OPSEC for Blue Teams part 2 - Testing PassiveTotal & VirusTotal

This second blog in the series on OPSEC for Blue Teams is about testing tools used to get context and/or OSINT on domains and IPs. While performing these tests it also showed results that can be interesting for Red Teams.

OPSEC for Blue Teams part 1 - Losing Defender's Advantage can be found here.

​ OPSEC for Blue Teams part 1 - Losing Defender’s Advantage

This is a three-part blog about OPSEC for Blue Teams. This first part expresses some of my ideas about the risk of alerting the adversary and OPSEC for getting OSINT and context on domains and IPs. The second part is about testing tools (I performed tests on PassiveTotal and VirusTotal) which provide context and/or OSINT in relation to OPSEC. The last part will be on sandboxes, secure communications and sharing of info & data when dealing with a targeted attack.

When talking about adversaries in this series, I mean the ones which are targeting your company. So I do not discuss a threat actor executing a malware or phishing campaign against a large and diverse group of victims. You can be less strict on following certain OPSEC rules when you know you deal with a non-targeted attack. Still, following secure practices in both cases will make sure your default behaviour is in line with good OPSEC rules.

Lang leve de makkelijke wachtwoorden!

Nieuw jaar, goede voornemens. En daar worden we aan alle kanten bij geholpen: we moeten veilige wachtwoorden gebruiken.

Ook deze week weer volop media-aandacht voor het fenomeen van de makkelijke wachtwoorden. Het meest gebruikte wachtwoord is ‘123456’ en ook ‘qwerty’ en ‘secure’. Schandalig dat mensen zo laks omgaan met hun eigen veiligheid. Ook de consumentenbond is in het geweer gekomen. Websites moeten moeilijker wachtwoorden afdwingen. Maar ook weer niet te moeilijk, want anders gaan mensen wachtwoorden toch maar vergeten…

Een rondje met de cyberwijk-agent

De wijkagent surveilleert én is er voor vragen uit de buurt. Met een licht surveille-regime; de agent is maar in z’n eentje in een best grote wijk en wandelt wat. Waar z/hij in de buurt is, wordt net iets minder door rood gefietst; en waar h/zij niet is, moet worden vertrouwd op burgertoezicht [tsja] en melding bij 112, waarop de agent zo nodig poolshoogte gaat nemen. Of als er meer aan de hand is, wordt assistentie ingeroepen, op allerlei vlak; collega’s voor wat handjes, recherche voor de post-‘mortem’ na de hack inbraak. Als er iets groters aan de hand is, werkt de wijkagent samen met z’n collega(’s) in de volgende wijk, uiteraard. Ieder z’n specialisme, qua lokale kennis. En overstijgend zijn er voor de bestrijding van serieuzere criminaliteit natuurlijk aparte, speciale teams en task forces. Maar in het algemeen is de aanwezigheid, het er zijn, van een wijkagent al voldoende preventie en signalering voor het gros van de overtredinkjes. De wijkagent kan ter plekke wel een passende oplossing vinden. En wat de agent al ziet wat privacygevoelig zou zijn… dat is ter plekke opgelost door het vertrouwen dat de burger in de agent heeft. Hopelijk.

Cloud levels the playing field

I was at the AWS Benelux Summit in The Hague last week. I particularly enjoyed Werner Vogel’s keynote speech and want to use this column to highlight three aspects of his keynote that I felt stood out.

There is no reason anymore, not to encrypt your data.

Nationale DNA-databank is wensdenken

Na de aankondiging dat Jos B. hoofdverdachte in de verkrachting en moord op Nicky Verstappen is, kwam de politiek met de oplossing. Ieders DNA moet in een database. Los van de vraag of Europese mensenrechten-wetgeving de ruimte biedt voor een DNA-databank, toont het weer een verschrikkelijk wensdenken naar een alomvattende oplossing.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

Crypto currency or ads.. Do we get to choose the lesser evil?

Since a few months now, we are confronted with a new phenomenon. Websites that are mining crypto currency using javascript and thus the processor of the person visiting the website.

As usual the vendors of security products quickly jump on this band wagon to sell their goods.

Since it is my job to keep our organisation informed of emerging security threats, I’ve also been trying to determine how much we should worry about this new trend.

To be honest. I’m not really sure…

Can a hacker be a builder instead of a breaker?

It’s one of the certainties in life: when summer approaches and the large hacking conferences such as Black Hat and DEF CON are upon us, the security media starts spinning its wheels. These are the moments when the ‘celebrities’ of our field have their red carpet premiere – what kind of fascinating new research will they show? This research is of course often about some form of hacking – and that’s exactly the point I want to address. What is the point of proving something is broken? Are we over-valuing these “stunt hacks”? And would the industry as a whole not be better off if we focused a bit less on breaking things, freeing up some of our time for building and improving?

Why traditional information security fails in an agile environment

Matching information security and agile

While agile development is going mainstream, information security is having difficulties to keep up. The result of this struggle is that new systems are insecure, or that they are loaded with point solutions for security.

What is so hard about security in agile environments? In this article we examine what makes infosec fail with agile, in future articles we will propose solutions for that and present a model to integrate information security into an agile development process.

eHealth: een zorgenkind op het gebied van cybersecurity?

Het Internet-of-Things doet razendsnel haar intrede in de maatschappij, zo ook in de zorgsector onder de noemer ’eHealth’. De beveiliging van IoT, en dus ook eHealth, is lang niet altijd op orde, waardoor deze apparaten meermaals misbruikt zijn voor onder andere cyberaanvallen. Het doel van dit onderzoek is tweeledig:

  1. Onderzoeken welke specifieke cybersecurityrisico’s gepaard gaan met het gebruik van eHealthtoepassingen bij Universitaire Medische Centra
  2. Adviseren welke strategische maatregelen genomen kunnen worden om cybersecurity voor eHealth-toepassingen beter te borgen door Universitaire Medische Centra, leveranciers van eHealth-toepassingen en beleidsmakers in de zorgsector.

Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland

Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland. Bedrijven lopen elkaar in de weg, overheidsinstanties vertrouwen elkaars beveiligingsbeleid niet en weigeren gegevens te leveren als er niet eerst een ‘data-overeenkomst’ is getekend (wat dat ook precies moge zijn), kerkblaadjes die met bloed, zweet en tranen door vrijwilligers in elkaar worden gedraaid besluiten ermee te stoppen en sportverenigingen weten niet of zij nog de foto’s van de sportdag op hun website mogen zetten. 

Bypass client-side generated HTTP security headers

Every now and then when doing a security test on a web application I have to deal with client-side generated HTTP headers that are there for security reasons. These headers can cause problems during a security test. Fortunately they can easily be bypassed using Burp Suite.

Lessons to be learned from the Polar incident

Last Sunday, journalists from The Correspondent revealed that it was trivially easy to find the names and addresses of military and intelligence service personnel that use Polar, a popular runners wearable and fitness app. All runs (even private ones) made by owners of a Polar fitness device are stored on a central server, and can be viewed on a map. Even though the user interface restricted access to only public runs, bypassing the user interface and entering URLs manually allowed them to extract all runs made by anyone since 2014. Polar switched off access to the map recently to prevent further abuse of this. What can we learn from this incident?

False cyber security assumptions

With technology changing so fast, security can sometimes seem like a goal post that is continually moving. Below are corrections to some of the more common misperceptions

Hunting with JA3

Within this blog post I will explain how JA3 can be used in Threat Hunting. I will discuss a relative simple hunt on a possible way to identify malicious PowerShell using JA3 and a more advanced hunt that involves the use of Darktrace and JA3.