Don’t Let Crypto Ruin Your Day

A few years ago, a customer handed us a report from a Big 4 consulting firm describing how, after close to 100 person-hours of review, a team of ‘highly-qualified senior security engineers’ had failed to find any flaw in their encrypted communications product. Half a day later, I had worked out how to break the product’s encryption, and demonstrated a working exploit. The customer was confused—why hadn’t the well-dressed consultants caught the vulnerability?

Van kwetsbaarheid naar privacyrisico

Op 12 mei maakten we kennis met een opvallend gevolg van het gebruik van kwetsbaarheden in software door inlichtingendiensten. De ransomware die onder de naam WannaCry honderdduizenden slachtoffers maakten zal inderdaad de nodige mensen het huilen nader gebracht hebben dan het lachen. Nu was ransomware niet nieuw, maar de schaal van verspreiding en vooral de herkomst van de basis van de software was wel ongekend. De ransomware was namelijk ontleend aan een tool (Eternal Blue) die door de NSA was gebouwd om gebruik te maken van een kwetsbaarheid in Windows XP. Deze tool is in april gelekt en in verkeerde handen terecht gekomen. Een belangrijke les voor het gebruik van zero day exploits door inlichtingendiensten ligt voor de hand. Maar of die les geleerd zal worden is natuurlijk nog maar zeer de vraag.

Being An Agile Security Officer: Security Stakeholdership mindset

This is the second part in my blog series about 'being an agile security officer'. Before you read on, read part one in this series. In this blog I will focus on the mindset of security stakeholdership in Agile and DevOps environments.

HITB pwn2own resultaten

Hack in the Box 2017 in Amsterdam zit erop, het paasweekend was nodig om bij te komen, maar het was toch weer een geslaagd event! Hard werken, rondrennen, veel nieuwe mensen, gezelligheid en natuurlijk heel belangrijk: heel erg veel hacks!

Dankzij wifi weet ik waar u was én bent

Wifi is makkelijk en vaak zelfs de enige optie maar er schuilt een serieus privacyprobleem achter. Uw telefoon/laptop zendt voortdurend informatie door de lucht over wifipunten zoals routers en hotspots waar u in het verleden verbinding mee heeft gehad. Die informatie is onversleuteld en voor iedereen in te zien met een beetje moeite. Ik leg uit hoe dit in elkaar zit.

The essential role of encryption and key management now and in the future

Recently I visited a customer that heavily invested in security intelligence, incident response, cyber security, SOC, ISMS, awareness campaigns and governance but still after all these investments they did not have the feeling to be in control. Their feeling was also nurtured by data breaches and information leaks that were still happening in this professional and technical environment (they took all organizational and technical measurements that you can think of).

Jouw bijdrage op het kennisplatform?

Informeer de redactie

5500 datalekmeldingen: waar gaat het mis?

Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest. Waar gaat het bij veel organisaties mis?

De bezem moet door ons wachtwoordbeleid.

Ik heb al vaker geschreven dat wachtwoordcomplexiteitsregels de veiligheid van het wachtwoord niet verhoogt. Aanvankelijk was ik de roepende in de woestijn. Toch vond ik ook medestanders. De eerste medestander was Hacker Highschool, een project van ISECOM in Les 11 - Hacking passwords,  die mijn mening overnam. Sindsdien heb ik ook artikelen gelezen van anderen die wachtwoordcomplexiteitsregels verwierpen en erop wezen dat vooral de lengte van het wachtwoord ertoe doet. Maar nu NIST dit ook vindt, kunnen we er echt niet meer omheen. De bezem moet door ons wachtwoordbeleid.

Quick Question - Sjoerd Versteeg over Hack in the Box 2017

Sjoerd Versteeg, teamlead Hack in the Box Nederland en tevens ethical hacker bij The S-Unit, vertelt ons een aantal ins en outs van Hack in the Box Nederland 2017. Een deel van Hack in the Box 2017 is alleen toegankelijk met een geldig toegangsbewijs, maar net zo veel interessante en leuke onderdelen zijn gratis toegankelijk. Hier geeft Sjoerd een aantal mooie voorbeelden van. Hack in the Box is dit jaar van 10-14 april in Amsterdam

Ook vertelt Sjoerd ons hoe hij aankijkt tegen de cybersecurity trends voor 2017 en 2018. 

Treat Cyber risk as a science, not a dark art

As I write this piece I find myself in the midst of thousands of colleagues. Literally thousands of people who every year go on what I consider a Cyber pilgrimage. I have secluded myself for a moment in a nearby Starbucks, earplugs in I go to my favorite Spotify playlist so I can concentrate a bit better (Foo Fighters mixed with Bruce Springsteen and Radiohead). I briefly FaceTime with my kids before I go offline to hopefully write down some of the thoughts that have been racing through my mind. Looking out the window I see “handlers” everywhere, folks that hold up a sign that says “line starts here”. People everywhere. Buses passing by with advertising on it saying that you’ve already been hacked and that you should automate incident response. No kidding! Chaos in the streets of San Francisco! I love it!

Ton Oosterwijk vertelt over de knoop in zijn buik

Ton Oosterwijk heeft met zijn bedrijven PKIpartners en Factor50 Informatieveiligheid veel ervaring in de informatieveiligheid. Onlangs heeft hij zichzelf verdiept in de technische materie. De kennis die hij daar opdeed was aanleiding om bij Cqure aan te geven dat hij een behoorlijke knoop in zijn maag had gekregen. 


In onze rubriek "Quick Question" vroegen wij hem wat die knoop inhield en legde hij zijn verbazing uit.  Ton vertelt hoe hij met zijn beperkte technische achtergrond en met de steun van open-source community in staat is verbindingen te kunnen bewerken, malware te verspreiden en netwerken te compromitteren.


Het antwoord op zijn Quick Question is bovenal een oproep voor een breed maatschappelijk bewustzijn!

Cybercrime: enkele trends

Klassieke digitale misdaad is letterlijk aan de orde van seconde. Phishing, virus en Trojaans paard, virtuele kinderpornografie, ransomware, DDoS-aanval, piraterij van intellectuele eigendom en wat dies meer zij. Verder zijn elektronische spionage en cyberterrorisme tegenwoordig in zwang. Het openbaar ministerie verwacht dat in 2021 de helft van de misdaad computer-gerelateerd is. Wij constateren nog een trendbreuk. Met digitale oorlogsvoering, zowel verdedigend als aanvallend, betreedt computercriminaliteit het militaire domein. ‘De vijand komt uit het stopcontact’, luidt de pakkende oneliner. Één inmiddels notoir juridisch probleem betreft de waarschijnlijk blijvende spanning tussen privacy en maatschappelijk veiligheid. Daarnaast doemt een nieuw probleem van geheel andere aard op. De bewust scherp gescheiden maatschappelijke domeinen van de burgerlijke en de militaire overheid vervagen, en mogelijk daarmee ook deze rechtssystematieke waterscheiding.

Bad News: Your Antivirus Detection Rates Have Dramatically Declined In 12 Months

We all had the nagging suspicion that antivirus is not cutting it anymore, but the following numbers confirm your intuition. I have not seen more powerful ammo for IT security budget to transform your employees into an effective "last line of defense": a human firewall.

Information security en de risico’s voor bedrijven: 4 tips voor verandering

​Cybersecurity en de juiste bescherming van gegevens zijn voor een bedrijf allereerst een verantwoordelijkheid naar je klant. Het is een kerntaak van een privacybewuste organisatie die haar klanten beschermt. Daarnaast brengen (potentiële) datalekken ernstige risico’s met zich mee voor het welvaren van een bedrijf. Daarom vier veranderingen die je organisatie toekomstbestendig maken.

Information Security: Going full Triangle

Everybody who ever did a formal information security training or searched for information security on Wikipedia is familiar with the information security triangle. The theory of this triangle is that information security is about protecting information against threats to its Confidentiality, Integrity or Availability (often abbreviated with CIA).