Kennisplatform

Met onafhankelijke artikelen, interviews en video's van professionals voor professionals

Why account takeover prevention is important to protect against credential stuffing

Every year thousands of data breaches occur, as we can read in the daily news. The root causes of the breaches range from organizational issues to technical flaws. A new category of attacks emerged a few years ago: ‘credential stuffing’. According to F5, ‘credential stuffing and brute force attacks have been the biggest threats for financial services recently, and the trend shows no sign of slowing’. According to Akamai, ‘hackers have targeted the gaming industry by carrying out 12 billion credential stuffing attacks against gaming websites within the 17-month period analyzed’. Nowadays credential stuffing attacks are considered among the top digital threats. But what exactly is credential stuffing?

Digital risks to business, what do they cost?

Analyzing Business Information Security for a data breach use case

In a digital business world that is highly distributed via an eco-system, ensuring your digital assurance becomes vital. Everything needs to continuously work and Confidentially, Integrity and Auditability have to be assured, especially when your business is regulated and should demonstrate to be “in control”. Nevertheless, how do we do that when business models are under fire by hackers?.. 

Bcrypt password cracking extremely slow? Not if you are using hundreds of FPGAs!

Cracking classic hashes

Moore’s law is the observation that the number of transistors in a dense integrated circuit doubles about every two years. This roughly doubles computing power about every two years as well. Password hashing algorithms typically have a lifetime of many decades. This means that the level of protection of a given password hash algorithm decreases over time: attackers can crack longer and more complex passwords in the same amount of time.

Jouw bijdrage op het kennisplatform?

A great motivation letter in five steps

“Just write a short motivation letter regarding this conversation” is a sentence that I speak to cybersecurity professionals on a regular basis. Internal research at Cqure has shown that the motivation letter does not always have the desired result, while it is apparently a good piece of text. How is that actually possible? And why is good motivation letter so important?...

Weg met IT-pubers

Weg met IT-pubers

Veel it-spelers vertonen onvolwassen gedrag en zijn allergisch voor normen en verantwoordelijkheid. Maar het speelveld verandert en wie zich niet aanpast, zou wel eens vlot buiten spel kunnen staan.

Minister Ferd Grapperhaus zegt in te willen grijpen als beveiliging op cruciale momenten tekortschiet. Wie werkt in industrieën als de evenementenbranche, de voedselindustrie, de zorg, de onderwijssector, de bouw, scheepvaart, luchtvaart, of landbouw is inmiddels wel gewend aan die rol van de overheid. Maar sommige it-leveranciers waarschuwen dat dit kan leiden tot het afvinken van lijstjes en ‘dat moeten we met z’n allen niet willen’. Liever komt iedereen met een eigen methodiek

Dergelijke uitspraken zijn erop gericht IT als voodoo-industrie overeind te houden. Stel je toch voor dat we anders slecht of niet ontworpen en geprogrammeerde software moeten gaan aanpakken, of netwerken goed moeten gaan ontwerpen, of bij beheer alle administraties kloppend moeten krijgen en andere basics op onze lijstjes moeten zetten. Bij veel beveiligingsincidenten zie ik dat wij keer op keer dezelfde fouten maken. Daarom geven goed doordachte lijstjes inzicht in risico’s en processen.

KQL Cheat Sheet

This week I released a cheat sheet for the Kusto Query Language (KQL), which you can find on my GitHub page: kql_cheat_sheet.pdf. When I started with KQL to analyse security events, the primary resources for me to get started were the official KQL documentation from Microsoft and the Pluralsight course from Robert Cain. Something was missing: a cheat sheet. So, I created one. I hope this cheat sheet will help others in using KQL. If you have additions or remarks, please contact me.

Facebook is verplicht post Singaporees nieuwsmedium aan te merken als ‘onjuist’

Facebook heeft in Singapore een post aangevuld met de tekst “Facebook is wettelijk verplicht te melden dat de Singaporese overheid stelt dat deze post onjuiste informatie bevat”. Dat meldde Tweakers onlangs. Facebook houdt zich daarmee aan de nieuwe Protection from Online Falsehoods and Manipulation-wet uit Singapore. De melding is dan ook alleen te zien vanaf IP-adressen die aan Singapore verbonden zijn. De wet is volgens Reuters de eerste die voorschrijft dat Facebook een correctie publiceert. En bij Nu.nl lees ik dat het inderdaad zou gaan om een feitelijk onjuist bericht.

Een open digitaal eID-stelsel?

Op 7 november jl presenteerde de Cyber Security Raad (CSR), een publiek-private denktank met deelnemers uit verschillende sectoren in Nederland, het rapport ‘Naar een veilig eID-stelsel’. Het was een “Advies inzake een veilig, universeel en open digitaal eID-stelsel voor een open, veilige en welvarende samenleving”.
 

Het rapport is een moedige poging van de CSR om een complex probleem te benoemen en te komen met oplossingsrichtingen.

Het door de CSR geïdentificeerde complexe probleem is dat in de digitale wereld een brede infrastructuur ontbreekt voor de digitalisering van transactieprocessen. Volgens de CSR is een flexibele eID-infrastructuur voor zowel het publieke domein als het private domein noodzakelijk om de zekerheden te bieden ten aanzien van identiteiten, bezit en de machtigingen om deze transacties te mogen doen.

Jouw bijdrage op het kennisplatform?

“Eerst checken, dan klikken!”

Phishingtest​.nl helpt AVROTROS Tweede Kamer te ​“phishen”

Gisteravond verscheen Mark Koek in Opgelicht!?, de serie van AVROTROS over oplichtingspraktijken van fraudeurs en bedriegers. Mark is behalve directeur van HackDefense ook medeoprichter van Phishingtest​.nl, een gezamenlijke service van HackDefense en Audittrail met als doel bedrijven bewust te maken van de noodzaak alert te zijn op phishingmails. Mark hielp Opgelicht!? te onderzoeken hoe het met het klikgedrag van onze volksvertegen­woordigers staat. ​‘Eerst checken, dan klikken’ — de campagne van het ministerie van Justitie en Veiligheid — is duidelijk nog niet helemaal in de Tweede Kamer doorgedrongen.

De video is te zien op de site van AVROTROS.

Het nieuwe normaal bij een digitale aanval

Hier moet Nederland van leren!” zegt Sebastiaan van ‘t Erve, burgemeester van Lochem tegen mij. We praten nog geen minuut als glashelder is dat zijn gemeente is getroffen door een aanval van serieuze omvang. In zijn stem hoor ik zorg, nervositeit, maar vooral vastberadenheid. Deze bestuurder toont het nieuwe normaal.

De uitwerking van de keuze is enorm. ‘Leren’ betekent uitzoeken wat er gebeurd is. Er komt deugdelijk forensisch onderzoek, het woord ‘schuld’ of ‘schuldige’ blijven onbesproken maar zijn evident taboe. We proberen fouten te vinden, te verhelpen, te documenteren en de kennis die we daarmee vergaren, willen we uiteindelijk verspreiden. De sfeer onderling is meteen goed. De communicatie is open, relaxt en wat vrij uniek is: er zijn geen politieke spelletjes. Het is bijna Rotterdams: niet lullen, maar poetsen. De inzet van de medewerkers is enorm, wat de stereotype ambtenarengrapjes in een ander daglicht zet. Diverse nachten wordt er doorgehaald, het pinksterweekend wordt opgeofferd en werkdagen van 30 uur zijn eerder regel dan uitzondering. Mensen moeten bijna worden gedwongen nu echt te gaan slapen. Iedereen wil maar één ding: het probleem verhelpen.

Het is natuurlijk van de zotte dat we op internet handhaving volledig geprivatiseerd hebben

Facebook heeft zijn eigen Supreme Court, las ik laatst. Dit interne orgaan heeft de hoogste macht om directiebeslissingen (met name die van Zuckerberg zelf) tegen te houden. Ik dacht eerst dat dit een hogerberoepsorgaan was voor bezwaren vanuit de gemeenschap; een van de grootste problemen met dit soort platforms is namelijk de onmogelijkheid om echt een claim tegen je account of postings aan te vechten. Maar het lijkt er niet op dat dat er gaat worden. Ik ben er nog niet over uit of dat nou een goed idee zou zijn of niet.

Al sinds het begin van internet is het zo dat de eigenaar van een site daar de baas is. Niet heel raar, het is jouw site en jouw server, dus jouw eigendom. In Nederland werd dat in 2004 al bevestigd in het Ab.fab arrest van de Hoge Raad: de eigenaar van een server mag zeggen wat er op die site gebeurt. Willen ze geen spammers die mails aanbieden, dan hoeven ze dat gewoon niet te tolereren. Niks belangenafweging, gewoon eigendom.

Lessons from the Hookers.nl breach: cracking 57% of the passwords in three days

Dutch website Hookers.nl — used by prostitutes, escorts and their customers — had been hacked. The site’s user database was stolen and is actively being traded in the underground, and sold for about 2 Euros. The dump contains data of — among others — employees of Dutch governmental intuitions like the department of defense, foreign affairs and law enforcement. Since data is now within virtually anyone’s reach, we expect scams to blackmail users soon.

Hookers.nl publicly stated that passwords were not stolen. Strictly speaking this is true: the database does not contain plain text passwords but hashed passwords. Scattered Secrets was able to crack 57% of the password hashes in three days. This is our story.

Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Examining access token privileges with MDATP and Kusto

As a defender, looking at events occurring at user endpoints is very useful. It's essential to know exactly what is happening and insight in detailed log information gives you the opportunity to perform threat hunting and to create detection rules.

It’s a no-brainer that looking at processes on an user endpoint is crucial in order to find adversary’s activities. One of the interesting aspects of the process is the access token. In this blog I will explain briefly what an access token is and how you can use Microsoft Defender ATP (MDATP) and the Kusto query language to examine them in detail.

Jouw bijdrage op het kennisplatform?