan en dat organisaties daarmee voortdurend geconfronteerd blijven worden.

Rickey Gevers was de eerste externe persoon om erover te tweeten.
Onze LinkedIn profielen.
Er is niet zozeer sprake van een nieuwe functie, maar van een nieuw bedrijf met continuïteit van functie.

Nederlandse VW hack
Modellen Volkswagen Group kwetsbaar voor hackers
The Connected Car – Ways to get unauthorized access and potential implications
Kennissessie IoT Security – Onder de motorkap van een Tesla [link niet meer beschikbaar]

Ethische hackers van Computest vinden kwetsbaarheden in het IVI (In-Vehicle Infotainment) systeem van Volkswagen. En ze kunnen zelfs doorbreken tot de CAN-bus. Dit laat zien hoe ver de autoindustrie nog achterloopt in informatiebeveiliging. Ze concluderen:

We believe that the car industry in general, since it isn’t traditionally a software engineering industry, needs to look to other industries and borrow security principles and practices. Looking at mobile phones for instance, the car industry can take valuable lessons regarding trusted execution, isolation and creating an ecosystem for rapid security patching. For instance, components in a car that are remotely accessible, should be able to receive and apply verified security updates without user interaction.

Onze collega Ken Trouwborst gaf op 20 februari nog een presentatie over de toegankelijkheid van de CAN-bus in zelfrijdende auto’s.


In de discussie:
Minister houdt vast aan zelfrijdende auto
Minister: wegen en wetten dit jaar voorbereiden op ‘slimme’ voertuigen
Minister van Infrastructuur en Waterstaat, Cora van Nieuwenhuizen blijft inzetten op meer zelfrijdend vervoer op de Nederlandse wegen. Dit vanwege de bijdrage aan veiliger, schoner en vlotter verkeer door zelfrijdende auto’s.

Hotelsleutelbeheer
When Hacking Hotel Rooms Is Your Hobby
Hackers have found yet another way into your hotel room

Een hack van de draadloze sleutels die we allemaal kennen van een hotelverblijf. Deze hack is opmerkelijk, omdat de onderzoekers geen sleutelkopie, maar een loper hebben kunnen maken.

Tomi and Timo Hirvonen, F-Secure Senior Security Consultant, spent more than a decade of their spare time trying to figure out what happened to a laptop that was stolen out of a hotel room, without a physical or digital trace, at a infosec conference in Berlin. Eventually, after endless experimentation, they figured out a way to make a master key that could slip them into hotels around the world in just seconds.

Ze gaan nog een AMA sessie doen:

We’re going to take questions about our Hotel Hack for the first time on the 11th of May at 10 AM EDT/5 PM EEST​ on reddit. Ask us anything!

Thema: Facebook

Facebook en de AVG
De Facebook Pixel
Hoe zit het nou eigenlijk met die Facebook Pixel? – Bits of Freedom

De audit
A 2017 audit said Facebook’s data practices were A-OK

Facebook F8
Clear History
Dating

Credits:

Het bericht Nieuwsoverzicht en Facebook verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 26:54
Nieuwsoverzicht en IAM https://staging.tesorion.nl/podcast-10/ Mon, 09 Apr 2018 09:11:45 +0000 https://www.i-to-i.nl/?p=3139 https://staging.tesorion.nl/podcast-10/#respond https://staging.tesorion.nl/podcast-10/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-10/">Nieuwsoverzicht en IAM</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 10

 

Wachtwoorden opzoeken, Cloudflare DNS, TLS V1.3 en IAM

Door: Lex Borger, Eline van Dam en Bram van Pelt; 6 april 2018

In deze tiende editie van de Tesorion podcast praten Tesorion consultants Lex Borger, Eline van Dam en Bram van Pelt je bij over het security nieuws van de afgelopen weken en over identity and access management.

Weetje van de week

Eline:
We hunkeren naar de zon, want de winter heeft ons getreiterd
Als u meer dan ooit snákt naar het lekkere weer van zaterdag, dan is dat niet gek.

Bram:
Salton Sea
The Salton Sea: An accidental oasis-turned-environmental tragedy
Een voorbeeld van een slechte, tijdelijke fix…

Lex:
Tiangong–1: Defunct China space lab comes down over South Pacific
ESA > Our Activities > Operations > Space Debris

Tiangong was certainly on the large size for uncontrolled re-entry objects, but it was far from being the biggest, historically:

  • The US space agency’s Skylab was almost 80 tonnes in mass when it came back partially uncontrolled in 1979. Parts struck Western Australia but no-one on the ground was injured
  • Nasa’s Columbia shuttle would also have to be classed as an uncontrolled re-entry. Its mass was more than 100 tonnes when it made its tragic return from orbit in 2003. Again, no-one on the ground was hit as debris scattered through the US states of Texas and Louisiana

Astrophysicist Jonathan McDowell believes Tiangong is only the 50th most massive object to come back uncontrolled.

Nieuwsoverzicht

Wachtwoorden opzoeken
Gotcha? [link niet meer beschikbaar]Verander nu je wachtwoord: 3,3 miljoen Nederlandse wachtwoorden eenvoudig te vinden
Hacker tegen AD: Wachtwoorden miljoenen Nederlanders vindbaar met zoekmachine. Wat nu?
Hacker die wachtwoorden-zoekmachine maakte: ‘Mijn doel is bereikt’
‘Ethisch hacker’ ziet af van zoekmachine, maar doel is bereikt
Juridische vraag: Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?
Zoekmachine met miljoenen Nederlandse wachtwoorden online verschenen

Een Nederlandse hacker heeft de AD ingelicht dat hij beschikt over erg veel wachtwoorden en bied deze online aan om in te zien via gotcha.pw. Is dit een publiciteitsstunt of nieuw onderzoek?

Cloudflare DNS – vier keer één
Global Managed DNS
Cloudflare Launches Free Secure DNS Service
DNS Resolvers Performance compared: CloudFlare x Google x Quad9 x OpenDNS
Cloudflare is een bekende dienst waarmee DDos aanvallen kunnen worden gemitigeerd. Sinds kort gaan ze ook verder en bieden DNS diensten aan, een verbreding van het portfolio of kan de schoenmaker maar beter bij zijn leest blijven?
De dienst gebruikt DNS over HTTPS (DOH).

TLS V1.3
IETF Approves TLS 1.3
World celebrates, cyber-snoops cry as TLS 1.3 internet crypto approved
An Overview of TLS 1.3 – Faster and More Secure

Na 28 pogingen is hij er dan eindelijk, TLS 1.3! Wat gaat dit voor ons in de toekomst betekenen?

  • Speed Benefits (“zero round trip”)
  • Improved Security
  • Browser Support

Thema: IAM

IAM, oftewel Identity & Access Management,
Ieder systeem regelt de toegangsbeveiliging zelf, waarom zou je IAM centraal regelen?

  • Het is efficiënter en effectiever voor de business én IT
  • Het maakt het mogelijk aantoonbaar in-control te zijn van de autorisaties

Wat kan een IAM-tool dan voor je doen?

  • Vertalen van algemene toegangsregels naar autorisatieinstellingen in systemen
  • Gebruik maken van een autorisatiemodel, zoals RBAC of ABAC
  • Administreren van toegangsmiddelen (registratie / uitgifte / intrekken / vervangen)
  • Inzicht en overzicht geven aan people managers, systeemeigenaren en security managers
  • Aantonen van procesgang en periodieke controles (attestatie)

Hoe werkt dat dan?

  • Techniek: Synchroniseren van bronsystemen naar doelsystemen; hierbij autorisatieregels en -modellen toepassen
  • Processen: Aanvragen en goedkeuren van toegang; aanzetten tot periodieke controles
  • Mensen: Medewerkers, partners, klanten, maar ook processen, systemen, high-privileged accounts

Wat moet er naast een IAM-tool nog meer geregeld worden?

  • De bronsystemen en synchronisatiemethoden moeten betrouwbaar zijn
  • De run-time toegang moet geregeld zijn. De gebruiker moet herkend kunnen worden (authenticeren / inloggen / andere attributen ophalen)

Wat kan er nog meer?

  • SSO
  • Federatie

Maar dat zijn onderwerpen voor een andere podcast… 😉

Credits:

Het bericht Nieuwsoverzicht en IAM verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 39:20
Nieuwsoverzicht en security awareness https://staging.tesorion.nl/podcast-9/ Mon, 26 Mar 2018 19:33:16 +0000 https://www.i-to-i.nl/?p=3131 https://staging.tesorion.nl/podcast-9/#respond https://staging.tesorion.nl/podcast-9/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-9/">Nieuwsoverzicht en security awareness</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 9

 

Dubbel betalen, Cambridge Analytica, nieuwe spelregels, het referendum en security awareness

Door: Lex Borger en Ria Boerrigter; 23 maart 2018

In deze negende editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Ria Boerrigter je bij over het security nieuws van de afgelopen weken en over security awareness.

Weetje van de week

Ria:
Vertrouwen is goed, controle is beter. Verschillende zaken die het nieuws domineren hebben te maken met een verlies van vertrouwen:

  • Het nee op de sleepwet, hoewel nipt;
  • De facebook lekkage en de kwesties van politici die de integriteitstoets niet kunnen doorstaan;
  • Misschien zelfs het organiseren van de Sinterklaasoptocht.

Lex:
The world’s last male northern white rhino is dead. Now what?

Nieuwsoverzicht

Dubbel betalen
ING blundert met drie miljoen dubbele afboekingen – wat ging er mis en wat zijn de gevolgen?
ING draait drie miljoen dubbele afboekingen terug

Je moet er niet aan denken dat het jou overkomt: twee keer je geld kwijt. Veel emotionele berichtgeving hierover. De hamvraag: was er ook twee keer bijgeschreven? Alleen in de Volkskrant een antwoord op die vraag.

En de bedrijven voor wie het geld bedoeld was? Die hebben niet van de dubbele afschrijving geprofiteerd. De bank had de dubbel afgeschreven bedragen nog niet daadwerkelijk overgeboekt. Omdat het geld de bank nog niet had verlaten, kon ING de fout gemakkelijk terugdraaien.

Op Tweakers valt op in het commentaar dat er, naast het oprakelen van de beloning van Ralph Hamers, discussie ontstaat over agile versus waterval.

Cambridge Analytica
Cambridge Analytica used data from Facebook and Politico to help Trump (26 oktober 2017)
Cambridge Analytica: links to Moscow oil firm and St Petersburg university The Cambridge Analytica affair reveals Facebook’s “Transparency Paradox”

Nieuwe spelregels voor Responsible Disclosure?
Response to the amdflaws publication
Severe Security Advisory on AMD Processors [link niet meer beschikbaar]

Ilia Luk-Zilberman – CTO @ CTS-Labs:

… we started finding vulnerabilities. One, and another and another. And not complex, crazy logical bugs, but basic mistakes – like screwing up the digital signatures mechanism. At that point, about once a week we found a new vulnerability, not in one specific section, but across different sections and regions of the chips. It’s just filled with so many vulnerabilities that you just have to point, research, and you’ll find something (obviously a personal opinion).
After that we decided we have to go public with this. I honestly think it’s hard to believe we’re the only group in the world who has these vulnerabilities, considering who are the actors in the world today, and us being a small group of 6 researchers.

Referendum uitslag
Kiesraad: referendum blijft niet onbeslist
Rutte heeft geen spijt van vergelijken referendum met kantklossen

Ook als het aantal stemmen tegen de nieuwe inlichtingenwet onder de 50 procent blijft, hebben de tegenstanders het raadgevend referendum gewonnen, verzekert de Kiesraad. Dat de tegenstanders de voorstanders wel lijken te verslaan, maar toch minder dan de helft van de stemmen binnenhalen, maakt geen verschil.
De minister-president reageerde met de gewraakte woorden op een journalist, die het voor het referendum opnam omdat mensen ,”het wel leuk vinden: kunnen ze een beetje meepraten”. “Ja, maar spelshows op tv zijn ook leuk”, antwoordde Rutte. “En kantklossen is ook leuk. Maar uiteindelijk gaat het toch om serieuze dingen.”

Thema: Security awareness

Awareness: bewustWORDING versus bewusteloos.

Hoofd-hart-handen: je weet het wel maar voelt er niet genoeg bij om het te doen.

Vanuit risico gestuurd gedrag vraagt een goed verhaal.

Trend: Van zenden naar halen.
Het is niet klaar met een enkele campagne: permanente educatie zoals in de zorg verplicht is zou een optie kunnen zijn.

Ook: middelen die snel kunnen inspelen op de actualiteit, interne communicatie en human resources zijn de beste partners van een CISO.

Credits:

 

 

Het bericht Nieuwsoverzicht en security awareness verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 29:30
Nieuwsoverzicht en polymorfe pseudonimisering https://staging.tesorion.nl/podcast-8/ Sun, 11 Mar 2018 09:26:55 +0000 https://www.i-to-i.nl/?p=3111 https://staging.tesorion.nl/podcast-8/#respond https://staging.tesorion.nl/podcast-8/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-8/">Nieuwsoverzicht en polymorfe pseudonimisering</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 8

 

Nieuwe DDoS records, veiligheidsmonitor 2017 en het thema polymorfe pseudonimisering

Door: Lex Borger, Bram van Pelt en Joost Wijnings; 9 maart 2018

In deze achtste editie van de Tesorion podcast praten Tesorion consultants Lex Borger, Bram van Pelt en Joost Wijnings je bij over het security nieuws van de afgelopen weken en over polymorfe pseudonimisering.

Weetje van de week

Bram:
Library of Babel

Alles wat jij geschreven hebt of gaat schrijven is al opgeslagen in de Library of Babel.

Joost:
Wetenschappelijke paper ‘Finding The Greedy, Prodigal, and Suicidal Contracts at Scale’

Een groepje onderzoekers heeft een methode ontwikkeld om grootschalig ‘smart contracts’ op de Ethereum Blockchain te scannen op kwetsbaarheden. Het is immers openbaar vastgelegde software en dus te toetsen. De gepubliceerde paper zal veel mensen de pet te boven gaan (URL in de shownotes), maar het is een belangrijk stukje awareness: een onjuist smart contract kan je gewoon je geld kosten. En uit het onderzoek blijkt dat er helaas vele slimme contracten kwetsbaar zijn…

Lex:
Het monster van Oganessian
Royal Society of Chemistry – Periodic table – Oganesson.

Element–118 is het zwaarste atoom dat er ooit gemaakt is en nog behoorlijk stabiel ook. Maar tegelijk lijkt dit Oganesson geen chemisch element zoals we ze kennen.

Ik ben wat gaan doorzoeken en belandde in de wereld van de quarks, leptons en bosons. Maar ook in verhalen over voor mij nieuwe combinaties van bestaande bouwelementen.

Where Does The Mass Of A Proton Come From?
Hierarchy Of Matter-Particles

We hebben heel duidelijk de legpuzzel van kleine componenten nog helemaal niet compleet.

Nieuw op de website

Cybersecurity valt nog veel te verbeteren bij ziekenhuizen [link niet meer beschikbaar]
Door Pascal de Koning | 5 maart 2018

Inzichten uit de Cybersecurity Monitor over de gesteldheid van cyberhygiëne bij ziekenhuizen.

Regelmatig komen ziekenhuizen in het nieuws wegens uitbraken van malware of omdat ze het slachtoffer zijn van ransomware-aanvallen. Tijd om te onderzoeken of de Nederlandse ziekenhuizen hun cybersecurity op orde hebben.

Opmerkelijk is dat in de lijst met best scorende ziekenhuizen geen enkel academisch ziekenhuis staat. Voorts valt op dat de hekkesluiter een opgeheven ziekenhuis betreft.

Nieuwsoverzicht

Nieuwe DDoS records
Two PoC exploits for Memcached DDoS attacks have been released online
1.7 Tbps DDoS Attack — ​Memcached UDP Reflections Set New Record
Memcached DDoS Attack: Kill Switch, New Details Disclosed

Veiligheidsmonitor 2017
CBS – Veiligheidsmonitor 2017

Op 1 maart werd de Veiligheidsmonitor 2017 gepubliceerd door het CBS. Bram nam het rapport door en deelt zijn bevindingen:

De politie claimt in alle districten vrijwel dezelfde capaciteit te hebben om cybercrime aan te pakken.
Geen uitschieters naar “gunstiger dan gemiddeld” alleen twee ongunstiger:

  • Lijkt te claimen dat de capabity redelijk stabiel is;
  • Vrij uniek vergeleken met de overige categorieën, geen duidelijke verklaring voor;
  • Lijkt verslechterd te zijn ten opzichte van 2012, zelfrealisatie of achteruitgang?

Cybercrime lijkt toegenomen te zijn ten opzichte van 2016.
Komt door koop en verkoopfraude, deze lijkt sneller te groeien.
Identiteitsfraude lijkt moeilijker te worden en neemt jaarlijks af.
Hacking en cyberpesten zijn vrijwel gelijk, maar:

  • Meer slachtoffers van hacking;
  • Cyberpesten is ook stalking;
  • Er zijn wel meer slachtoffers van cyberpesten gemeld.

Slachtoffers van cybercrime zijn vooral jongeren
Behalve als het gaat om identiteitsfraude.
Cyberpesten is een enorme uitschieters.
25 tot 44 jarigen zijn marktleiders als het gaat om identiteitsfraude en koop en verkoopfraude.
In totaliteit is in 2017 het aandeel 15–24-jarige slachtoffers met 17 procent ruim drie keer zo groot als het aandeel 65-plussers (5 procent).

Ongeveer 1 op de 8 gevallen wordt gemeld bij de politie
Vertrouwen bij de burger laag?
Procentueel loopt dit niet op…

Thema: Polymorfe pseudonimisering

Drie vragen over polymorfe pseudonimisering beantwoord:

Wat is het?

  • Doorontwikkeling van ElGamal encryptie door Eric Verheul
  • Randomisering van cyphertext
  • Goed voor privacy (voorbeeld doktor en verzekeraar)

Wat zijn de plannen ervoor?
Implementatie elektronische toegangsdiensten van de overheid

Hoe kun je erbij betrokken raken?
Setup van het PP model en de decryptie code is beschikbaar op GitHub: BramvanPelt/PPDecryption

Credits:

Het bericht Nieuwsoverzicht en polymorfe pseudonimisering verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 45:18
Nieuwsoverzicht en entropie https://staging.tesorion.nl/podcast-7/ Sun, 25 Feb 2018 08:25:43 +0000 https://www.i-to-i.nl/?p=3046 https://staging.tesorion.nl/podcast-7/#respond https://staging.tesorion.nl/podcast-7/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-7/">Nieuwsoverzicht en entropie</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 7

 

Half miljard wachtwoorden, Tesla cryptocurrency, Nederlandse gemeenten bedreigd en het thema entropie

Door: Lex Borger en Roel Gloudemans; 23 februari 2018

In deze zevende editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Roel Gloudemans je bij over het security nieuws van de afgelopen weken en over het cryptografisch begrip entropie.

Weetje van de week

Roel:
Adiabatische expansie
Rokend bier

Lex:
Telugu
80 miljoen sprekers

Telugu is de 15e taal in de wereld. Vergeleken met westerse talen wordt het door meer mensen gesproken dan Frans, Turks, Italiaans en Nederlands; alleen Duits, Portugees, Engels en Spaans hebben meer sprekers.
De taal is nu op de kaart gezet omdat een samengesteld teken uit deze taal door een kwetsbaarheid (CVE–2018–4124) een Apple apparaat kon laten crashen. Veel details worden niet gegeven.

Apple was laat met de ondersteuning ervan. Roep om ondersteuning in 2011 is te vinden.

iOS support voor Telugu komt pas in iOS 10, september 2016. MS Office op de Mac support Telugu in de 2016 versie.

In Unicode heeft Telugu de reeks 0C00–0C7F. Het is een taal met mooie tekens, waarbij relatieve plaatsing ook nog belangrijk is. Dat laatste heeft Apple programmeurs waarschijnlijk de das omgedaan. De exacte tekens en volgorde die het probleem veroorzaakt is niet publiek gedocumenteerd. Het gewraakte teken bestaat duidelijk uit een samenstelling van O en UU in de bovenste helft, wat in samentrekking al een AU wordt. In de onderste helft zie ik de I, en de samenstelling NYA.

Sophos heeft een mooie blogentry over deze zaak: Apple fixes that “1 character to crash your Mac and iPhone” bug

Nieuw op de website

Wachtwoorden [link niet meer beschikbaar]Door Lex Borger | 12 februari 2018

De LinkedIn hack in juni 2012 was voor mij de druppel die de emmer deed overlopen. Ik was al overgegaan tot het gebruik van een programma voor wachtwoordbeheer, maar toen ben ik door al mijn wachtwoorden gegaan en heb ze allemaal veranderd, en allemaal apart ingesteld naar verschillende waarden.

De beschrijving van een anekdote, waarbij passwordmanagers een te sterk wachtwoord afleveren.

Geen gedoogbeleid voor hash [link niet meer beschikbaar]Door Lex Borger | 5 februari 2018

Wat de browserproducenten betreft wordt het SHA–1 hash-algoritme op 1 januari 2017 bij het grofvuil gezet. Zowel Google, Microsoft en Mozilla zijn het hierover eens. Ze verschillen weliswaar op details, maar de grote boodschap is een duidelijke: De SHA–1 dagen zijn over.

Deze opinie heb ik origineel eind 2016 geschreven. Begin 2017 is door Google en het CWI een daadwerkelijke SHA–1 collision aangetoond. Hiermee was de degradatie van SHA–1 praktisch aangetoond.

Nieuwsoverzicht

Een half miljard wachtwoorden
I’ve Just Launched “Pwned Passwords” V2 With Half a Billion Passwords for Download
Haveibeenpwned.com – Pwned Passwords
HaveIBeenPwned.com heeft een half miljard gelekte wachtwoorden. Het interessante is dat ze hiervan ook hashtabellen hebben. Je kunt je wachtwoord zelf dus opzoeken…

Tesla cryptocurrency
Hackers Enlisted Tesla’s Cloud to Mine Cryptocurrency
Tesla Falls to Crypto-Jackers

The attackers had apparently discovered that this particular Kubernetes console—an administrative portal for cloud application management—wasn’t password protected and could therefore be accessed by anyone.
At issue was Tesla’s Kubernetes administrative console, which exposed access credentials to Tesla’s AWS environment. Those credentials provided unfettered access to Tesla’s Amazon Simple Storage Service (S3) buckets.

Nederlandse Gemeenten bedreigd
Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2018

De vijf belangrijkste bedreigingen voor de lokale informatievoorziening die worden gesignaleerd zijn:

  • Mensen maken fouten;
  • Gemeenten zijn, net als alle organisaties, kwetsbaar;
  • Dreigingen liggen ook (vlak) buiten de eigen organisatie;
  • De waan van de dag bepaalt de agenda;
  • We weten niet wat we niet weten.

Het slechte nieuws: bedreigingen komen van binnen (4x) en 1x van je directe partners.

Het goede nieuws: daar kun je zelf meteen aan gaan werken…

Het tussenzinnetje ‘net als alle organisaties’ spreekt boekdelen over de houding.

Thema: Entropie

Wat is entropie in de security context?
Het gaat hier niet om de natuurkundige betekenis. De Oxford Advanced Learners Dictionary definieert entropy als “a way to measure the lack of order that exists in a system”. Een gebrek aan orde. Maximale wanorde, dus. Dit is wat we in de security met het woord random aanduiden.

Wederom de OALD: “without somebody deciding in advance, without any regular pattern, each thing has an equal chance of being chosen”.
Random is een beschrijving van wat we nodig hebben, entropie is de meetlat waarmee we kunnen aanduiden hoeveel we daarvan hebben.
Credits:

 

 

Het bericht Nieuwsoverzicht en entropie verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 29:50
Nieuwsoverzicht en dataclassificatie https://staging.tesorion.nl/podcast-6/ Sun, 11 Feb 2018 17:37:01 +0000 https://www.i-to-i.nl/?p=3027 https://staging.tesorion.nl/podcast-6/#respond https://staging.tesorion.nl/podcast-6/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-6/">Nieuwsoverzicht en dataclassificatie</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 6

 

Mining en IoT botnets, Coincheck en IOTA hacks, Strava, Maersk na NotPetya en het thema data classificatie

Door: Lex Borger en Roel Gloudemans; 9 februari 2018

In deze zesde editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Roel Gloudemans je bij over het security nieuws van de afgelopen weken en over het thema dataclassificatie.

Weetje van de week

Roel:
Wheel of Cheese Launched Into Space On Private Spacecraft
Cheese Shop Sketch – Monty Python’s Flying Circus
De eerste testvlucht van SpaceX Dragon capsule had een een topgeheime lading aan boord. Dit bleek later een kaas te zijn. Dit als verwijzing naar een Sketch van Monty Python waar John Cleese een kaas probeert te kopen in een kaaswinkel die geen kaas heeft, maar wel muziek.
Overigens, de ontwikkeling van de Falcon raket kostte $440mln. Ongeveer 1/3 van wat NASA nodig gehad zou hebben. Ik vraag mij af of het verschil te maken heeft met de risicobereidheid van beide organisaties.

Lex:
Brain Damage, the Super Bowl and Me
What a lifetime of playing football can do to the human brain
Het grootste sportspektakel in de VS is weer gehouden, de Super Bowl. De Eagles hebben gewonnen, maar Football blijft verliezen

Nieuws op de website

Veranderweekend 2017 [niet meer beschikbaar]Door Edzard Buddingh | 25 januari 2018

Ook dit jaar hebben gedurende het laatste weekend van oktober ons traditionele Veranderweekend gehouden. Oorspronkelijk was dit weekend uitsluitend gericht op verandermanagement, maar sinds wij een aantal jaren hebben wij de transformatie gemaakt naar Informatiebeveiligings bedrijf, en neemt security in dit weekend een prominente plaats in.

Er is in duizend jaar niet veel veranderd [niet meer beschikbaar]Door Lex Borger | 5 februari 2018

De Vikingen regelden hun veiligheid met hetzelfde proces als wij vandaag de dag gebruiken: Regelmatig een risicoanalyse uitvoeren en bij veranderende dreiging pas je de maatregelen aan. Bij een grotere dreiging kan het zijn dat je drastische maatregelen neemt.
Deze podcast gaat niet over de DDoS aanvallen of Meltdown en Spectre.

Mining en IoT Botnets

Smominru Monero mining botnet making millions for operators
WannaMine and Smominru: The cryptocurrency botnets causing havoc
What are “WannaMine” attacks, and how do I avoid them?

Smominru gebruikt EternalBlue
2 miljoen hashes per seconde
Miljoenen opbrengst

Satori Author Linked to New Mirai Variant Masuta
IoT Goes Nuclear: Creating a ZigBee Chain Reaction [link niet meer beschikbaar]Satori Botnet Is Now Attacking Ethereum Mining Rigs

‘Masuta’ is Japans voor ‘meester’
Een miljoen apparaten?

Coincheck en IOTA hacks

Two new cryptocurrency heists make off with over $400M worth of blockchange
South Korean intelligence says N. Korean hackers possibly behind Coincheck heist – sources
Online IOTA Seed Generator Starts Stealing Funds From Users

Coincheck hack (~ EUR 500M aan XEM gestolen)
IOTA Wallet theft – houd je private key private!

Strava

When Trading Track Records Means Less Privacy
Heat Map Released by Fitness Tracker Reveals Location of Secret Military Bases

Fitness Strava App

Maersk na NotPetya

Maersk had to reinstall all IT systems after NotPetya infection
NotPetya Ransomware Attack Cost Shipping Giant Maersk Over $200 Million

Maersk moet 45k PCs & 4k servers opnieuw imagen na NotPetya. Onduidelijk of die kostenpost meegenomen was in de eerste schadeberichten van 200 tot 300 miljoen dollar.

Data classificatie

Iedereen is er mee bezig, weinigen lukt het, wat is nu de juiste aanpak?

Credits:

Het bericht Nieuwsoverzicht en dataclassificatie verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 34:02
Nieuwsoverzicht en wachtwoorden https://staging.tesorion.nl/podcast-5/ Mon, 29 Jan 2018 20:34:58 +0000 https://www.i-to-i.nl/?p=2982 https://staging.tesorion.nl/podcast-5/#respond https://staging.tesorion.nl/podcast-5/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-5/">Nieuwsoverzicht en wachtwoorden</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 5

Kennissessies, Amazon GO, Alphabet Chronicle, iOS audio kwetsbaarheid, wachtwoorden

Door: Lex Borger en Joost Wijnings; 26 januari 2018

In deze vijfde editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Joost Wijnings je bij over het security nieuws van de afgelopen weken en over het thema wachtwoorden.

Weetje van de week

Joost: NS start een proef in samenwerking met ING waarbij reizigers niet hoeven in te checken en op basis van detectie van locatie en beweging de reis wordt afgerekend. De daarbij gebruikte iPhone app genereert een barcode die de conducteur kan scannen bij een controle. Ik zie gelijk allerlei issues, zoals het openen van de poortjes op het station, gebrek aan bereik, een lege accu, etc. Maar wel een interessante ontwikkeling en qua innovatie en klantvriendelijkheid de weg voorwaarts als je het mij vraagt.

ING en NS doen proef met betalen van treinreis via iPhone-app die reiziger volgt

Lex: Ik zag een verwijzing naar de website Laat Je Niet Hack Maken, die eigenlijk een soort eBook is. Daniël Verlaan heeft in negenduizend woorden de essentie van cybersecurity voor het gewone publiek opgeschreven.

Deze handleiding legt op een begrijpelijke manier uit hoe je jezelf beschermt tegen hackers. Aan de handleiding hebben zes professionele hackers meegewerkt.

Laat Je Niet Hack Maken garandeert geen honderd procent veiligheid. Dat bestaat niet op het internet. Wel kun je het hackers en hun virussen zo lastig mogelijk maken door deze tips te volgen.

Je kunt ook een kleine donatie doen. Met deze Tikkie van 4,50 euro bekostig je mijn maandelijkse serverhuur of een speciaalbiertje. …

Data eerste kennissessies 2018 bekend!

Na het succes van de kennissessies in 2017 gaan we hier in 2018 mee verder. De data voor de eerste 2 kennissessies zijn bekend. Op dinsdag 20 februari staat Internet of Things Security centraal en op donderdag 19 april staat het Security Operations Center centraal. Noteer deze data dus alvast in uw agenda.

Amazon GO

Misschien niet specifiek security, maar wel privacy gerelateerd: de nieuwste winkel(s) van Amazon. Via camera’s wordt je bij het binnenkomen herkend, je pakt spullen uit de schappen en doordat ‘het systeem’ herkent wie je bent en wat je gepakt hebt (en wat je teruggelegd hebt), wordt op de juiste wijze alles automatisch afgerekend als je wegloopt.

Amazon maakt caissière overbodig in kassaloze winkel

Interessant is dat in een artikel de suggestie wordt gewekt dat Amazon de techniek zou kunnen verkopen. Dit is echter volgens mij een stuk minder rendabel dan de technologie geheim houden en dit als concurrentievoordeel uit te nutten (tenzij ze zelf al weten dat het niets is wat niemand anders kan).

Nieuwe Alphabet tak: Chronicle

Google’s moederbedrijf Alphabet lanceert vanuit de ‘geheime projecten’ divisie X een Cyber Security Unit met de naam Chronicle.

Dit is op meerdere sites over te lezen, waaronder:
Chronicle: A Meteor Aimed At Planet Threat Intel?

Brian Krebs noemt het een ‘meteor aimed at Planet Threat Intel’
Alphabet opens dedicated cyber security unit called Chronicle

Verwachting is dat er AI-powered threat intelligence wordt verzameld en gedeeld. Interessante ontwikkeling waar we ongetwijfeld nog veel van gaan horen.

iOS audio kwetsbaarheid

De nieuwste update van Apple iOS, versie 11.2.5 patcht een kwetsbaarheid bij het afspelen van kwaadaardige audio bestanden, “maliciously crafted audio files”. Dat is op zichzelf al een enigszins opvallende aanvalsvector, maar een dergelijke kwetsbaarheid is ook al gefikst in iOS 10.3, als ik het bericht van Forbes in april 2017 hierover moet geloven. Blijkbaar toch moeilijk om alle inputs op een veilige manier te valideren en af te schermen van verdere impact? En de belangrijkste vraat is: gaat threat intelligence nu ook een mening vormen over welke artiesten op geheel nieuwe wijze schadelijk zijn voor je Apple apparaat?

About the security content of iOS 11.2.5
A Single Song Can Hack Your iPhone – Unless You Update To iOS 10.3

Wachtwoorden – nuttig, noodzakelijk of niet nodig?

In episode 4 heb ik vijf vragen gesteld. Met Joost praten we door over deze vragen:

  • In welke scenario’s is een wachtwoord onontkoombaar?
  • In welke scenario’s is een wachtwoord eigenlijk niet meer nodig?
  • Hoeveel wachtwoorden hoort een gebruiker maximaal te kennen?
  • Hoeveel wachtwoorden mag je verlangen dat een gebruiker moet beheren?
  • Welke alternatieven zijn er om wachtwoordgebruik terug te dringen?

Reageren mag, via Twitter graag met hashtag #nomorepasswords

Credits:

Het bericht Nieuwsoverzicht en wachtwoorden verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 25:20
Nieuwsoverzicht https://staging.tesorion.nl/podcast-4/ Sun, 14 Jan 2018 21:38:05 +0000 https://www.i-to-i.nl/?p=2910 https://staging.tesorion.nl/podcast-4/#respond https://staging.tesorion.nl/podcast-4/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-4/">Nieuwsoverzicht</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 4

(Te) snelle processoren, antivirusgedrag, NAS-achterdeur, wachtwoorden – kunnen we zonder?

In deze vierde editie van de Tesorion podcast praat Tesorion consultant Lex Borger je bij over het security nieuws van de afgelopen weken. 

Door: Lex Borger; 14 januari 2018

Weetje van de week

XKCD, de comic strip bekend van het sterke wachtwoord ‘correct horse battery staple’, heeft gedurende de Kerstperiode weer twee mooie komische situaties rond informatiebeveiliging geschetst. De eerste is een prachtige benadering van Meltdown en Spectre voor leken:

XKCD – Meltdown and Spectre

De tweede is een discussie tussen twee stick-figures over de vraag of 2018 een schrikkeljaar is, waarbij het getal ‘2018’ als een te groot getal gezien wordt om in factoren te kunnen ontbinden. Dit is een verwijzing naar een van de elementaire uitgangspunten van het RSA algoritme: je wilt werken met getallen die te groot zijn om in factoren ontbindbaar te zijn. En natuurlijk is 2018 niet groot genoeg.

Maar wel leuk in deze context: 2017 was een priemjaar, het priemjaar daarvoor was 2011 en het volgende priemjaar is pas in 2027. Zo vaak komt het dus niet voor:

XKCD – 2018

(Te) snelle processoren

Er zijn twee kwetsbaarheden gevonden in de moderne processor-optimalisaties. Deze kwetsbaarheden hebben, naar goed gebruik tegenwoordig namen: Meltdown en Spectre. De nieuwswaarde was groot, ook nieuwssites die zich niet richten op security hebben hier uitgebreid over bericht.

Ik wil daar dus niet te veel aan toevoegen. Heel kort gezegd kan software uitvinden wat de waarden zijn in geheugen waar het geen toegang toe heeft, door slim gebruik te maken van de optimalisatie in elke processor om vooruit te werken en geheugen conditioneel wel/niet te lezen. Door puur het tijdverloop in de gaten te houden kan een aanvaller concluderen of geheugen wel of niet gelezen is en daaruit conclusies trekken over de geheugenwaardes die niet toegankelijk zijn.

Vooral voor cloud servers heeft dit een potentieel grote impact, omdat op deze servers tegelijk programma’s worden uitgevoerd van verschillende gebruikers van verschillende websites. De oplossing heeft ook grote impact, want het vergt grotendeels de uitschakeling van de ingebakken optimalisaties. Dit is echter in het geval van Spectre niet eens te doen. Voor Meltdown is inmiddels op vrijwel alle platformen een patch beschikbaar.

NY Times – What You Need to Do Because of Flaws in Computer Chips
Spectre and Meltdown: What you need to know going forward

Antivirusgedrag

De patch van Microsoft tegen Meltdown gaf problemen bij gebruikers van sommige antivirus-scanners. De scanners moeten diep in de Windows-functionaliteit antivirus gedrag kunnen herkennen en stoppen. Dit doen ze niet allemaal op manieren die Microsoft formeel ter beschikking heeft gesteld aan ze. Microsoft’s patch tegen Meltdown veranderde zoveel in de werking van Windows dat PCs dat de antivirus software in combinatie met de Meltdown patch de PC deed vastlopen. Microsoft moest dus met een spoedrepratie komen om dit te voorkomen.

Die reparatie hebben ze op een opvallende manier uitgevoerd. Als de leverancier van een antiviruspakket getest heeft dat de patch prima samenwerkt met zijn pakket, dan verwacht Microsoft dat het antiviruspakket een specifieke registry-key aanmaakt. Microsoft stelt de installatie van alle patches uit tot deze registry-key gevonden wordt. Het idee is dat hiermee voorkomen wordt dat de patch geinstalleerd wordt in een onverenigbare combinatie met een antiviruspakket.

Een grote aanname die Microsoft doet is dat op elke Windows PC een en slechts een antiviruspakket draait, hetzij Windows Defender, hetzij een extern pakket. Doe je het zonder antivirus? Ik ken wat hardliners die daar in geloven… Dan moet je zelf de registry aanpassen. Dat vertrouw ik die hardliners trouwens wel toe. Het is alleen maar hopen dat ze dit bericht van Microsoft snel tot zich nemen. Maar dan heb je diegenen die b.v. vanuit overtuiging of onwetendheid twee antivirusproducten draaien. Zodra een van de producten de registry-key aanmaakt is het nog steeds mogelijk dat het andere product nog niet klaar is voor de patch, terwijl die dan wel geinstalleerd wordt. Of er gaat iets mis bij het aanmaken van de registry-key. Ik kan me voorstellen dat lang niet alle scenario’s die zich nu voor kunnen doen allemaal goed doorgelopen zijn bij Microsoft en de antivirusleveranciers. En ik heb al bij een leverancier gehoord dat ze niet automatisch de registry zullen aanpassen, vanwege het risico dat er ook een ander pakket actief is. Al met al kansen zat dat de PC vastloopt of dat updates niet langer uitgevoerd gaan worden. Ik weet eigenlijk niet wat erger is…

Ik hoop dat Microsoft de bevroren staat van de updates goed en begrijpbaar gaat weergeven in het Windows Control Panel en dat het gebruikers waar het mis gaat op gaat vallen dat er geen updates meer uitgevoerd worden.

Important: Windows security updates released January 3, 2018, and antivirus software
Windows Meltdown-Spectre fix: How to check if your AV is blocking Microsoft patch
NYTimes – Why One Antivirus Program Is Better Than Two

NAS-achterdeur

My Cloud is de merknaam van de NAS-lijn van de harddiskleverancier Western Digital. Van NAS apparatuur wordt tegenwoordig verlangd dat ze ook allerlei cloudfuncties hebben, zodat je via de cloud je content kunt ophalen en zelfs je NAS beheren. Hiervoor zijn natuurlijk beveiligingmaatregelen nodig, waaronder toegangsbeveiliging middels authenticatie via gebruikersnaam en wachtwoord. Je kunt iets vinden van het feit dat dit maar single-factor authenticatie is, maar Western Digital heeft hier ook nog eens een backdoor aan toegevoegd. IT security researchfirma GulfTech heeft deze backdoor gevonden. Het is een vaste gebruikersnaam ‘mydlinkBRionyg’ met wachtwoord ‘abc12345cba’.

Ik vraag me hierbij af: Zo’n backdoor zou natuurlijk gewoon niet moet mogen kunnen. Waarom heeft Western Digital deze aangebracht? Het ‘mydlink’ deel van de gebruikersnaam lijkt te verwijzen naar netwerkleverancier D-Link, die ook een ‘mijn cloud’ dienst heeft en zelf ook NAS apparaten levert. Ik heb hier niets over kunnen vinden, maar gaat het hier om een integratie tussen deze twee persoonlijke cloud omgevingen? Hoe werkt die integratie dan? En is dat dan in samenwerking of is het een eenzijdig initiatief van Western Digital?

En dan de sterkte van het wachtwoord: ‘abc12345cba’ voldoet helemaal niet aan eisen die we aan een sterk wachtwoord stellen. 11 posities is OK, maar minimaal, zeker voor een hard-coded wachtwoord. Alleen kleine letters en cijfers is te weinig entropie. Drie reeksen van opvolgende letters of cijfers is helemaal niet meer van deze tijd, laat staat beginnen met ‘a’ en ‘1’. Dat de derde reeks afloopt in plaats van oploopt maakt het niet echt sterker. In de gebruikersnaam zit tenminste nog een reeks random letters: ‘BRionyg’.

De maker van deze backdoor en het kwaliteitscontrolesysteem van Western Digital laten in ieder geval zien dat zij onvoldoende begrip hebben van web security.

GulfTech – WDMyCloud <= 2.30.165 Multiple Vulnerabilities
Critical Unpatched Flaws Disclosed In Western Digital ‘My Cloud’ Storage Devices
Hardcoded backdoor in 12 Western Digital My Cloud NAS devices
WD My Cloud NAS devices have hard-wired backdoor

Wachtwoorden – nuttig, noodzakelijk of niet nodig?

Ik ben de afgelopen paar jaar bezig geweest met sterke authenticatie. En ik vraag me af in hoeverre het mogelijk is om helemaal van wachtwoorden af te komen. Ik heb hier zelf ideeën over, en werk deze graag volledig uit, zoals ik al eerder onderwerpen als ‘security standaarden’ en ‘blockchain voor beveiligers’ heb uitgewerkt. Daarbij heb ik de security community voor nodig als klankbord. Ik zou graag van jullie horen:

  • In welke scenario’s is een wachtwoord onontkoombaar?
  • In welke scenario’s is een wachtwoord eigenlijk niet meer nodig?
  • Hoeveel wachtwoorden hoort een gebruiker maximaal te kennen?
  • Hoeveel wachtwoorden mag je verlangen dat een gebruiker moet beheren?
  • Welke alternatieven zijn er om wachtwoordgebruik terug te dringen?

Reageren mag, via Twitter graag met hashtag #nomorepasswords
Credits:

  • Muziek: Jahzzar – 1000 Miles (intro) & Chiefs (outtro)
  • Twitterhandles: Lex – @LexBorger, Edwin – @Zandberg2
  • Podcast RSS-feedwww.tesorion.nl/feed/podcast

Het bericht Nieuwsoverzicht verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 12:37
Datakwaliteit https://staging.tesorion.nl/podcast-3/ Fri, 29 Dec 2017 15:59:41 +0000 https://www.i-to-i.nl/?p=2898 https://staging.tesorion.nl/podcast-3/#respond https://staging.tesorion.nl/podcast-3/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-3/">Datakwaliteit</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 3

In deze derde editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Edwin van den Heijkant je bij over datakwaliteit, aangevuld met wat security nieuwtjes van de afgelopen week. 

Door: Lex Borger en Edwin van den Heijkant; 22 december 2017

Weetje van de week

Edwin:
Het nieuwe kabinet en databedrijf Focum hebben maandagavond de Big Brother Awards gewonnen.

Lex:
Aalsmeerse brandweer scoort internethit met kerstgroet
Ik was verrast toen ik deze Kerstvideo zag. De NOS berichtte:

Een video van de brandweermannen en -vrouwen uit Aalsmeer is een grote hit op internet. Op de muziek van Mariah Carey’s kerstklassieker All I Want for Christmas is You laten ze de vijf brandweerwagens op de maat van de muziek met hun lichten en zwaailichten knipperen.
“We zijn er wel een avondje mee bezig geweest”, vertelt brandweerman Paul Hoek. “Tussendoor was er nog een uitruk, daarna moesten we weer helemaal opnieuw beginnen omdat de auto’s toen anders stonden.”
De video is inmiddels al ruim 65.000 keer bekeken op Dumpert, YouTube en Facebook.

Dit moet aardig wat werk geweest zijn, zowel in het veld als in de studio. Mariah Carey mag er trots op zijn, dit ziet er beter uit dan haar laatste optreden.

De cyberaanval op Fox-IT

Fox-IT hit by cyber attack
Hackers Target Security Firm Fox-IT
The cybersecurity firm Fox-IT disclosed a security breach

Fox-IT liet weten eerder dit jaar gehackt te zijn. In een verklaring op hun blog lieten ze weten wat er gebeurd was en hoe ze dat afgehandeld hadden.

“It’s become a widely accepted mantra that experiencing a cyber breach is a question of ‘when’ and not ‘if’. For Fox-IT ‘if’ became ‘when’ on Tuesday, September 19 2017, when we fell victim to a “Man-in-the-Middle” attack.” reads the security breach disclosure published by the company.

Dit werd gelijk wereldnieuws, waarbij de complimenteuze woorden ‘outstanding’ en ‘promptly’ gebruikt worden. Heel anders dan bij de gemiddelde datalekmelding.

Data-mining als tegenprestatie

Popular streaming sites secretly mine cryptocurrency
Er waren verschillende berichten over data-mining op websites waarbij de PC of het mobiel van de bezoeker gebruikt wordt om de cryptomunt Monero te minen tijdens het bezoek.

Tremendously popular video-streaming sites, with nearly a billion monthly visitors, have been secretly using the resources from visitors’ devices to mine for the cryptocurrency Monero.

Mining wordt nu dus kennelijk gebruikt als tegenprestatie voor gratis webdiensten.

Thema: Datakwaliteit

Edwin’s stelling is:
“Heb je data op orde als KPI voor waardecreatie middels (big) data.”

Hoe pak je dit aan?
Succesvolle aanpak is een concrete case kiezen die nu pijn doet en relatief snel op te lossen is middels datamanagement. Dankzij de huidige technieken is het relatief eenvoudig data met elkaar te integreren wat leidt tot veranderde inzichten en uiteindelijk de gewenste oplossingsrichting.

Wat bereik je daarmee?
Voor de langere termijn leidt dataschoning, -verrijking, -vulling op basis van datakwalificatie tot de gewenste focus.

Welke tips heb je?
Belangrijk is klein te beginnen en op basis van behaalde successen voldoende draagkracht te creëren voor investeringen in gewenste datawarehouses en BI-oplossingen.

Credits:

  • Muziek: Jahzzar – 1000 Miles (intro) & Chiefs (outtro)
  • Twitterhandles: Lex – @LexBorger, Edwin – @Zandberg2
  • Podcast RSS-feedwww.tesorion.nl/feed/podcast

Het bericht Datakwaliteit verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 19:35
AVG https://staging.tesorion.nl/podcast-2/ Mon, 11 Dec 2017 23:05:23 +0000 https://www.i-to-i.nl/?p=2875 https://staging.tesorion.nl/podcast-2/#respond https://staging.tesorion.nl/podcast-2/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-2/">AVG</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 2

In deze tweede editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Ard-Jan Visser je bij over de AVG, aangevuld met wat security nieuwtjes van de afgelopen week. 

In deze aflevering:
Apple root probleem – onkraakbare encryptie – cyberkwetsbaarheid – Kansen voor AVG

Door: Lex Borger en Ard-Jan Visser; 5 december 2017

Weetje van de week

Ard-Jan: De helft van ondervraagden van de Nationale Privacy Benchmark durft niet te zeggen of medewerkers van hun organisatie voldoende weten van privacyregelgeving. Op het gebied van bewustwording is nog werk aan de winkel, zo concluderen de onderzoekers.
(bron: Niet klaar voor AVG – Binnenlands Bestuur)

Uit bovenstaand artikel valt op te maken dat de belangrijkste valkuil awareness is. Het ontbreken van bewustzijn t.a.v. de AVG kan potentieel tot schade voor een organisatie leiden.

Lex: Het was MS-week vorige week. Het verbaasd me dat we nog steeds de oorzaak van MS (multiple Sclerose) niet kennen. We weten wat de ziekte is: het immuunsysteem valt de beschermingslaag van het centrale zenuwstelsel aan, wat in vlagen leidt tot aftakeling van de zenuwen. Maar wat ligt hieraan ten grondslag. Het lijkt een samenloop van omstandigheden te zijn: een genetische component, bepaalde virusinfecties, vitamine D-gebrek, roken. Er is veel ruwe onderzoeksinformatie over MS. Ik had verwacht dat we met big data analyse verder zouden hebben kunnen komen.

De wortels van de appelboom

De afgelopen week heeft het nieuws van het kwetsbare root account in elke Apple Mac die op MacOS High Sierra draait.

Onkraakbare encryptie door quantum computing

QKD (Quantum Key Distribution) wordt praktisch bruikbaar.
How quantum computing could create unbreakable encryption and save the future of cybersecurity

Researchers at Duke University, The Ohio State University, and Oak Ridge National Laboratory have announced in the latest issue of Science Advances that they’ve increased the speed of QKD transmission by between five and 10 times the current rates.

Provably secure and high-rate quantum key distribution with time-bin qudits

In an effort toward a commercially viable QKD system with improved key generation rates, we developed a discrete-variable QKD system based on time-bin quantum photonic states that can generate provably secure cryptographic keys at megabit-per-second rates over metropolitan distances.

Cyberkwetsbaarheid – Hoe erg kan het nog worden?

Het aloude probleem van de nieuwsvergaring: Slecht nieuws krijgt snel belangstelling van de lezer/kijker, geeft emotie, spanning en sensatie, heeft gevolgen voor de consument waar ze over geïnformeerd willen worden. Door al het slechte nieuws denk je dat het slecht gaat met de wereld. Hetzelfde voel Ik me af en toe bij het bijwerken van mijn security-nieuwsfeeds. Een filosofisch artikel hierover deed me verder nadenken.

We’re hitting rock bottom in cyber — let’s do something

Internet security is in a state of crisis. With their shocking scope and targeting of some of society’s most critical infrastructure, recent attacks are making some of the incidents that used to alarm us — the Target breach a few years ago, for example — almost seem quaint by comparison.
It seems cyberspace not only remains an environment prone to compromise but is hurtling toward a state of chaos where, as Columbia University scholar Jason Healey has put it, the internet “would no longer be merely the Wild West, but a failed state like Somalia.”

‘Open banking’ holds promise, but cybersecurity fears loom for Canadian banks

Open banking – granting third-parties like financial technology startups access to bank data to develop innovative apps – could be such a “game changer,” according to Toronto Dominion Bank’s chief information officer, Jeff Henderson.
All but one of 100 payment executives at major banks globally said they were planning major investments in open banking by 2020, according to an online survey by consulting firm Accenture released last month.
But even as Canadian financial institutions toy with the idea, they’re concerned about the looming risk to consumers’ personal information amid the growing threat of cyberattacks.

AVG readyness implementatie

Security Architectuur: potential business enabler

De voordelen van een goed doordachte en passende security architectuur zou dan ondersteunend aan het verdienmodel van de onderneming kunnen zijn. Er valt dan bij voorbeeld te denken aan:

  • Vermijden van kosten als gevolg van hetzelfde werk in verschillende processen.
  • Efficiënter inzetten van in de onderneming beschikbaar potentieel.
  • Voorkomen van reputatieverlies door gegevensverlies.
  • Voorkomen van boetes als gevolg van verkeerd verwerken persoonsgegevens (AVG per 25 mei 2018).

Credits:

  • Muziek: Jahzzar – 1000 Miles (intro) & Chiefs (outtro)
  • Twitterhandles: Lex – @LexBorger, Ard-Jan – @Adeevy
  • Podcast RSS-feedwww.tesorion.nl/feed/podcast

Het bericht AVG verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 24:39
Terugblik op de week https://staging.tesorion.nl/podcast-1/ Wed, 22 Nov 2017 09:00:03 +0000 https://www.i-to-i.nl/?p=2851 https://staging.tesorion.nl/podcast-1/#respond https://staging.tesorion.nl/podcast-1/feed/ 0 <p>Het bericht <a rel="nofollow" href="https://staging.tesorion.nl/podcast-1/">Terugblik op de week</a> verscheen eerst op <a rel="nofollow" href="https://staging.tesorion.nl">Tesorion</a>.</p>

Podcast 1

 

In deze eerste editie van de Tesorion podcast praten Tesorion consultants Lex Borger en Joost Wijnings je bij met de meest opvallende security nieuwtjes van de afgelopen week.  

In deze aflevering:
Winkelketen gehackt – FireFox Quantum – Wikileaks – de sleepwet – DNB als pentester – IIoT security

Door: Lex Borger en Joost Wijnings; 17 november 2017

Weetje van de week

Joost: Apple’s Face ID is niet alleen door identical twins te foppen, maar er zijn nu verhalen van kinderen die zonder uiterlijke exacte gelijkenis tóch de telefoon konden ontgrendelen…
Lex: Chaos Monkey is a software tool that was developed by Netflix engineers to test the resiliency and recoverability of their Amazon Web Services

Wéér een winkelketen gehackt, ondanks encryptie

Notice of Payment Card Security Incident [link niet meer beschikbaar]Forever 21 reports data breach, failed to turn on POS encryption

Zo vlak voor de winkelgekte die begint na Thanksgiving met ‘black Friday’ maakt kledingketen Forever 21 bekend dat ze het grootste deel van het jaar indringers hadden in hun netwerk die transactiegegevens weggesluisd hebben. Wellicht niet zo groot als de hacks van Target, Home Depot en TJ Max, Walmart en CVS, de hack komt wel op een gevoelig moment voor de winkelketen, omdat terughoudendheid bij kopers tijdens de piek van het seizoen veel omzet kan kosten.
Wat opvalt:

  • ze hebben een notificatie moeten doen, anders dan bijvoorbeeld Equifax
  • ze zijn door een externe leverancier op de hoogte gebracht
  • de hack was actief vanaf maart 2017 tot en met oktober
  • ze hebben een encryptie/tokenization-systeem
  • een beperkt aantal PoS-systemen zijn getroffen, omdat hierop het encryptie/tokenization-systeem uitgezet was

FireFox Quantum – nieuw, mooi, slim

Firefox’s faster, slicker, slimmer Quantum edition now out
Firefox add-on technology is modernizing
Content Security Policy

FireFox 57, met de codenaam ‘Quantum’ is uitgebracht. Ars Technica schrijft:

Mozilla is rebuilding core parts of the browser, such as how it handles CSS stylesheets, how it draws pages on-screen, and how it uses the GPU.
And security remains a pressing concern, prompting the use of new techniques to protect against exploitation. Some of the rebuilt portions are even using Mozilla’s new Rust programming language, which is designed to offer improved security compared to C++.

Hiermee zijn web-extensies de enige soort extensies die nog ondersteund worden door Mozilla. Over de security hiervan zeggen ze:

Extensions developed with WebExtension APIs have a Content Security Policy (CSP) applied to them by default. This restricts the sources from which they can load <script> and <object> resources, and disallows potentially unsafe practices such as the use of eval().
Since [legacy] extensions could … modify Firefox internal code directly, it was possible for bad actors to include malicious code in an innocent-looking extension.

NoScript
NoScript
Populaire Firefox-extensie NoScript krijgt grote upgrade
NoScript’s Migration to WebExtensions APIs

Als web-extensies beperkt worden in hun mogelijkheden, kan een web-extensie nog steeds een goede beveiligingsadd-on vormen? De populaire FireFox extensie NoScript is geporteerd naar het web-extensie raamwerk met versie 10. Mozilla schrijft op hun blog:

Originally released in 2005, NoScript was developed to address security vulnerabilities in browsers by pre-emptively blocking scripts from untrusted websites. Over the time it grew into a security suite including many additional and often unique countermeasures against various web-based threats, such as Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) and Clickjacking.
NoScript developer Giorgio Maone: “Last year I’ve been working together with the WebExtensions team to develop this enhanced API: a very pleasant experience and a welcome chance for me to contribute code on Mozilla Central again, after quite awhile. Dynamic permissions for embedded JavaScript are not natively supported by WebExtensions.”

Wikileaks lekt gericht

Donald Trump Jr.’s Secret WikiLeaks Relationship Is Unveiled
The Secret Correspondence Between Donald Trump Jr. and WikiLeaks
Kamer geschrokken van Russische inmenging door nepnieuws

Rusland wordt ervan verdacht invloed uit te oefenen op belangrijke verkiezingen in de westerse wereld.
WikiLeaks wordt al langer verweten niet onpartijdig te zijn geweest in de publicatie van stukken die mogelijk een verschil hebben gemaakt in de uitkomst van de Amerikaanse verkiezingen vorig jaar. Zo zou WikiLeaks een speelbal zijn geweest van de Russen. Het zoeken is nu naar de werkelijke connectie. Bloomberg schrijft:

Donald Trump Jr., U.S. President Donald Trump’s eldest son, said Monday he had direct communication with WikiLeaks in the weeks before the 2016 presidential election.

The Atlantic beschrijft in detail hoe de interactie tussen het Trump-kamp en WikiLeaks is verlopen aan de hand van emails en Twitter-berichten.

The messages show WikiLeaks, a radical transparency organization that the American intelligence community believes was chosen by the Russian government to disseminate the information it had hacked, actively soliciting Trump Jr.’s cooperation.

Wat in de VS gebeurt, gebeurt ook in Europa. Wat doet Nederland hier aan? De NOS bericht:

De Tweede Kamer maakt zich er zorgen over dat, vooral vanuit Rusland, met nepnieuws wordt geprobeerd de Nederlandse publieke opinie te beïnvloeden. “Dat nepaccounts onze democratie beïnvloeden is levensgevaarlijk”, zei CDA-leider Buma. “Als je weet hoeveel vrije verkiezingen inmiddels zijn beïnvloed door Rusland, is dat angstwekkend.”

Het lijkt er op dat inmenging in verkiezingen niet direct via het rode potlood gaat, maar via de social media. De mens is wederom de zwakste schakel, lijkt het.

Sleepwet referendum komt er

‘Sleepwet’-referendum wordt gehouden op 21 maart 2018
Waar trek jij de grens?

En gerelateerd aan Russische inmenging zijn de bevoegdheden van de geheime diensten. We hebben al een wetsvoorstel voor de ‘Sleepwet’ liggen. Ook hierover gaat gestemd worden. Wat is de keuze?
Voor:

  • mogelijkheden voor de geheime diensten om kwetsbaarheden uit te buiten
  • geen meldingsplicht van de kwetsbaarheid
  • aftappen op basis van locatie (wijkniveau)

Tegen:

  • bescherming van onze vrijheid om dingen te doen die niet crimineel zijn, maar dat uit verband gerukt wel kunnen lijken
  • bekend worden van zaken die we niet hadden willen delen of hadden willen vergeten

DNB wordt pentester

DNB gaat veiligheid banken met red team testen
How to conduct the TIBER-NL test

DNB gaat pentesten opzetten in de kritieke infrastructuur van Nederland. De naam van het initiatief is TIBER: Threat Intelligence Based Ethical Red teaming.
Security.nl bericht:

De Nederlandsche Bank (DNB) gaat met hackers van cybersecuritybedrijven de veiligheid van banken, beursexploitanten en clearinghuizen testen. … Vandaag zal DNB het protocol met de spelregels van Tiber publiceren, zoals het nieuwe cyberinitiatief heet.

DNB zegt:

A TIBER test can therefore be defined as: the highest possible level of intelligence-based red teaming exercise using the same Tactics, Techniques and Procedures (TTPs) as real adversaries, against live critical production infrastructure, without the foreknowledge of the organisation’s defending Blue Team (BT).

IIoT security

An Insider’s 11 Take-Aways from Companies Winning Industrial (IIoT) Cybersecurity

GE Ventures heeft onderzoek gedaan naar succesvolle IIoT security:

… having a great product roadmap in traditional IT is not a birthright to succeed in industrial cybersecurity. But there are some commonalities among the most successful and promising startups in this space.

  1. They know their stuff.
  2. They take the IIoT Hippocratic Oath: First, do no harm.
  3. They don’t make things harder for the customer.
  4. They make security integrated.
  5. They don’t try to eat the whole cake at once.
  6. They start with the assumption that they will be targeted.
  7. They’re ready to scale.
  8. They know that security starts well before connecting a single industrial device.
  9. They don’t get distracted by buzz words.
  10. They understand the need to secure data at rest and in motion.
  11. They understand the job is never done.

Hack van grote IIoT – Boeing 757
DHS Led Team Demonstrates That Commercial Aircraft Can Be Remotely Hacked
Boeing 757 Hacked
Homeland Security team remotely hacked a Boeing 757
DHS says it remotely hacked a Boeing 757 sitting on a runway
DHS heeft hun eigen Boeing 757 gehackd. Wat weten we:

  • Chris Roberts jokingly tweeted about how he could hack the onboard systems two years ago
  • exploiting a flaw via “radio frequency communications” that’s evidently been known about for years
  • seven experienced pilots from American Airlines and Delta Air Lines were blindsided when briefed: ‘You guys have known about this for years and haven’t bothered to let us know because we depend on this stuff to be absolutely the bible.’
  • DHS/Southwest Airlines: ‘we don’t know the what, how, or where of the hack. Without these details from DHS, we don’t know how to fix it’
  • it costs too much to fix – an airline would be “bankrupt” if it had to fix its entire fleet
  • newer models of aircraft have been designed with security in mind, but legacy aircraft (90% of the commercial planes) don’t have these protections
  • airlines don’t have pentesters sniffing aboard their aircraft

Credits:

  • Muziek: Jahzzar – 1000 Miles (intro) & Chiefs (outtro)
  • Twitterhandles: Lex – @LexBorger, Joost – @JWijnings
  • Podcast RSS-feedwww.tesorion.nl/feed/podcast

Het bericht Terugblik op de week verscheen eerst op Tesorion.

]]>
<p></p> Tesorion clean 39:48