Cyberschaap met 5 poten gezocht

Vanuit mijn werk zie ik veel van de cybersecurity-markt en haar behoefte met betrekking tot securitymensen en -diensten. Bedrijven zijn erg hard op zoek naar werknemers en consultants die ‘iets met security’ kunnen. Reden hiervoor is de wens om meer grip te krijgen op dit onderwerp wat zonder dat zij erom hebben gevraagd, een enorme rol is gaan spelen in hun business. Het issue echter met deze cybermensen, deze helden in nood, is dat zij zich over het algemeen in een aantal onderwerpen hebben gespecialiseerd en vaak niet alles kunnen. Net als ieder ander mens, zeg maar. Toch zien we vaak in aanvragen en vacatures een hele rits aan vereisten voor securitymanagement rollen die eigenlijk alle kanten op gaan qua inhoud.

De AVG: kleine ondernemers, grote problemen?

De Algemene Verordening Gegevensbescherming: we raken er maar niet over uitgepraat. Deze wet is ondertussen alweer bijna een jaar in werking en er is al veel – heel veel – over gezegd. Gelukkig is er ook al veel gedáán. Gaat dit al helemaal goed? Nee. Maar zijn er ondertussen al heel wat organisaties op weg naar het voldoen aan de AVG? Ik denk van wel, al zullen hier de meningen wellicht over verschillen. Er is in ieder geval een behoorlijke ontwikkeling gaande. Wie achter lijken te blijven in deze ontwikkeling zijn de kleine ondernemers: zelfstandigen die alleen werken of in een los netwerk samenwerken, of kleine organisaties met slechts een aantal medewerkers in dienst.

‘IBM biedt zonder toestemming fotodatabase gezichtsherkenning aan’

Het Amerikaanse technologiebedrijf IBM heeft zonder toestemming van de gefotografeerden een miljoen foto’s van fotosite Flickr gebruikt om kunstmatige intelligentie op gezichtsherkenning te trainen. Dat meldde Nu.nl op gezag van nieuwszender NBC. De dataset met foto’s en toegevoegde metadata werd eerder al door Yahoo (de eigenaar van Flickr) aangeboden, waarbij men zich beriep op de Creative Commons licentie die op de foto’s zit. IBM zag daar een mooie bron in voor een machine learning dataset, met name omdat de fotocollectie een diverser beeld van de mensheid geeft dan de typische wittemannendatasets voor dergelijke toepassingen.

Rekeningrijden? Doen! Met privacy by design.

Langzaam lijkt het taboe op rekeningrijden te verdwijnen. Dat is goed nieuws, voor het klimaat (minder CO2), voor de begroting (minder asfalt), en voor de automobilist (minder files). Het wordt helemaal goed nieuws als het systeem voor rekeningrijden ook rekening houdt met de privacy. Rekeningrijden is een schoolvoorbeeld van de kracht van privacy by design. Een rechttoe rechtaan systeem van rekeningrijden waarbij de overheid alle gemaakte ritten van alle automobilisten centraal registreert en vervolgens een rekening stuurt (zeg maar een soort OV chipkaart systeem, maar dan voor auto’s) is extreem privacy onvriendelijk. Maar een zijn veel privacy-vriendelijker alternatieven ontwikkeld, door het principe van privacy by design toe te passen.

Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniël Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

IT testlabs for everybody!

Not too long ago I was in a SANS course, about the Critical Security Controls. More than once our teacher Russell nudged us, suggesting that “you could be applying these to your home network as well!” which brought us to the subject of testlabs. “What would make a good testlab for us?” was something asked along the way.

To sum things up: it really doesn't have to be glamorous! As long as your lab helps you experiment and learn, it's a good lab for your! So here's a few quick reminders for IT folks who would like to get their feet wet in setting up their own labs.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

De functionaris voor gegevensbescherming: What’s in a name?

Organisaties hadden altijd al de mogelijkheid om een interne toezichthouder op de bescherming van persoonsgegevens aan te stellen. Zo iemand werd een functionaris voor de gegevensbescherming (FG) genoemd. De FG hield binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn de taken en de positie van de FG niet wezenlijk veranderd maar meer expliciet in de wet verankerd. Wel is de naam van de toezichthouder gewijzigd in Functionaris voor gegevensbescherming. De verplichting om bij sommige organisaties een FG aan te stellen is wel nieuw. Dat verklaart de explosie aan FG’s rondom de invoeringsdatum van de AVG.

Two Factor Authentication Cross Site Request Forgery (CSRF) vulnerability (CVE-2018-20231)

At BitnessWise we recently did a review of a few Two Factor Authentication (2FA) plugins for WordPress. First we selected some candidates based on usability and free-version features and after that performed a technical review of the plugin. This revealed a vulnerability we’d like to discuss in this post for future reference and to better understand the issue.

Wat zegt de AVG over wifi-tracking?

De Autoriteit Persoonsgegevens heeft in december 2018 verduidelijkt dat het tellen van het aantal bezoekers in (semi) openbare ruimtes met behulp van trackingtechnologieën slechts onder zeer strikte voorwaarden is toegestaan. Naar aanleiding van dit bericht hebben een aantal gemeenten wifi-tracking in de binnenstad tijdelijk op stop gezet. Een trackingsbedrijf heeft ook bekend gemaakt te stoppen met het bieden van wifi-tracking als dienstverlening. Begin januari heeft een gemeente het volgen van bezoekers via wifi-tracking weer opgepakt.

Abusing Exchange: One API call away from Domain Admin

In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail a way to let Exchange authenticate to attackers using NTLM over HTTP. This can be combined with an NTLM relay attack to escalate from any user with a mailbox to Domain Admin in probably 90% of the organisations I’ve seen that use Exchange. This attack is possible by default and while no patches are available at the point of writing, there are mitigations that can be applied to prevent this privilege escalation. This blog details the attack, some of the more technical details and mitigations, as well as releasing a proof-of-concept tool for this attack which I’ve dubbed “PrivExchange”.

Click me if you can, Office social engineering with embedded objects

Introduction

Microsoft Office documents provide attackers with a variety of ways to trick victims into running arbitrary code. Of course an attacker could try to exploit an Office vulnerability, but it is more common to send victims Office documents containing malicious macros, or documents containing embedded (Packager) executable files. 

To make these attacks harder, Microsoft has been adding security measures to Office that are aimed at protecting victims from running malicious code. A well-known measure is to open documents in Protected View when they are downloaded from the internet. Office 2016 and Office 365 contain additional security measures like a GPO to disable macros altogether when a document is downloaded from the internet. And the Packer file extension blacklist that blocks running of blacklisted file types. 
 

Modlishka, de ongewenste proxy!

Terwijl bijna iedereen op 2 januari aan het bijkomen was van oud en nieuw, publiceerde Piotr Dsuzynski een nieuwe tool genaamd Modlishka. Modlishka is een reverse proxy die het mogelijk maakt zonder grote inspanning een zogeheten man-in-the-middle aanval uit te voeren.

Access Governance: white paper

Wie mag wat en waarom is dat zo? Dat is de kernvraag van beveiliging. Van informatiebeveiliging en cybersecurity. Maar ook van fysieke beveiliging.

Op zich is de vraag betrekkelijk eenvoudig te bepalen wie iets mag: De eigenaar bepaalt wie iets mag, wie toegang krijgt. De eigenaar van een pand bepaalt bijvoorbeeld wie het pand binnen mag. En als de eigenaar het pand verhuurt, dan zou de huurder, als ‘contracteigenaar’ binnen de contractvoorwaarden ook toegang kunnen verlenen aan anderen. Dit is een betrekkelijk eenvoudig principe. En dat zou ook betrekkelijk eenvoudig reproduceerbaar kunnen zijn voor andere contexten, zoals toegang tot informatie, gegevens en systemen, maar er is wel meer over te zeggen: Als we het hebben over informatievoorziening, dan is er namelijk sprake van meerdere eigenaren en meerdere typen eigenaren en gebruikers. Dat maakt dat de vraag over ‘Wie Wat Waarom mag’ wel een diepere lading heeft dan alleen maar een sleutel verstrekken aan de huurder van een pand. 

TaHiTI - Threat Hunting Methodology

During several months we worked together with a number of Dutch financial institutions to create the threat hunting methodology called TaHiTI. Which stands for Targeted Hunting integrating Threat Intelligence. You can obtain it from here: https://www.betaalvereniging.nl/en/safety/tahiti.

The goal of this collaboration was to reach a joint understanding of what threat hunting is and to come up with a common approach how to carry out threat hunting. As the name implies, threat intelligence has an important role within this methodology. It is used as a source for creating hunting hypotheses and during the hunting investigation to further contextualize and enrich the hunt.

The Legal Look: The Overlooked Categories of Cyber Threats

When money is not an issue companies tend to look at legal standards differently. Today, also digital entrepreneurs seem to go their own way more than ever before. Take Uber. Since its establishment in 2009, all kinds of legal conflicts of weight have occurred in various jurisdictions. From large-scale privacy violations and alleged misuse of trade secrets to claims based on structural sexual harassment and misleading a supervisory body. Exemplary, however, are the legal battles relating to its UberPOP ride-share service, executed by ordinary people who love to moonlight. This business model fundamentally clashes with the licensed passenger transport regulation that many countries have in place. You could have counted that on your fingers in advance.