EFAIL: which is vulnerable? PGP, S/MIME or your mail client?

What is EFAIL?

EFAIL is a recent attack on PGP en S/MIME email encryption (EFAIL).

EFAIL exploits remote content resolving built into most email clients (like for example images and CSS rules) to get (parts) of a previously encrypted email.

What EFAIL basically does, is that it takes a previously encrypted email (for which the attacker does not have the private key) and embeds this encrypted email into a new email in a special way. The email is then sent to the recipient for decryption. The attacker however designed the email in a way that the decrypted content of the original email gets embedded into the URL for a remote resource (for example an image). If the email client is configured to automatically resolve external content (for example download images), the content of the email gets sent to the remote server as a URL request. If the remote server is under control of the attacker, or if the URL is sent via HTTP, the attacker can access the URL and therefore has access to the plain text content of the original email.

Will DANE for SMTP solve all of your GDPR problems?

Will DANE for SMTP solve all of your GDPR problems?

The short answer: probably not. The long answer: keep reading.

What is DANE?

According to Wikipedia:

"DNS-based Authentication of Named Entities (DANE) is a protocol to allow X.509 certificates, commonly used for Transport Layer Security (TLS), to be bound to DNS names using Domain Name System Security Extensions (DNSSEC)"

In less technical terms, DANE is a protocol which allows you to securely associate a domain name with an X.509 certificate.

Continuous GDPR compliance

Organisations are very much aware of the deadline of 25 May 2018 to become GDPR compliant. But let us not forget that 25 May is not just the end of the period to become compliant. Even more, it is the start of an era where organisations are to be GDPR compliant continuously.

So, as organisations are working to update their privacy statements, improve consent (e.g. opt-in vs opt-out), document records of processing, determine retention schedules and remove old personal data, determine person's (data subject) rights to be adhered to, and more, organisations should consider two perspectives:

  1. Manage the complete life cycle of personal data in the organisation
  2. Demonstrate GDPR compliance continuously

Security and audit in a cloud-native world

A co-creation with my colleague Janot van Wegen, Risk Officer.

Before the cloud era, you had your own IT organization as a reliable gatekeeper to make your company a cyber fortress. With a strong gateway, your data and applications were kept in house and in good hands. Nowadays a Fort Knox stance on cyber security is unrealistic. Applications that are designed to make the best use of the functionality of all aspects of the cloud are distributed and therefore cannot be captured in the traditional Fort Knox paradigm. With the rise of cloud-native computing, expertise in security and compliance is a must for everyone in the chain

Ook al doen we alles digitaal, stemmen moet met papier en potlood.

De Vereniging Nederlandse Gemeenten (VNG) was nog wel zo genuanceerd geweest in haar Verkiezingsagenda 2021. Ja, ze agenderen helaas toch weer een onderzoek naar de mogelijkheid om elektronisch te stemmen. En suggereren dat blockchain technologie kan helpen bij het ondersteunen van het verkiezingsproces. Maar ook doen ze behartigenswaardige oproepen voor kleinere, hanteerbare stembiljetten, het elektronisch tellen van de stembiljetten, en een oproep om de kwaliteit van de stembureauvoorzitters en stembureauleden te verbeteren.

AVG bevolkingsonderzoek: Weten is willen, door Koos Wolters KPMG

Per 25 mei 2018 wordt een nieuwe wet binnen de EU van kracht: de Algemene Verordening Gegevensbescherming (AVG). Een wet met grote consequenties voor organisaties, bedrijven en burgers. KPMG ondersteunt een groot aantal organisaties om op tijd te voldoen aan de nieuwe privacynormen. Koos Wolters, Partner Cybersecurity bij KPMG, heeft laten onderzoeken hoe het met de kennis van de AVG gesteld is, en wat de behoeften van burgers op het gebied van bescherming van persoonsgegevens zijn. In deze Quick Question vertelt Koos onder andere in hoeverre de gemiddelde Nederlander al op de hoogte is van deze wetgeving en de rechten die hiermee samenhangen, als ook op welke manier de Nederlander naar deze materie kijkt. Daarnaast is hier het hele onderzoeksrapport te lezen.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

Van WhatsApp af

Never mind what’s been selling
It’s what you’re buying

Dat zong Fugazi al in 1990 in het nummer Blueprint van het briljante album Repeater.

En dat is uiteindelijk de reden dat ik van WhatsApp af ben gegaan.

GDPR and access control

It is an exciting time, we are approaching the deadline to be GDPR compliant and it does not seem that all organizations are ready for it.

An important question is how ready you should be? Or how ready can you be? There is so much to take into account that it is difficult to set the right priorities. And that is essential to get something done on time. In this contribution a few tips for using Role Based Access Control (RBAC) to become GDPR compliant.

Quick Question: De kijk van Pieter Jansen op Cyberdreigingen

Pieter Jansen, CEO en Founder van Cybersprint, geeft zijn visie op de hedendaagse en toekomstige cyberdreigingen, zowel wereldwijd maar vooral ook in Nederland. Hij geeft zijn kijk op welke dreigingen er zijn en komen en hoe hij denkt dat we ons hier tegen kunnen verdedigen en welke doorbraak we kunnen verwachten.

Volatility: proxies and network traffic

When dealing with an incident it can often happen that your starting point is a suspicious IP. For example, because the IP is showing a suspicious beaconing traffic pattern (i.e. malware calling home to its C2 server for new instructions). One of the questions you will have is what is causing this traffic. It can really help your investigation when you know which process (or sometimes processes) are involved. However, answering this question is challenging when you have to deal with the following:

  • An IT infrastructure where a non-transparent proxy is used for all outgoing network traffic (this is the case in many enterprise networks).
  • No other sources, except a memory dump, are available to you where you could find this information.

In this blog post I will explain how you can solve this with Volatility and strings.

Yesterday’s non-issue, todays record breaker…

How open memcached quickly escalated to a record breaking DDoS vehicle.

In my previous column I already described the amplification phenomenon that is used in modern DDoS attacks to turn a small traffic stream into a large one. In short, the criminals that launch DDoS attacks send small requests to publicly exposed services and spoof the originating IP address. These services then reply to the spoofed source address with a reply that is much larger then the original request, therefor amplifying the attack traffic.

Wat is een DDoS-aanval en wat kunnen we er tegen doen?

De afgelopen week zijn er opnieuw meldingen over DDoS-aanvallen in het nieuws gekomen. “De grootste aanval ooit!”, “…cybercriminelen…”, “… afpersing en vreemde mogendheden”, de superlatieven volgen elkaar in rap tempo op. Maar wat is een DDoS-aanval nu precies, wat is het acute gevaar van dit type aanvallen, wie pleegt ze en wat zijn de details achter de nu spelende Memcached-aanvallen? Allemaal vragen die wij in dit artikel hopen te beantwoorden.

It doesn’t matter

A great many before me have discussed the merits pro and contra using contractors instead of perm contracted staff.
I will still give it one more go. Since lately, there has been some back and forth again about motivational issues and how certain is one in one legal contract situation compared to the other hence how motivated can one be and why the need to cater to so different audiences as ‘manager’.

The thing is, it doesn’t matter.

Politie en gezichts-herkenning. Twee vragen.

Onlangs stond er een interessant stuk in de NRC over CATCH, het gezichtsherkenning systeem waarmee de Nationale Politie verdachten opspoort. Foto’s van mensen die mogelijk betrokken zijn bij een misdrijf worden vergeleken met een database met ruim een miljoen foto’s van veroordeelden, arrestanten, en vreemdelingen. Het stuk riep bij mij een tweetal vragen op.

Risicodromen?

“Eens zullen risicomanagers meer kunnen focussen op strategische beslissingen maar ook op zaken waar grote financiële waarde aan toegekend wordt. Routinematig werk zal steeds verder geautomatiseerd worden waarbij steeds minder uitzonderingen aandacht behoeven."