Treat Cyber risk as a science, not a dark art

As I write this piece I find myself in the midst of thousands of colleagues. Literally thousands of people who every year go on what I consider a Cyber pilgrimage. I have secluded myself for a moment in a nearby Starbucks, earplugs in I go to my favorite Spotify playlist so I can concentrate a bit better (Foo Fighters mixed with Bruce Springsteen and Radiohead). I briefly FaceTime with my kids before I go offline to hopefully write down some of the thoughts that have been racing through my mind. Looking out the window I see “handlers” everywhere, folks that hold up a sign that says “line starts here”. People everywhere. Buses passing by with advertising on it saying that you’ve already been hacked and that you should automate incident response. No kidding! Chaos in the streets of San Francisco! I love it!

Ton Oosterwijk vertelt over de knoop in zijn buik

Ton Oosterwijk heeft met zijn bedrijven PKIpartners en Factor50 Informatieveiligheid veel ervaring in de informatieveiligheid. Onlangs heeft hij zichzelf verdiept in de technische materie. De kennis die hij daar opdeed was aanleiding om bij Cqure aan te geven dat hij een behoorlijke knoop in zijn maag had gekregen. 


In onze rubriek "Quick Question" vroegen wij hem wat die knoop inhield en legde hij zijn verbazing uit.  Ton vertelt hoe hij met zijn beperkte technische achtergrond en met de steun van open-source community in staat is verbindingen te kunnen bewerken, malware te verspreiden en netwerken te compromitteren.


Het antwoord op zijn Quick Question is bovenal een oproep voor een breed maatschappelijk bewustzijn!

Cybercrime: enkele trends

Klassieke digitale misdaad is letterlijk aan de orde van seconde. Phishing, virus en Trojaans paard, virtuele kinderpornografie, ransomware, DDoS-aanval, piraterij van intellectuele eigendom en wat dies meer zij. Verder zijn elektronische spionage en cyberterrorisme tegenwoordig in zwang. Het openbaar ministerie verwacht dat in 2021 de helft van de misdaad computer-gerelateerd is. Wij constateren nog een trendbreuk. Met digitale oorlogsvoering, zowel verdedigend als aanvallend, betreedt computercriminaliteit het militaire domein. ‘De vijand komt uit het stopcontact’, luidt de pakkende oneliner. Één inmiddels notoir juridisch probleem betreft de waarschijnlijk blijvende spanning tussen privacy en maatschappelijk veiligheid. Daarnaast doemt een nieuw probleem van geheel andere aard op. De bewust scherp gescheiden maatschappelijke domeinen van de burgerlijke en de militaire overheid vervagen, en mogelijk daarmee ook deze rechtssystematieke waterscheiding.

Bad News: Your Antivirus Detection Rates Have Dramatically Declined In 12 Months

We all had the nagging suspicion that antivirus is not cutting it anymore, but the following numbers confirm your intuition. I have not seen more powerful ammo for IT security budget to transform your employees into an effective "last line of defense": a human firewall.

Information Security: Going full Triangle

Everybody who ever did a formal information security training or searched for information security on Wikipedia is familiar with the information security triangle. The theory of this triangle is that information security is about protecting information against threats to its Confidentiality, Integrity or Availability (often abbreviated with CIA).

Meldplichtdiscussie

‘Niet melden van cybercrime is vaak verstandiger' luidt de kop van het FD van 24 oktober 2016 en verwoordt de mening van een advocaat, ex-officier van justitie. De discussie dateert goed beschouwd uit de jaren zestig en zeventig van de vorige eeuw toen de eerste zaken van computermisbruik aan het licht kwamen. Omdat vriend en vijand er destijds van uitging dat deze incidenten — grofweg: vermogensdelict of sabotage — doorgaans niet tot aangifte leidden wegens angst voor reputatieschade, werd de omvang van computercriminaliteit steevast vergeleken met het topje van een ijsberg. Dark numbers. Die situatie is vandaag onveranderd, maar de schaal nam wel exponentieel toe. Digitale criminaliteit in de gekoppelde wereld is helaas gemeengoed geworden.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

RoT: Ransomware of Things

Na mijn artikel op dit Cqure kennisplatform, november 2015, valt het mij op met welke snelheid het IoT zich heeft ontwikkeld. Je krijgt die handige thermostaat tegenwoordig gratis, veel toepassingen hebben tegenwoordig eerst een mobiele app en daarna pas een ‘reguliere’ toepassing en grote delen van de bevolking vindt het allemaal prima!

Why every company should get hacked

Did you know that, in traditional western movies, the heroic cowboy wears a white hat, while his enemy wears a black one? That’s where the expression ‘white hat hacking’ comes from. White hat hackers are the good guys. They specialise in penetration testing with the intention of alerting companies to vulnerabilities in their systems, software and networks, to pre-empt hacking attempts by an ill-intentioned individual.

Encrypted email and archiving requirements

Even though we believe that email encryption at the gateway level is the easiest way to encrypt your email, in certain situations, desktop to desktop encryption (using Outlook for example) might still be preferred. For example the email infrastructure might be completely outsourced and regulatory requirements demand that the external company should have no access to the contents of sensitive emails.

Sijmen Ruwhof vertelt over pentest (non) scoping

In deze video vertelt Sijmen Ruwhof over (non) scoping bij pentests.


Het blijft altijd weer een uitdaging, een goede scope definiëren voor een pentest. Hoe ver moet je gaan bij een pentest? Een pentest is immers toch een time-boxed exercitie. En wat neem je wel mee en wat neem je niet mee? Omdat geen omgeving hetzelfde is, wordt het moeilijk om daar standaarden voor te ontwikkelen. 

Hoe zorg je er nu écht voor dat hackers jouw software, databases, middleware, OS en verdere infra infra niet kunnen binnendringen of compromitteren? 


Sijmen vertelt in deze video dat veel pentesten in Nederland van een zeer goed niveau zijn maar dat het verschil juist zit in een goede scoping, of een "non scoping" zoals Sijmen zelf noemt. 


Kijk direct de video en ontdek hoe je echt veiliger kan worden door een goede scope te beschrijven.   

How to hack the upcoming Dutch elections and how hackers could’ve hacked Dutch elections since 2009

As everybody has read in the newspapers, the recent American elections involved multiple and severe hacking attacks. Tens of thousands of confidential and private emails from Hillary Clinton and the Democratic National Committee (DNC) were leaked via WikiLeaks. It is thought by many that this helped Trump to win the election.

Journalists from Dutch TV station RTL contacted me last week and wanted to know whether the Dutch elections could be hacked. They had been tipped off that the current Dutch electoral software used weak cryptography in certain parts of its system (SHA1).

I was stunned and couldn’t believe what I had just heard. Are we still relying on computers for our voting process?

Mark Bergman vertelt over red teaming

Mark Bergman beantwoordt in deze korte video vragen over red teaming.

Ga je bij red teaming recht op de kroonjuwelen af of komt er meer bij kijken? Wil je aan het bedrijf waar je ingehuurd bent laten zien dat je naar binnen kunt of is het van belang dat de organisatie hier van kan leren? Hoe pak je dit aan, door middel van bestaande malware of gebruik je de zwakke punten binnen de organisatie zelf? En hoe koppel je achteraf terug naar de klant hoe zij hier van kunnen leren en hier in de toekomst anders en beter mee om kunnen gaan, zodat bij een echte dreiging zaken zo goed mogelijk worden opgepakt.

Bekijk snel de video om meer te weten te komen. Veel kijkplezier!

Information Security in Project Governance: Incidents and Preventions

Worldwide there are several reasons for project start-ups, but what are the real reasons behind it. Another question to be asked here is “is there enough attention for Information Security in projects”?

The drawbacks of information security are both project and business risks. Referring to the investigation of Price Water House Cooper we may notice a 48% increasing rate of incidents, there are 117,339 Information Security incidents a day summing up to a yearly cost of 42,8 million. Additionally, the estimated damages world-wide peak to 2,7 million dollars for each incident. These figures mark a decrease of as much as 34% since last year! Thus, the urgency of companies comes down to how they can strengthen Information Security in the daily business and projects, by also eliminating ‘security leaks’ in the scope of Project Governance. Commonly Businesses do not become aware of such issues related to the Project Governance. In other words, the management becomes so occupied protecting the house and forgets the barn or even the new building in progress.

Being an agile security officer

Whenever I give a presentation, training, or just talk to security teams, it becomes clear that over the years a gap has been created between application security and development. A gap we created consciously and with intent and that became painfully visible with the introduction of Agile and DevOps. Suddenly exhaustive information security policies with checklists and penetration tests became serious impediments. The challenge we are facing now is how to bridge this gap again.

Fortunately this challenge is easier to solve as it appears to be. The key to success is to split the security officer function more Agile minded roles with different responsibilities and duties. In the coming blogs I will dive deeper into the different aspects of these roles and the differences in the responsibilities and duties. But first we need to take a little trip down to memory lane to understand how we ended up in this situation.

Cqure interview: Rickey Gevers over loopbaanontwikkeling in IT-security

Hoe kun je je loopbaan binnen information security inrichten? Van develloper tot ethical hacker naar de grote incident response klussen. Hoe ziet de weg naar een CISO eruit? Ethical hacker Rickey Gevers van RedSocks vertelt in deze video over loopbaanontwikkeling in IT-security. 

Wanneer je op jonge leeftijd al veel met de computer bezig bent, zoals gamen, website- of applicatie ontwikkeling, of nieuwsgierigheid naar hacken, is het niet gek om grote interesse te hebben in een loopbaan binnen de information security. Hoe ziet een gergelijke loopbaan ontwikkeling er uit? Rickey vertelt welke routes je kunt doorlopen, welke opleidingen je nodig hebt en hoe je nieuwe uitdagingen kunt uitgaan. 

Veel kijkplezier!