Zijn jouw slimme apparaten nog wel ‘connected’ over 2 jaar?

Na de terugslag van de gebruikers van de Logitech Harmony Link, waarbij Logitech alle eigenaren van het apparaat een gratis upgrade geeft, blijft bij mij de vraag hangen: Hoe connected zijn ‘connected-apparaten’ eigenlijk. Wat als een fabrikant besluit om met het product te stoppen (zoals bij de Harmony het geval was).

Embedding GDPR in the secure development lifecycle (SDLC)

Did you know that the GDPR and SDLC re-inforce each other and that the GDPR can be used as the ideal business case to start with SDLC? Siebe and I explained how and why during the OWASP AppSec Europeconference in Belfast. Couldn’t attend? You can find the presentation in this blog, or begin by reading the introduction below.

Being An Agile Security Officer: Spread Your Knowledge

This is my fifth and last part of my blog series about 'Being an Agile Officer'. Before you read on, be sure you have read part onepart twopart three and part four in this series. In this blog post I will go deeper into the details of how user stories are created and what role security stakeholders should play in that.

In the previous parts I showed how Security Officers can align with the Agile process and let security become a standard considered quality attribute again. Unfortunately many teams not only need to be made aware of security requirements, but also need technical advise and guidance in designing and implementing them. As an Agile Security Officer you therefor need not only to act as a Stakeholder, but also as a Domain Expert for Security.

Worden Europese bedrijven straks verplicht data aan de VS te geven?

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

One of the world’s most visited websites that nobody is aware of

The editorial department of well-known Dutch broadcaster RTL News recently asked for my assistance. Multiple tax files of Dutch citizens had been published via www.docplayer.nl and no one could explain – where did these files come from? Who would have thought that my research would lead to the discovery of one of the world’s most frequently visited websites (!).

Harakiri – exploitation of a mail handler

If you’re a penetration tester, you’ve been there: that customer that certainly knows what they’re doing. The one that makes their stuff secure by the less-is-more concept.

In an assignment of all internet facing systems of this customer we had to dig deeper to find something. After extensive testing of their web applications, we weren’t happy enough and wanted more. Scanning the full perimeter was already done and didn’t present us any useful vulnerabilities. Time to go deeper!

Jouw bijdrage op het kennisplatform?

Informeer de redactie

A tale of a compliance kettle…

This is a story that took place during SHA2017, an international hacker camp in Zeewolde. If you want to get an impression of how awesome this event was, I suggest you read Chris van ‘t Hof’s article (in Dutch) or Jenny List’s personal review (in English).
 
Even though SHA2017 is a hacker camp, and thus has an anarchistic tendency to it, it doesn’t mean that there are no rules. These rules are generally speaking there because either the camp itself has to comply to external rules (like local laws and regulations with regards to noise and safety) or to keep things safe in general. One of these rules related to ‘open fire’ was worded on the SHA2017 wiki.

Botnet of Things

"Botnet of things" is de technologie achter DDOS-aanvallen. Met een DDOS-aanval kun je diensten gekoppeld aan het internet aanvallen zodat ze niet langer bereikbaar zijn voor klanten. Een dreiging die onze maatschappij angst inboezemt omdat we steeds afhankelijker worden van technologie. Een digitale wapenwedloop die zich door het mondiale karakter exponentieel snel ontwikkeld waardoor velen van ons moeite hebben om bij te blijven. Hoe kan een bedrijf zich op die digitale dreigingen voorbereiden?

In de huidige vorm heeft de consument weinig aan de privacywetgeving

Als je veel reist en lang in het buitenland kan verblijven is het leuk om zo op een afstandje het Europese en Nederlandse vak nieuws te lezen en dat af te zetten tegen het lokale vaknieuws.  Er gaat geen dag voorbij of de EU General Data Protection Regulation (GDPR) is in het nieuws. Er wordt veel geld uitgegeven aan de GDPR. Maar is dat allemaal wel zo slim? Hoe hard zal die GDPR worden? Wat nu als het niet werkbaar blijkt en de wetgeving wordt  afgezwakt?

Blockcerts: Using blokchain for identity management is (mostly) ridiculous

I was invited to speak at the Bitcoin in Education (BCINED) conference held in Groningen, September 5, 2017. Topic of my presentation: “Blockchain & Identity: Why you should avoid the blockchain like the plague“. While listening to the morning keynotes, praising the many benefits of using blockchains in education and for managing (academic) credentials in particular, I realised my message might provide a very much needed counterpoint. The short summary: using blokchain for identity management is ridiculous.

Met threat intelligence op zoek naar de motieven van hackers

Na de ransomeware-aanvallen WannaCry en Petya zijn bedrijven en organisaties druk met het nog effectiever inrichten van hun cybersecurity-systeem. De volgende stap hierbij is het gebruik van threat intelligence (TI). Er wordt dan vooral gekeken naar wie de hackers zijn en hoe zij te werk gaan, maar het ‘waarom’, oftewel de strategische TI, vergeten bedrijven nog te veel.

Agile & Informatiebeveiliging - Deel 1

Agile en DevOps zien we steeds meer worden toegepast binnen organisaties, zelfs als ze geen applicaties of webservices ontwikkelen. Via Agile en DevOps proberen organisaties in kleine stukjes (steeds meer) waarde te leveren aan klanten, terwijl organisaties wel flexibiliteit behouden en open blijven staan voor verandering.

Quick Question - Paul Ferron heeft een hekel aan digitale security

Paul Ferron, met 25 jaar ervaring in de digital security, vertelt deze week in de Cqure Quick Question dat hij een hekel heeft aan digital-security!? Vreemd natuurlijk. Daarom wilde wij daar alles van weten. Paul geeft in deze video zijn brede visie op digital security en hoe hij denk dat we de digital security van de toekomst kunnen inrichten.

Welke rol speelt informatiebeveiliging bij inzageverzoeken van betrokkenen?

Bij inzageverzoeken, een van de rechten van betrokkenen, speelt informatiebeveiliging (IB) een belangrijke rol. Het gaat om vragen als: hoe weet je met zoveel mogelijk zekerheid dat de betrokkene degene is die hij/zij zegt te zijn? En, wanneer zijn identiteit eenmaal is vastgelegd, hoe kunnen gegevens veilig worden verzonden via het internet? Deze praktische vragen kunnen zomaar tegelijk aan de orde komen in een organisatie en kunnen leiden tot de nodige hoofdbrekens.

Important: By reading this article you accept the conclusions ☁ + sourcing - cl / d = t

Lately I have been looking a lot into the risks and security aspects of cloud service. And to be honest, from a security perspective, cloud is not that new. Most of the risks associated with cloud services are actually exactly the same as those related to outsourcing, a subject I’m obviously quite familiar with. In that respect, the Free Software Foundation Europe is quite right.

Yet, saying that Cloud is just the same as outsourcing would not do justice to what is currently going on. There are really a few differences that set aside modern day cloud computing from classic outsourcing.