Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniël Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

IT testlabs for everybody!

Not too long ago I was in a SANS course, about the Critical Security Controls. More than once our teacher Russell nudged us, suggesting that “you could be applying these to your home network as well!” which brought us to the subject of testlabs. “What would make a good testlab for us?” was something asked along the way.

To sum things up: it really doesn't have to be glamorous! As long as your lab helps you experiment and learn, it's a good lab for your! So here's a few quick reminders for IT folks who would like to get their feet wet in setting up their own labs.

De functionaris voor gegevensbescherming: What’s in a name?

Organisaties hadden altijd al de mogelijkheid om een interne toezichthouder op de bescherming van persoonsgegevens aan te stellen. Zo iemand werd een functionaris voor de gegevensbescherming (FG) genoemd. De FG hield binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn de taken en de positie van de FG niet wezenlijk veranderd maar meer expliciet in de wet verankerd. Wel is de naam van de toezichthouder gewijzigd in Functionaris voor gegevensbescherming. De verplichting om bij sommige organisaties een FG aan te stellen is wel nieuw. Dat verklaart de explosie aan FG’s rondom de invoeringsdatum van de AVG.

Two Factor Authentication Cross Site Request Forgery (CSRF) vulnerability (CVE-2018-20231)

At BitnessWise we recently did a review of a few Two Factor Authentication (2FA) plugins for WordPress. First we selected some candidates based on usability and free-version features and after that performed a technical review of the plugin. This revealed a vulnerability we’d like to discuss in this post for future reference and to better understand the issue.

Wat zegt de AVG over wifi-tracking?

De Autoriteit Persoonsgegevens heeft in december 2018 verduidelijkt dat het tellen van het aantal bezoekers in (semi) openbare ruimtes met behulp van trackingtechnologieën slechts onder zeer strikte voorwaarden is toegestaan. Naar aanleiding van dit bericht hebben een aantal gemeenten wifi-tracking in de binnenstad tijdelijk op stop gezet. Een trackingsbedrijf heeft ook bekend gemaakt te stoppen met het bieden van wifi-tracking als dienstverlening. Begin januari heeft een gemeente het volgen van bezoekers via wifi-tracking weer opgepakt.

Abusing Exchange: One API call away from Domain Admin

In most organisations using Active Directory and Exchange, Exchange servers have such high privileges that being an Administrator on an Exchange server is enough to escalate to Domain Admin. Recently I came across a blog from the ZDI, in which they detail a way to let Exchange authenticate to attackers using NTLM over HTTP. This can be combined with an NTLM relay attack to escalate from any user with a mailbox to Domain Admin in probably 90% of the organisations I’ve seen that use Exchange. This attack is possible by default and while no patches are available at the point of writing, there are mitigations that can be applied to prevent this privilege escalation. This blog details the attack, some of the more technical details and mitigations, as well as releasing a proof-of-concept tool for this attack which I’ve dubbed “PrivExchange”.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

Click me if you can, Office social engineering with embedded objects


Microsoft Office documents provide attackers with a variety of ways to trick victims into running arbitrary code. Of course an attacker could try to exploit an Office vulnerability, but it is more common to send victims Office documents containing malicious macros, or documents containing embedded (Packager) executable files. 

To make these attacks harder, Microsoft has been adding security measures to Office that are aimed at protecting victims from running malicious code. A well-known measure is to open documents in Protected View when they are downloaded from the internet. Office 2016 and Office 365 contain additional security measures like a GPO to disable macros altogether when a document is downloaded from the internet. And the Packer file extension blacklist that blocks running of blacklisted file types. 

Modlishka, de ongewenste proxy!

Terwijl bijna iedereen op 2 januari aan het bijkomen was van oud en nieuw, publiceerde Piotr Dsuzynski een nieuwe tool genaamd Modlishka. Modlishka is een reverse proxy die het mogelijk maakt zonder grote inspanning een zogeheten man-in-the-middle aanval uit te voeren.

Access Governance: white paper

Wie mag wat en waarom is dat zo? Dat is de kernvraag van beveiliging. Van informatiebeveiliging en cybersecurity. Maar ook van fysieke beveiliging.

Op zich is de vraag betrekkelijk eenvoudig te bepalen wie iets mag: De eigenaar bepaalt wie iets mag, wie toegang krijgt. De eigenaar van een pand bepaalt bijvoorbeeld wie het pand binnen mag. En als de eigenaar het pand verhuurt, dan zou de huurder, als ‘contracteigenaar’ binnen de contractvoorwaarden ook toegang kunnen verlenen aan anderen. Dit is een betrekkelijk eenvoudig principe. En dat zou ook betrekkelijk eenvoudig reproduceerbaar kunnen zijn voor andere contexten, zoals toegang tot informatie, gegevens en systemen, maar er is wel meer over te zeggen: Als we het hebben over informatievoorziening, dan is er namelijk sprake van meerdere eigenaren en meerdere typen eigenaren en gebruikers. Dat maakt dat de vraag over ‘Wie Wat Waarom mag’ wel een diepere lading heeft dan alleen maar een sleutel verstrekken aan de huurder van een pand. 

TaHiTI - Threat Hunting Methodology

During several months we worked together with a number of Dutch financial institutions to create the threat hunting methodology called TaHiTI. Which stands for Targeted Hunting integrating Threat Intelligence. You can obtain it from here:

The goal of this collaboration was to reach a joint understanding of what threat hunting is and to come up with a common approach how to carry out threat hunting. As the name implies, threat intelligence has an important role within this methodology. It is used as a source for creating hunting hypotheses and during the hunting investigation to further contextualize and enrich the hunt.

The Legal Look: The Overlooked Categories of Cyber Threats

When money is not an issue companies tend to look at legal standards differently. Today, also digital entrepreneurs seem to go their own way more than ever before. Take Uber. Since its establishment in 2009, all kinds of legal conflicts of weight have occurred in various jurisdictions. From large-scale privacy violations and alleged misuse of trade secrets to claims based on structural sexual harassment and misleading a supervisory body. Exemplary, however, are the legal battles relating to its UberPOP ride-share service, executed by ordinary people who love to moonlight. This business model fundamentally clashes with the licensed passenger transport regulation that many countries have in place. You could have counted that on your fingers in advance. 

Cyber security in 2018 and 2019: Looking back and moving forward

A closer connection to the real world

From a risk perspective 2018 was an interesting year. But what will 2019 bring? In this blog series we look back but more so: we move forward. How can blockchain technology, cyber security, risk sensing and privacy help you gain a competitive advantage in the years to come? Episode 1 is about cyber security: the connection between digital and physical worlds.

On scarcity and the blockchain

In an otherwise perfect interview on the importance of social innovation (that I wholly agree with and that I encourage everybody to read) Jaromil said something interesting about the use of blockchain to create scarcity in the digital realm.

With the blockchain the situation is paradoxically creating scarcity, because if I give you something I will not have it anymore, and I can’t spend it anymore. The blockchain creates for the first time a condition in which it will be possible to create a unique asset in the digital dimension.

Het kabinetsbesluit over Kaspersky Lab – een reconstructie en analyse

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onder Algemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken.

Quick Question: Hoe kun je Blue Teams effectiever en slimmer inrichten?

Marcus Bakker, CEO en Founder van MB Secure, geeft zijn kijk op Blue Teams en beantwoord de vraag hoe Blue Teams slimmer en effectiever ingericht kunnen worden. Hij geeft daarbij zijn kijk op blue teams en hoe defenders advantage ingezet kan worden tijdens de inrichting hiervan.