The cost of business vs the cost of crime…

If you live in The Netherlands you probably noticed that a series of DDoS attacks caused quite some uproar in our little corner of the world. One of the questions I get asked regularly is why we still cannot deal with these types of attacks.

We are at un unfair disadvantage, or more accurately phrased, the criminals have an unfair advantage. The cost, in terms of money, time, lost functionality, etc., of preventing a crime or attack are often higher than those the criminal or attacker needs to make to actually commit his deed.

Gain more insight and create doomsday scenarios for better threat modeling

In previous blogs you could already read about what threat modeling is, and about the 4 steps. In practice, however, threat modeling is more than just a technical analysis of your application. The threat landscape is constantly evolving, and so is your organisation. Therefore, you need to understand the technical and business context, and create doomsday scenarios.

As a result, you have a broader insight of the threats to your application.

Password database of MediaMarkt leaks again

On January 2, 2018 I visited MediaMarkt in Leidsche Rein The Wall. MediaMarkt is a well-known electronics shop franchise in The Netherlands with 45 stores. I was in need of a new phone as my current one was now over two years old and my subscription ended. They had the Samsung Note I was looking for, so I came there to get it.

The sales guy from the telecom department happy greeted me and started a conversation. He wanted to check out my phone subscription to see if he could get a nice discount for me. Sure!

Hunting for evil: detect macros being executed

In many of our red teaming and incident response engagements, we encounter the abuse of MS Office macros as a vector to drop a remote access trojan and thereby gain initial foothold. From many discussions with our clients we have learned that macros are hard to secure and often a necessity for business operations. In this blog I’ll share a rough approach for detection of evil macros. In parallel, we are working on a more robust solution that can fully manage the macro problem (we hope to share some news on this later).

Waarschijnlijkheid en false positives

Onlangs hebben we een interessante kennisuitwisseling georganiseerd, waar we geprobeerd hebben om uit de ervaring van de sustainability praktijk lering te trekken voor de informatiebeveiliging. Nu sprak ik onlangs iemand uit de medische wereld, die me vertelde over testresultaten die soms tegen de intuïtie in lijken te gaan en op zijn minst verrassend zijn. Een goed voorbeeld van het probleem van accurate detectie zijn testen voor ziektes waar het moeilijk is te begrijpen waarom een goede test toch een hoog aantal false positives oplevert. 

My take on Meltdown and Spectre

It’s not just nasty names…

Introduction

For the past few days there has been a lot of speculation on why certain Linux kernel patches were rushed through.

Somewhere last night, researchers from various origins lifted the shroud and released the so called ‘Meltdown’ and ‘Spectre’ attacks via https://meltdownattack.com.

In this blog post I will try to give you my take on these two attacks and what they mean to defenders and users of CPUs (yes, that’s you).

Jouw bijdrage op het kennisplatform?

Informeer de redactie

Quick Question: Cybersecurity in de boardroom

Ton Diemont, verantwoordelijk voor cybersecurity in de boardroom bij KPMG IT Advisory, vertelt over cybersecurity in de board room.  Hij vertelt waarom informatiebeveiliging ondersteunend is aan de business en de bedrijfsprocessen. Ook vertelt hij over reeële vragen die gesteld kunnen worden, de impact van informatiebeveiliging en informatiebeveiligingsrisico's hebben en hoe  de board overtuigd kan worden hoe de impact bepaald kan worden van bepaalde lekken.

Cybersecurity en de euro’s van de kleine mkb’er

Toen ik nog eigen ondernemer was, heb ik geprobeerd om cybersecurity bij het kleinere mkb aan de man te brengen. Natuurlijk om er geld mee te verdienen maar óók omdat ik vind dat iedereen het recht heeft om zich te wapenen tegen online criminaliteit. Ik merkte echter dat er onvoldoende budget voor cybersecurity beschikbaar was.  Maar ik leg graag nog eens uit waarom het kleinere mkb toch zou moeten investeren in cybersecurity.

Outlook digitaal recht - preview 2018

Wie denkt dat recht bedoeld is voor juristen, slaat de plank mis. Juridische normering richt zich primair op dat deel van de samenleving wat zij boogt te regelen. Zo behoort een automobilist immers zelf de verkeersregels toe te passen. Achteraf op de compliance- kennis van de juridische dienst vertrouwen, biedt geen soelaas. Een wellicht flauwe, maar daarom niet minder treffende vergelijking. 

Alleen al om deze reden staat de noodzaak van het verwerven van begrip en kennis van het digitale recht door niet-juristen — van (openbaar) bestuurder tot IT professional, van entrepreneur tot adviseur — buiten kijf. 

How the military thinks about cyberspace

Last week I attended the third International Cyber Operations Symposium (ICOS) in Amsterdam. The symposium was organised by the Dutch Ministry of Defence, with a mix of military and civilian delegates. The symposium was held under the Chatham House Rule, so I am free to speak about what was said, but cannot attribute it to who said it. The symposium offered an interesting insight into how the military thinks about cyberspace.

Quick Question: Verantwoordelijkheden in de informatiebeveiliging

Ali Agzanay, Information Security Officer, vertelt deze week in de Cqure Quick Question in 15 minuten wat hij denkt dat de verantwoordelijkheden zijn van de informatiebeveiliger. 

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Zijn jouw slimme apparaten nog wel ‘connected’ over 2 jaar?

Na de terugslag van de gebruikers van de Logitech Harmony Link, waarbij Logitech alle eigenaren van het apparaat een gratis upgrade geeft, blijft bij mij de vraag hangen: Hoe connected zijn ‘connected-apparaten’ eigenlijk. Wat als een fabrikant besluit om met het product te stoppen (zoals bij de Harmony het geval was).

Embedding GDPR in the secure development lifecycle (SDLC)

Did you know that the GDPR and SDLC re-inforce each other and that the GDPR can be used as the ideal business case to start with SDLC? Siebe and I explained how and why during the OWASP AppSec Europeconference in Belfast. Couldn’t attend? You can find the presentation in this blog, or begin by reading the introduction below.

Being An Agile Security Officer: Spread Your Knowledge

This is my fifth and last part of my blog series about 'Being an Agile Officer'. Before you read on, be sure you have read part onepart twopart three and part four in this series. In this blog post I will go deeper into the details of how user stories are created and what role security stakeholders should play in that.

In the previous parts I showed how Security Officers can align with the Agile process and let security become a standard considered quality attribute again. Unfortunately many teams not only need to be made aware of security requirements, but also need technical advise and guidance in designing and implementing them. As an Agile Security Officer you therefor need not only to act as a Stakeholder, but also as a Domain Expert for Security.