De Chinese censuur-dictatuur? | Een jeep winnen? “Facebook volk” trapt er weer in | De morele kwestie van de week

Potverdikkie wat hebben we een sappige blog voor u vandaag. Een blog tjokvol met morele kwesties. Van die dingen waar je over na moet denken en waar zelden een eenduidig antwoord voor is. Maar, het is tegelijkertijd ook goede gespreksstof voor bij de vrijdag middag borrel die er alweer aan zit te komen. Deze week stellen we vraagtekens bij de immer groeiende censuur en controle in China, dacht Dieter Puijs een Jeep te hebben gewonnen op Facebook en leggen we een morele kwestie aan u voor. Wilt u meteen uw stem laten horen? Scroll dan naar beneden en vul de poll in.

De Chinese censuur-dictatuur?

China, het land van Mulan, goed eten en een mooie cultuur met normen en waarden waar veel westerse landen nog een voorbeeld aan kunnen nemen. Maar je kan ook doordraaien. Deze week kwam het nieuws naar buiten dat Chinezen binnenkort alleen nog via gezichtsherkenning een internetabonnement of een nieuw mobiel nummer kunnen aanvragen. Met andere woorden, wil je in staat zijn om het internet op te kunnen of een belletje te plegen? Even je gezicht inscannen. Dit is onderdeel van het beleid om ““de rechten en belangen van burgers online te kunnen garanderen” en fraude te voorkomen. Dus helemaal niet om een database te hebben van het gezicht van elke Chinees zodat je die 24/7 in de gaten kan houden. Helemaal niet.

Het is verder ook puur toeval dat China recent melding maakten van de ontwikkeling van een nieuwe “supercamera” (hier zit ergens een grap over toeristen en camera’s). Deze eindbaas der camera’s is een door kunstmatige intelligentie aangestuurde 500-megapixelcamera die in staat is tot in detail individuele gezichten te herkennen te midden van tienduizenden mensen. Volgens de staatsmedia is de camera vijf keer zo krachtig als het menselijk oog en kan hij worden gebruikt voor “militaire toepassingen en voor de openbare veiligheid”. Dit alles hoort bij het “sociaal krediet-systeem” waarbij alle 1,4 miljard Chinese burgers een bepaalde score krijgen op basis van hun gedrag. Doe je dingen die niet door de beugel komen? Dan kan je straf verwachten in de vorm van weigering tot het openbaar vervoer, langzamer internet (niks ergers dan dit) en word je aan de publieke schandpaal genageld. Dit gaat natuurlijk veel te ver en druist in tegen de privacy en rechten(?) van de individu, maar toch zie ik ook mogelijkheden voor een systeem als dit in Nederland. Hangjongeren die zich niet gedragen? Gewoon hun scootertjes limiteren tot 10 k/m per uur. Vlogmeisjes die alleen maar aan zichzelf denken? Pakken we gewoon alle Snapchat- en Instagram filters af. Dat zal ze leren, de vlegels.

Een jeep winnen? “Facebook volk” trapt er weer in.

Iedereen die wel eens op Facebook zit die weet van het bestaan van de “deel dit bericht en win” berichten. Niks raars aan en ook niets mis mee als jij op die manier aan je spullen wilt komen. Maar omdat dit zo veelvoorkomend is, vult men op de automatische piloot alle verplichten velden in zonder na te denken over eventuele gevolgen. En zoals u ongetwijfeld weet, is dit niet zo handig. Zo ook met de actie die Dieter Puijs tegenkwam op Facebook. Hij had net een foto van zijn avondeten (zuurkool met worst) op Facebook gedeeld toen hij een actie zag waarbij je een gratis Jeep kon winnen. Natuurlijk vulde Dieter braaf alles in en kruiste zijn vingers, hopend de Jeep te winnen. De volgende dag werd hij wakker met 300 nieuwe e-mails. Helaas had geen een van deze e-mails het onderwerp “Gefeliciteerd, u heeft gewonnen”. Nee, het waren 300 spamberichten. En de volgende dag weer 300. Deze populaire Facebook actie werd en masse geliked, gedeeld en aan deelgenomen in Nederland en België.

“De zogenaamde winactie van Freebie Centraal verzamelde in minder dan een dag meer dan 141.000 reacties, 154.000 deelacties en 52.000 likes in Nederland en België”

De politie raadt zoals altijd aan om, indien u mee heeft gedaan aan deze actie, meteen uw wachtwoorden te veranderen. Houdt daarnaast ook uw creditcard transacties in de gaten, je weet tenslotte maar nooit. En tenslotte deze gratis wijze raad van ons: Alleen de zon gaat voor niets op.

De morele kwestie van de week.

Tenslotte een morele kwestie. We vragen u dan ook om te stemmen op de poll hieronder, we zijn oprecht benieuwd naar uw mening. Eerder deze week kwam in het nieuws dat ontwikkelaar Jan van Kampen diverse kwetsbaarheden op de website van het pretpark Walibi had ontdekt. Vervolgens nam Jan contact op met het pretpark en informeerde ze over zijn bevindingen. Dit deed hij middels een email met als onderwerp “Datalek ruilen voor kaartjes?”. Als reactie hierop stuurde Mevrouw van Till het volgende: “Uw mails zijn ontvangen. Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet, en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen vandaag.”

Graag uw mening! Sta je als hacker/onderzoeker in je recht om een beloning, hoe klein ook, te vragen voor je bevindingen? Of neigt dit wel erg naar afpersing? Het volledige artikel is overigens hier te lezen. Volgende week maken we de uitslag bekend!

Is het vragen van een beloning voor een gevonden kwetsbaarheid chantage of gerechtigd?

Bekijk resultaten

Laden ... Laden ...

 

 

Microsoft versus U | Bel de wout (en) | Is Dieter Puijs betrapt?

Zijn we weer! We schrijven 11 oktober 2019 en ook deze week is er weer genoeg gebeurd in de immer fascinerende wereld van IT-security. Dat gezegd hebbende, het wordt wel wat lastig om origineel te blijven aangezien iedereen toch nog steeds redelijk massaal in phishing aanvallen trapt en ook het updaten van software voor velen nog steeds een onmogelijke taak blijkt. Tot zover ons geklaag. Deze week leren we waarom Microsoft onze maatschappij niet snapt, maakt u kennis met Wout en eindigen we met een hack waarbij accountgegevens van 250.000 gebruikers op straat zijn te komen liggen.

Microsoft versus U

Maar we beginnen dus met Microsoft. Om specifiek te zijn, met Microsoft versus de maatschappij. Want Microsoft heeft zich de vraag gesteld die wij hierboven ook hebben gesteld. Waarom is het zo !@%!@$ moeilijk voor bedrijven, en individuen, om hun systemen up-to-date te houden. We begrijpen deze frustratie best. Er zijn de afgelopen jaren namelijk veel uitbraken geweest, zoals WannaCry en NotPetya die voorkomen hadden kunnen worden als bedrijven hun patch management op orde hadden. De beide malware-exemplaren (die zojuist genoemd werden) konden zich verspreiden in mei en juni van 2017 ondanks dat er in maart van dat jaar een patch beschikbaar was gesteld die deze lekken kon dichten. Zelfs na de eerste aanvallen in mei waren er nog veel bedrijven die de beschikbare update niet hebben geïnstalleerd. Nadat bleek dat in juni (!) de malware NotPeyta nog steeds van hetzelfde lek gebruik kon maken was bij Microsoft de maat vol.

Er werd besloten om een onderzoek uit te voeren naar waarom organisaties beveiligingsupdates voor ernstige kwetsbaarheden die al maanden beschikbaar zijn niet installeren. Uit dit onderzoek bleek dat veel organisaties vragen hadden over wat voor soort tests ze moesten uitvoeren voor het uitrollen van deze updates en hoe snel patches geïnstalleerd dienen te worden. Kortom, veel vragen. Dit gaf Mircosoft een goed idee van de onwetendheid bij bedrijven op het gebied van patch management. De oplossing? Samen met het NIST (National Institute of Standards and Technology) is een rapport opgesteld dat bedrijven kan helpen met het doorvoeren van updates. Werkt u bij een bedrijf waar het patch management nogal wankel is? Download dan hier de pdf.

“We ontdekten dat hoewel het niet zo eenvoudig is als securityafdelingen denken, het niet zo lastig is als it-organisaties denken – Mark Simos, Microsoft”

Bel de wout (en)

Kent u Wout al? Nee wij ook niet, tot vandaag althans. En eigenlijk is dat goed nieuws want Wout is de nieuwe AI chatbot van de politie en zal worden ingezet bij meldingen van cybercrime. Specifiek in het geval van gijzelingen (ransomware). Het schijnt namelijk zo te zijn dat mensen zich nogal schamen als ze per ongeluk het gehele netwerk platleggen omdat ze op een malafide link hebben geklikt. En terecht, schaam je. En leer daarna van je fout. Maar goed, om het dus iets minder gênant voor die mensen te maken is daar nu Wout. De politie stelt dat mensen graag op een andere manier in contact willen komen dan alleen via de telefoon of op een politiebureau. “Zeker bij incidenten op het gebied van cybercrime blijkt dat mensen schroom ervaren om hier melding van te doen. Juist bij dit soort zaken zijn meldingen van belang om zo een goed beeld te krijgen van de problematiek”, aldus de woordvoeder van de wouten. Omdat de chatbot gemaakt is op basis van AI zal deze uiteindelijk ook gedegen advies kunnen gaan geven. Ondanks dat wij voorstander zijn van het hebben van alternatieve communicatiekanalen, baart het onderstaande screenshot (en ja dit is serieus) ons enige zorgen. Maar de politie heeft aangegeven dat persoonlijk contact altijd mogelijk zal blijven. Dus dan krijg je een echte Wout aan de lijn.

Is Dieter Puijs betrapt?

Als u naar “haveibeenpwnd.com” gaat dan ziet u meteen of uw gegevens wel eens zijn gelekt. Kans is groot dat dit wel eens is gebeurd, maar dit zal dan een oud e-mail adres zijn ofzo. Niets om u zorgen over te maken. Echter, indien u actief bezoeker bent van de website hookers.nl zoals bijvoorbeeld Dieter Puijs, dan kan het zijn dat u binnenkort in verlegenheid wordt gebracht. Een hacker heeft namelijk accountgegevens van 250.000 gebruikers van het Nederlandse prostitutie forum gestolen, dit ontdekte de NOS na een anonieme tip dat de gegevens online werden aangeboden door een hacker. Ondanks dat de gebruikers anoniem zijn op het forum, worden er wel gegevens zoals e-mailadressen, gebruikersnamen, IP-adressen en wachtwoorden opgeslagen. Dus zo anoniem is het allemaal niet. De data wordt overigens aangeboden voor 273 euro. Nu doen we hier wat lacherig over gezien de aard van het forum, maar dit is wel data waar iemand enorm mee af te persen is, met alle gevolgen van dien. Dus laten we hopen dat het zo’n vaart niet gaat lopen. Inmiddels is het lek gedicht door hookers.nl en zijn de 250.000 gebruikers op de hoogte gesteld.

 

Oliebollen in de Tweede kamer | Uw BSN wordt een digitaal vierkantje

Oliebollen in de Tweede kamer

We gaan deze week even iets nieuws proberen. In tegenstelling tot drie of vier nieuwsberichten omtrent IT security, gaan we meerdere artikelen met elkaar combineren. Zodoende kunnen we goed illustreren hoe alles met elkaar in verband staat. Het lijkt wel een domino day evenement, maar dan elke dag. Er hoeft maar een steentje te vallen en voor je het weet valt er van alles. U zult zo wel merken wat we hiermee bedoelen.

Eerder deze week werd bekend dat er zo’n 900 bedrijven in Nederland zijn die we toch wel met recht dom mogen noemen. Waar gaat dit over? Dit gaat over het gevaarlijke lek in het Fortigate VPN. Deze kwetsbaarheid, vergelijkbaar met die van VPN-dienst Pulse Secure, vormt een ernstig veiligheidsrisico voor bedrijven en instellingen in Nederland. IT-beveiligingsbedrijf ESET Nederland, dat ook het lek bij Pulse Secure ontdekte, kwam tot een lijst van ruim 900 Nederlandse bedrijven die door het lek kwetsbaar zijn. Door  een VPN-netwerk te gebruiken kunnen gebruikers via een veilige verbinding werken op afstand. Echter, de gevonden kwetsbaarheid zorgt ervoor dat kwaadwillende toegang kunnen krijgen tot het netwerk. Dit kan potentieel ervoor zorgen dat ze toegang krijgen tot gevoelige gegevens of dat ze software kunnen installeren op systemen.

Zoals het een goed VPN bedrijf betaamt is er inmiddels al een update uitgerold welke de kwetsbaarheid kan verhelpen. Maar nu komt het pijnlijke. Ondanks dat deze update in mei werd uitgebracht, zijn er nog steeds ongeveer 900 bedrijven die de update niet hebben geïnstalleerd. Ondanks dat er natuurlijk geen bedrijfsnamen vrijgegeven kunnen worden, gaat het hier om ICT-bedrijven, zorginstellingen, onderwijsinstellingen en een beursgenoteerde onderneming. Inmiddels is er melding gemaakt bij het NCSC van de kwetsbare bedrijven. Het NCSC zal vervolgens de betreffende overheidsorganisaties en belangrijke bedrijven zoals energiemaatschappijen waarschuwen.

En zo kwam dit dus ook aan het licht in de tweede kamer, en wel bij de minister van Justitie en Veiligheid; Grapperhaus. Tijdens het mondelinge vragen uur heeft kamerlid Van Raak (SP) toch wel zijn vraagtekens gezet bij het niet doorvoeren van de belangrijke updates door diverse overheidsinstanties. Minister Grapperhaus reageerde hier vervolgens dan weer op met de nu al legendarische uitspraak: “bedrijven die updates uitstellen zijn ongelofelijke oliebollen”. Niks aan gelogen vinden wij, al mocht die bewoording wat ons betreft wel iets heftiger.

Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken”, aldus Grapperhaus.

Uw BSN wordt een digitaal vierkantje

Vanaf maandag 2 augustus 2021 wordt het BSN van paspoorten en identiteitskaarten verwijderd en verplaatst naar een QR code. Deze code zal op de achterzijde van het ID komen en op de houderpagina van paspoorten. Waarom deze wijziging zal worden doorgevoerd is niet helemaal duidelijk. Een argument dat wordt aangedragen is het feit dat je dan bij het kopiëren van je identiteitsdocument, je het BSN niet meer hoeft weg te strepen. Ijzersterk argument twee is dat een beveiligingsbeambte dan zelf niet meer hoeft te controleren of je bent wie je zegt. Dat wordt vanaf dan gedaan door een machine. Men houdt dan simpelweg het document onder een scan apparaat en de douane ziet meteen of het in orde is. Maar zoals altijd met digitalisering, is dit ook niet zonder risico.

QR codes zijn de afgelopen jaren flink in populariteit gestegen. Je kan tegenwoordig ongeveer alles wel met je mobiele apparaat scannen, en het werkt. Mensen zijn gemakswezens en hoe sneller iets gaat des te groter de kans op succes. Maar uiteraard is ook dit niet zonder gevaar. Want dankzij deze ontwikkeling heeft ook de malafide QR code zijn intrede gedaan.

We zien het nu al veel in phishing e-mails. Hackers gaan gebruik maken van QR codes in e-mails waarin ze zich voordoen als een bank. Mensen, naïeve mensen, die scannen de code en voor ze het weten hebben toegang tot je data of, nog erger, de controle over je toestel. Nu heeft dit op zich weinig te maken met je identiteitsdocument, maar dit laat wel zien dat kwaadwillenden opties zien. En laten we niet vergeten dat niet alleen QR codes aangepast kunnen worden, maar dat de scanners zelf ook kunnen worden aangevallen. Mocht dit gebeuren dan kan het zomaar zijn dat al jouw gegevens (via je identiteitskaart) doorgezonden worden naar een partij die dit dan weer doorverkoopt. Om maar even iets te noemen. Kortom, net zoals de autonome auto die we vorige week bespraken, is het nu ook nog maar de vraag in hoeverre dit veilig en succesvol kan worden geïmplementeerd.

 

Zijn wij klaar voor auto-noom? | 30 miljoen mensen op dat kleine Twitteraccountje | Bent u dom geweest door slim te denken?

Buiten is het nat, guur en koud maar gelukkig heeft u iets waar u van binnen warm van wordt en uw hart sneller van gaat kloppen, een nieuwe Rootsec blog! Deze week behandelen we onder andere de gevaren en de toekomst van zelfsturende auto’s, ook wel autonome auto’s. Vervolgens gaan we een stukje vliegen met de welbekende maatschappijen Thai Lion en Malindo Air en landen we in ons eigen kikkerlandje om te kijken wat daar allemaal gebeurt is deze week.

Zijn wij klaar voor auto-noom?

Autonome auto’s, ook wel auto’s zonder de risicofactor “mens” zijn helemaal up-and-coming en, of we nu willen of niet, het gaat er komen. Er zijn inmiddels al meerdere studies verricht welke en masse concluderen dat autonome auto’s tot wel 94% minder ongelukken zullen veroorzaken dan u, de gefrustreerde en file-flirtende bestuurder. En dit kan in potentie dus miljoenen mensenlevens redden in de toekomst. Maar zoals altijd is het allemaal niet zo rooskleurig. Want was het niet in 2017 dat een case study van Charlie Miller en Chris Valasek aantoonden dat het kinderlijk eenvoudig was om de autonome auto te hacken? En dan hebben we het niet over één merk dat zijn zaken niet op orde had, dit betrof Jeep, Ford, Toyota en nog meer grote merken. De hackers waren in staat om de auto acuut te laten remmen op de snelweg. Daarnaast was het ook mogelijk om de besturing van veel auto’s over te nemen. U kunt zelf de gevolgen indenken wanneer dit tijdens de spits zou gebeuren.

Een Jeep van afstand in de sloot gereden

Maar ondanks deze overduidelijke gevaren weten we allemaal dat deze auto’s er gaan komen. Waarom? Omdat er miljarden Dollars geïnvesteerd wordt in onder meer Uber en Tesla die beide dromen van een autonome vloot auto’s. Maar wat gaat zwaarder wegen? Het monetaire element of het security element? Want zoals elke nieuwe techniek is er veel geld aan te verdienen, maar dit op de markt brengen voordat dit door-en-door getest is zal enorme gevolgen hebben. Als wij iets hebben mogen leren van deze blogs dan is het wel dat werkelijk waar alles te hacken is, maar tot op heden bevond dit zich niet op de drukke snelweg. Deze techniek zal een hacker in staat stellen om, in de meest letterlijke zin, met een mensenleven te spelen. En natuurlijk wordt er momenteel veel onderzoek gedaan naar de beveiliging van deze auto’s en ook daar wordt meer geld in gestoken. Maar vraag uzelf eens eerlijk af, verwacht u een incidentloze lancering van de autonome auto’s? En op welke schaal moet dit gebeuren voordat er begrepen wordt hoe gevaarlijk het is waar we over dromen.

 

30 miljoen mensen op dat kleine Twitteraccountje

Ok toegegeven, de luchtvaartmaatschappijen Thai Lion en Malindo Air zijn nou niet de meest in het oog springende maatschappijen. Maar vanaf nu zult u hun naam toch gaan herkennen zeker als we u vertellen dat er maar liefst 30 miljoenen passagiers slachtoffer zijn geworden van dataverlies. De beide maatschappijen zijn onderdeel van de Air Lion Group en twee weken geleden werd nota bene via Twitter bekend dat de gestolen gegevens verkocht werden op het internet. Het ging om namen, adresgegevens, e-mailadressen, telefoonnummers, geboortedatum, paspoortnummers en paspoort verloopdata die in de cloud waren opgeslagen. Inmiddels is bekend geworden dat de data is gestolen door een voormalig werknemer van de e-commerce service providers waar het mee samenwerkt. Inmiddels zijn er experts, nee wij niet, ingeschakeld om de data-infrastructuur en processen onder de loep te nemen. De les die we hier uit leren? Aanvallen komen niet altijd van buitenaf. Nog sterker zelfs, de meest gevaarlijke en succesvolle aanvallen vinden vaak plaats aan de hand van voormalig werknemers. Laat daarom altijd uw systemen op meerdere manieren testen, bijvoorbeeld zowel black box als grey box.

Bent u dom geweest door slim te denken?

Bent u een slim mens en heeft u daarom ook veel slimme apparatuur in uw huis hangen? Het blijkt dat u dan helemaal niet zo slim bent. Natuurlijk horen we al langer berichten over de kwetsbaarheid van veel van deze “smart” devices, maar het houdt ook gewoon echt niet op (niet vanzelf). Ook deze week kwam RTL met de berichtgeving over een lek in zo’n 14.000 beveiligingscamera’s en babyfoons. Deze apparaten van de Chinese merken Apexis en Sumpple waren niet bijzonder lastig om te hacken. De database waarin alle e-mailadressen en wachtwoorden waren opgeslagen was namelijk beveiligd met een wel heel simpel wachtwoord. Hierdoor konden kwaadwillende toegang krijgen en lekker meekijken bij zo’n veertienduizend huishoudens in Nederland. Er werden tevens ook locatiegegevens bewaard voor de camera’s (onversleuteld), dit maakt zo’n lek natuurlijk een natte droom voor elke inbreker. Je houdt gewoon een tijdje de camera in de gaten en als je zeker weet dat er niemand is dan wip je even naar binnen. Hackersgroep The Arcanum Group vond het lek en maakte er in augustus melding van bij Apexis en Sumpple. Toen er geen antwoord kwam, besloot het collectief de media op te zoeken.

Denkt u nu “Ha! ik heb geen beveiligingscamera’s of babyfoons”? Dan moet u toch nog vrezen, want zelfs kinderspeelgoed is niet meer veilig tegenwoordig. Twee speelgoedtanks (de YD-211 RC Tank en de I-Spy Tank) met een camera, die te koop zijn in Nederland, zijn relatief makkelijk te hacken, blijkt uit onderzoek van internetbeveiligingsbedrijf Strict in opdracht van het Agentschap Telecom. Door de slechte beveiliging kan een hacker “kinderlijk eenvoudig” toegang krijgen tot de camera en besturing van het speelgoed. Zo is het WiFi-signaal standaard niet beveiligd met een wachtwoord, waardoor iedereen in de buurt van het apparaat verbinding kan maken. Op die manier kan met de bijbehorende app de besturing over worden genomen en kan de camera worden aangezet. Inmiddels is gebleken dat, door een andere kwetsbaarheid, je hier niet eens de app voor nodig hebt. Kortom, dit weekend maar even een rondje door uw huis lopen op zoek naar spionerende slimme apparatuur.

 

 

 

 

Met z’n allen..! | Penetratietester komt buiten met alle gevolgen van dien | Waarom heb je nog geen respect gegeven op mijn nieuwe profielfoto? | Er kan er maar één de winnaar zijn

Het is 20 september 2019, voor velen geen speciale dag, maar voor u wel. Waarom? Vanwege de nieuwe Rootsec blog natuurlijk! Deze week vertellen we u waarom u liever niet in Ecuador woont, hoe een stel penetratietester fysiek gearresteerd werd, waarom Hyves veel toffer is dan Facebook en ten slotte zien we dat de medische sector een unieke prijs heeft gewonnen.

Met z’n allen..!

We hebben in dit blog al meerdere grote lekken behandeld, dit is niet per definitie nog iets waar u van uw stoel van valt. Maar, wat nou als we u vertellen dat er een database met gegevens over de gehele Ecuadoraanse bevolking publiekelijk bereikbaar was? Dit werd deze week duidelijk na onderzoek van ZDNet. Via de database waren onder meer gegevens te achterhalen van miljoenen Ecuadorianen, van kinderen tot zelfs WikiLeaks-oprichter Julian Assange. Deze laatstgenoemde logeerde een tijdje op de Ecuadoriaanse ambassade in Londen. Onderzoekers van ZDNet, Noam Rotem en Ran Locar, kwamen erachter dat er een server verkeerd was ingesteld. Het resultaat? De gegevens van maar liefst 20.8 miljoen gebruikers op straat. Fun fact? Ecuador telt maar 16.6 miljoen burgers. Het lek is inmiddels (naar zo geclaimd wordt) gedicht, maar de onderzoekers vonden hier onder andere; stambomen van families, thuisadressen, financiële en arbeidsgerelateerde informatie en autoregistraties. De reden dat het lek uiteindelijk relatief snel is gedicht heeft mogelijkerwijs te maken met het feit dat er ook informatie te vinden was over de huidige president van Ecuador.

Penetratietester komt buiten met alle gevolgen van dien

Bij Rootsec zijn wij op dagelijkse basis veel bezig met het uitvoeren van penetratietesten. Hier zijn we erg goed in en daar zijn we trots op. En tijdens de testen komen we nog wel eens wat rare dingen tegen, maar de volgende situatie hebben wij nog niet meegemaakt. In de VS zijn namelijk vorige week twee penetratietesters gearresteerd tijdens het uitvoeren van een fysieke beveiligingstest bij een rechtbank in de staat Iowa. Wat bleek? Er was een klein misverstand ontstaan betreffende welke locaties precies onderdeel zouden zijn van de fysieke beveiligingstest. Lang verhaal kort, de pentesters hebben alles gedaan om ongeautoriseerd toegang te verkrijgen tot digitale gerechtelijke dossiers, maar dat had een alarm bij de rechtbank ten gevolgen. Nadat deze, overduidelijk gemotiveerde, penetratietester op ongetwijfeld subtiele Amerikaanse wijze waren geboeid werd duidelijk dat er “verschillende interpretaties van de reikwijdte van de overeenkomst” waren. Na her en der wat excuses is het allemaal met een sisser afgelopen. Voor de rechtbank is het fijn om te weten dat hun alarmsysteem werkt en ik gok dat de penetratietesters zich voorlopig even bezig gaan houden met opdrachten die uitgevoerd kunnen worden achter de veiligheid van hun computerscherm.

Waarom heb je nog geen respect gegeven op mijn nieuwe profielfoto?

Een tikkie, een krabbel, een dansende banaan en “r&r = r&r back”. Als deze dingen u iets zeggen dan bent u van de Hyves generatie. Nu gaat dit stuk niet daadwerkelijk over waarom Hyves vele malen beter was dan Facebook, maar hebben we toch heugelijk nieuws. Uw profiel staat namelijk nog online! Jazeker, na onderzoek van VPNgids.nl bleek namelijk dat in de archieven van Archive.com nog zo’n 9 miljoen profielen bewaard zijn gebleven. Kent u uw oude gebruikersnaam nog? Dan kunt u hier uw oude profiel bekijken. Dit doet u  door uw gebruikersnaam gevolgd door ‘.hyves.nl’ in te voeren. Ondanks dat het verzamelen van de data op dat moment niet strafbaar was (openbare data), moet Archive.org wel voldoen aan de AVG wet omdat er persoonsgegevens op de profielpagina’s staan. Dus staat uw profiel dieter_playboy69_puijs.hyves.nl nog online en wilt u deze pagina graag laten verwijderen? Dan kunt u schriftelijk vragen om inzage en de verwijdering van persoonsgegevens.

Er kan er maar één de winnaar zijn

Nog even kort naar de zorgsector. Deze week was in het nieuws dat de meeste meldingen (!) van datalekken dit jaar wederom uit de zorgsector kwamen. Met bijna 12.000 meldingen in de eerste helft van het jaar is dit een stijging van liefst 14%. Dat is niet mis. En dat gaat mooi hand in hand bij een bericht dat ons gisteren bereikten. De onderzoeksredactie van Pointer maakte namelijk melding van röntgenfoto’s- en MRI-scans van 25.000 Nederlands die online beschikbaar zijn. Dus dacht u net al uw pikante zelfportretten uit de handen van hackers gehouden te hebben, sta je mogelijk next-level naakt op internet. Het is vooralsnog onduidelijk om welke ziekenhuizen het hier gaat. De scans en röntgenfoto’s stonden op onbeveiligde servers opgeslagen, hierbij werden ook de voor- en achternamen en geboortedatums van patiënten vermeld.

 

 

 

Gebruik angst in uw voordeel | Wanneer mogen ze u ontslaan? | Hier trapt u toch niet in? | Blauwe vogel met schaamrood op zijn kaken

Allereerst mijn welgemeende excuses. Het is een drukke periode voor Rootsec en daarnaast moest uw favoriete blogger helaas ook een bezoekje aan de eerste hulp brengen vanwege een gebroken ledemaat. Vandaar dat u twee weken lang heeft moeten overbruggen zonder onze blog. We hopen dat de afkickverschijnselen meevallen en dat deze dosis aan sappige IT-security gerelateerde informatie het weer een beetje goedmaakt. Deze week staan we onder andere stil bij uw grootste angst, kijken we naar de strafmaat voor het openen van een phishing e-mail en is het “tikkie jij bent hem” van vroeger niet meer wat het ooit was.

Gebruik die angst in uw voordeel

Uit recent onderzoek van Techzine is gebleken dat u redelijk massaal bang bent. En dan hebben we het hier niet over spinnen of enge ziektes, maar over het verlies van data. Ondanks dat, zo bleek uit het onderzoek, 61% van de gevraagde organisaties genoeg mensen in huis heeft om eventuele dreigingen te mitigeren blijkt dat er toch nog veel angst heerst op het gebied van security. De (percentuele) grootste angst is het verlies van data. Maar liefst 16% van alle organisaties begint te zweten bij de gedachte. Daarnaast zijn imagoschade, verlies van klanten en het niet voldoen aan wet-en regelgeving andere populaire angsten bij de IT-beslissers. Natuurlijk zijn deze angsten redelijk direct met elkaar verbonden. Komt je data op straat te liggen dan zal dit al snel een verlies van klanten en imagoschade ten gevolgen hebben. En de kans dat je niet aan wet-en regelgeving voldeed is dan ook best aanwezig. Toch is het opvallend te noemen dat er ondanks alle getroffen maatregelen nog zoveel angst heerst. Maar laten we niet vergeten dat angst ook een waarde heeft. Het zorgt er namelijk voor dat je als organisatie scherp blijft, en dit is erg belangrijk in een wereld waar cybercrime geen moment stil zit. Daarnaast moeten ook wij als IT security partij concluderen dat je simpelweg nooit elk virus, hack of crimineel voor kan zijn. Dus maak daar vrede mee en gebruik je angstzweet vooral om de motor van je securityketen soepel te laten draaien. Een aanval is misschien niet altijd te voorkomen, maar het is wel mogelijk de gevolgen te mitigeren.

Wanneer mag je nou ontslagen worden?

Stel je voor, je heet Dieter Puijs en je hebt op je werk per ongeluk een e-mailbijlage met ransomware geopend. Heel vervelend natuurlijk, want dit heeft nogal wat gevolgen. Maar in hoeverre mag het bedrijf dit op jou verhalen en staan ze in hun recht als ze Dieter op straat zetten? Dit zocht ICT-jurist Arnoud Engelfriet uit na aanleiding van een ontslagen IT-medewerker in de VS na het openen van een besmette e-mailbijlage. Nu werkt de wet-en regelgeving in Nederland gelukkig anders dan in the land of the brave and the free. Eerlijk is eerlijk, je bent wel free als je op straat wordt gezet. Maar als dit in Nederland zou gebeuren dan sta je als bedrijf niet in je recht. Je mag een disfunctionerende werknemer namelijk pas ontslaan als je het nodige hebt gedaan om verandering te brengen in het functioneren van de desbetreffende medewerker. Dus als Dieter eigenlijk altijd zijn werk goed heeft gedaan, en gewoon een beetje pech had met die e-mailbijlage dan mag je hem niet ontslaan. Het enige wat je dan als werkgever kan doen is Dieter op cursus sturen, zodat hij hopelijk minder domme dingen doet in de toekomst. Blijft hij dit echter hardnekkig herhalen in de toekomst, dan is het einde verhaal. Wilt u nou zo’n scenario voorkomen, dan komen wij natuurlijk graag langs om uw medewerkers weer even op scherp te zetten. Bijvoorbeeld middels een awareness training.

“Enkel een besmette bijlage openen -ook al ben je de security officer- zou ik als te weinig zien om dit paardenmiddel (ontslag) in te kunnen zetten”

Tikkie, jij bent je geld kwijt.

“Tikkie, jij bent hem!”, die kreet hoor ik nog wel eens van het schoolplein van de nabijgelegen school komen. Echter, anno 2019 is deze kreet langzamerhand aan het veranderen naar “Tikkie, jij bent de…”. De rest kunt u zelf invullen. Uit recente berichtgeving werd namelijk duidelijk dat er, in de eerste zes maanden van dit jaar, ruim duizend ING-klanten slachtoffer zijn geworden van de Tikkietruc. Hierbij worden verkopers op Marktplaats benaderd door criminelen die zich als koper voordoen. Nadat beide partijen een prijs waren overeengekomen stuurden de criminelen een link naar de verkoper met een betaalverzoek van 0,01 euro om zogenaamd de bankgegevens te controleren. Deze link wees echter naar een phishingsite. Vervolgens probeerden slachtoffers via deze phishingsite de Tikkie-transactie uit te voeren. Dit lukte natuurlijk niet, maar inmiddels hadden de criminelen al alle gegevens die toegang geven tot de rekening van het slachtoffer en sloegen ze hun slag. In totaal werd er voor ruim 100.000 euro buitgemaakt. Maar kindertjes, blijf vooral op het rechte pad en doe dit niet na, want inmiddels zijn er al zes verdachten aangehouden door de politie. Ondanks dat deze mensen wellicht denken ontraceerbaar te zijn, beschikt ook de politie over nieuwere en efficiëntere tools om dit soort criminaliteit tegen te gaan.

De politie laat weten dat de verdachten met de gegevens die slachtoffers invulden hun telefoon aan de rekening van het slachtoffer toevoegden, zodat ze er contactloos op kosten van het slachtoffer mee konden betalen. In eerste instantie richtten de verdachten zich alleen op Android toestellen, maar nadat ING besloot om Apple Pay te ondersteunen zag de politie ook een verschuiving richting iPhones.

Zijn wachtwoord begon met een B

Het zou geen Rootsec blog zijn als we niet nog even een social media bedrijf te kakken zetten. Ditmaal kijken we naar het blauwe tweetende vogeltje. Onderzoekers van Devcore hebben namelijk toegang weten te verkrijgen tot het intranet van Twitter omdat het bedrijf een beschikbare beveiligingsupdate voor een ernstig lek in de gebruikte vpn-oplossing niet had geïnstalleerd. De kwetsbaarheid werd ontdekt door onderzoekers Orange Tsai en Meh Chang. Tsai en Chang hadden gezien dat Twitter van de kwetsbare vpn-oplossing gebruikmaakte. Ze gaven Twitter echter netjes de tijd om de patch te installeren, maar een maand na het uitkomen van de update was die nog steeds niet door het bedrijf uitgerold. Daarop besloten de aanvallers dat de maat vol was en gingen ze in de aanval. Al snel hadden ze toegang tot het intranet van het bedrijf. Daarna gingen ze nog een stapje verder door ook een wachtwoordhash te kraken. Saillant detail, het was het wachtwoord van de manager die uiteindelijk werd gecracked. Binnen drie uur. De onderzoekers hadden verder geen kwaad in de zin en informeerde Twitter waarna ze de hoogste bug bounty van 20.000 dollar van Twitter ontvingen. Laten we hopen dat deze Nederlandse bedrijven inmiddels wel hun vpn-software hebben gepatched.

 

De kern(centrale) van het verhaal..| “Hey Xbox, luister mij niet af” | SMS phishing aan naar 8008

De tijd vliegt, dat mag duidelijk zijn. Zo zitten we alweer bijna in september en houden we inmiddels al 25 weken lang uw aandacht vast met onze blogs. Met deze erbij 26 overigens. Nog bedankt voor de felicitaties vorige met ons blog-jubileum.. Deze week leest u hoe ze in Oekraïne wel hele krachtige computers gebruiken voor het minen van cryptocurrency, luistert uw spelcomputer u af en vindt het kabinet het wel tijd om eens wat aan die godsgruwelijk irritante phishing sms’jes te doen.

De kern(centrale) van het verhaal..

Misschien had u niet verwacht dat we anno september 2019 nog een keer het woord cryptocurrency zouden gebruiken, maar we gaan het er toch even over hebben. Deze week kwam namelijk het nieuws naar buiten, in internationale media vooral, dat ze in Oekraïne momenteel een potentieel beveiligingslek aan het onderzoeken zijn in een kerncentrale. Dat is zeg maar de laatste plek waar je dit wilt moeten onderzoeken want de gevolgen kunnen natuurlijk enorm zijn. Maar het wordt nog pijnlijker. De potentiële (er is nog geen hard bewijs dat er daadwerkelijk een inbreuk is geweest) hackers zijn namelijk naar binnen gekomen via een cryptocurrency mining rig. Dus een stel computers met als enkel doel om bitcoins te minen. Nu is het netwerk van een kerncentrale natuurlijk enorm goed beveiligd, maar wat nou wanneer je deze crypto computers laat verbinden met het interne netwerk van de kerncentrale? Juist ja, je creëert een extra (zwak beveiligde) opening.

Het ding met crypto minen is dat je enorm veel rekenkracht nodig hebt. Feitelijk, hoe meer rekenkracht des te meer je binnen harkt en des te meer je dus kan verdienen. En tja, wat heeft er nou meer rekenkracht dan de systemen van een kerncentrale? Het idee was niet zo gek. Maar zoals vaker, scheelde het nogal aan de uitvoering hier van. Momenteel is de Oekraïense secret service aan het onderzoeken of er daadwerkelijk dingen zijn gelekt zoals bijvoorbeeld informatie over de alarmsystemen van de kerncentrale of andere verdedigingsmechanismes. Dit is overigens niet voor het eerst dat een slimmerik denkt flink te kunnen scoren met crypto. In februari van 2018 werd een Rus gearresteerd omdat ook hij de supercomputer van een kerncentrale gebruikte voor het minen van cryptocurrency. Maandje later viel een Australiër door de boot die de computers van een meteorologisch onderzoeksinstituut gebruikte en weer een maand later was het raak in Roemenië. Het is helemaal waar dat bitcoins lucratief kunnen zijn, maar met een beetje pech ben je zowel je baan als je bitcoins kwijt. Lijkt ons niet de moeite waard.

“Hey Xbox, luister mij niet af”

Speelt u na een drukke werkdag graag een spelletje op de Xbox? Niks mis mee! Maar dan bent u mogelijk wel afgeluisterd. Anonieme bronnen melden dat medewerkers van een onderaannemer van Microsoft audio-opnames van de Xbox hebben beluisterd om zo “de stembediening te verbeteren”. Die haakjes staan er niet voor niets. Dit gebeurde overigens zonder de gebruikers hiervan expliciet op de hoogte te brengen. Het gaat in dit geval om Engelstalige audio die werd opgenomen nadat de gebruiker “Hey Cortana” of ” Xbox on” heeft gezegd. Echter, dezelfde bronnen melden dat er in sommige gevallen ook audio werd opgenomen zonder dat mensen deze woorden hadden uitgesproken. Inmiddels zijn deze koppelingen weggehaald, maar is het nog steeds mogelijk om met je stem je Xbox te bedienen. Nu zullen mensen niet hun diepste en donkerste geheimen delen met hun Xbox, maar dit is wel de zoveelste in een rij van afluisterschandalen. Zo kwamen eerder dit jaar Alexa, Google Assistent en Siri al in het nieuws omdat ook die audio werd beluisterd. Ook vielen Facebook en Skype door de mand vanwege vergelijkbare praktijken. Over een paar maanden komt ongetwijfeld het nieuws naar buiten dat onze eierwekker ons al jaren stiekem filmt. En dan zal ik er weer over bloggen.

 

SMS phishing aan naar 8008

“Beste ING klant, Download nu de nieuwe ING app met vernieuwde certificaten en maak de blits. Log in op mijn ING en volg de stappen”

Dit is een sms’je dat ik twee dagen geleden nog ontving. Inmiddels staat bij mij de teller op 12 phishing berichten die regelrecht naar mijn telefoon worden verzonden. Nu ben ik geen klant van ING, trap ik hier per definitie niet in en wil ik ook ‘de blits niet maken’. Echter is de schaal van deze nieuwe phishing trend zorgwekkend, zo zorgwekkend dat zelfs het Nederlands kabinet zich ermee gaat bemoeien! Het plan van het kabinet is om de ACM, Autoriteit Consument & Markt, meer mogelijkheden te geven om op te treden tegen dit groeiende probleem. Ondanks dat er tegenwoordig veel aandacht is voor hoe je een phishing bericht kan herkennen, gok ik dat de zenders van deze berichten nog best wel wat succes boeken. Spoofing, zoals deze praktijk heet, is bij wet verboden maar lastig te handhaven. Zo kan het ACM in theorie wel achter voor fraude gebruikte telefoonnummers aan kan gaan, maar niet achter een oplichter die de naam van de bank gebruikt. Dit zorgt ervoor dat er op de korte termijn vrijwel niets zal veranderen. Het ministerie van Economische Zaken gaat nu onderzoeken hoe de wet kan worden aangepast om dit probleem aan te pakken. U zult nog wel even geduld moeten uitoefenen, het streven is om in 2020 een wetsvoorstel klaar te hebben. Tegen die tijd vrees ik dat mijn sms inbox vol zit.

 

Hoor nooit meer nee dankzij Whatsapp | Mark zegt wederom oeps | Geef het maar toe, stiekem wilt u ook gehackt worden

Hier zijn we weer met het hoogtepunt van uw werkweek, de Rootsec blog. Net als onze dienstverlening is deze ook straight-to-the-point en legt het, soms beschamende, kwetsbaarheden bloot. Gaat u zodrekt nog lekker aan de VrijMiBo? Dan heeft u na het lezen van deze blog genoeg interessante verhalen te vertellen en zal uw baas verstelt staan van uw kennis over de ontwikkelingen binnen de IT-sec markt. We beginnen deze week met een lek in Whatsapp waar Whatsapp al een jaar lang van op de hoogte was. Vervolgens gaan we naar, bijna vaste klant in deze blog, Facebook en doen we ook Google nog even aan. Het is haast alsof deze blog een bepaald thema bevat..

Hoor nooit meer nee dankzij Whatsapp

Legt u wel eens woorden in de mond van uw partner, collega of vage kennis? Snappen we best, doen wij ook. Maar wat nou als je letterlijk woorden in de mond (of in de telefoon) kan leggen van iemand met wie je een Whatsapp gesprek hebt. Veiligheidsonderzoekers van Check Point Software Technologies (vanaf nu CPST..) ontdekte dat hackers nepberichten kunnen versturen namens gebruikers. Hierdoor lijkt het dus alsof u iets hebt gezegd, wat u nooit heeft verstuurd. Dus wil je die leuke dame of heer mee uit vragen maar ben je bang dat je nee te horen krijgt? Dat is niet langer het geval! Zijn of haar nee, daar maak jij gewoon een ja van. Ok, even serieus weer. De onderzoekers van CPST hebben de volgende drie manieren gevonden waarop de hack uitgevoerd kan worden:

1. Hackers veranderen de tekst van iemand in een groepsgesprek. Dit is dus letterlijk woorden in de mond van het slachtoffer leggen.

2. Hackers veranderen de identiteit van diegene die het originele bericht heeft verstuurd ( of de inhoud van het bericht). Op die manier kunnen ze mensen betichten van het niet nakomen van afspraken (die dus nooit gemaakt zijn).

3. Een hacker stuurt namens jou een privébericht naar een andere deelnemer van het groepsgesprek, maar eigenlijk is het een verkapt groepsbericht. Als het ‘slachtoffer’ dan reageert, is zijn/haar reactie voor iedereen in de groep zichtbaar. Kan nogal gênante situaties opleveren..

De onderzoekers van CPST hebben WhatsApp op de hoogte gebracht van deze kwetsbaarheden. Dit was echter, opvallend genoeg, geen nieuws voor WhatsApp. Deze kwetsbaarheid, welke zich volgens WhatsApp bevindt in het framework, was al bekend en een ieder die dit poogt te exploiteren kan een blokkering verwachten. Wij zeggen niks..

Mark zegt wederom oeps

In een redelijk recente blog, afkomstig van het beste IT-sec bedrijf van Nederland, hebben we al aardig wat aandacht aan Mark Z. en zijn Facebook imperium besteed. Dat het een rommeltje is bij Facebook is geen nieuws meer, verre van. Dat het een enorme doofpot is, is eigenlijk ook geen nieuws meer. Maar toch kunnen we het niet laten om u op de hoogte te brengen van het volgende “oeps” momentje van Mark. In documenten welke in handen zijn gekomen bij Reuters staat namelijk geschreven dat Facebook zich bewust was van de beveiligingsrisico’s van de login-tokens die vorige jaar voor een enorm datalek zorgde. Weet u nog? De 30 miljoen gebruikers die getroffen werden zullen dit nog wel weten. Gedurende de documenten die tijdens de rechtszaak boven tafel kwamen bleek dat Mark wel zijn werknemers heeft gewaarschuwd maar zijn gebruikers niet. Door de kwetsbaarheid konden hackers inlog-tokens stelen en gebruiken om accounts van gebruikers over te nemen. Het is pijnlijk om te lezen dat Facebook zich bewust was van de risico’s maar nul stappen heeft ondernomen om het systeem veiliger te maken. We hebben zo’n vermoeden dat Mark zijn chequeboekje weer tevoorschijn kan gaan toveren.

Geef het maar toe, stiekem wilt u ook gehackt worden

U bent van onze blogs gewend dat we bedrijven op de pijnbank leggen. Dit doen we niet omdat we ons dan de stoerste kinderen van het schoolplein vinden, maar om gewaarwording te creëren onder u, de lezer. Maar soms, heel soms, moeten we ook u de lezer even een spiegel voorhouden. In de eerste maand van Google’s nieuwe extensie ” Password Checkup” zijn er van de 21 miljoen gecontroleerde wachtwoorden 316.000 als “gelekt” bestempeld door de extensie. Over deze nummers kunnen we niet zoveel zeggen nog, laten we de extensie (welke vanaf oktober een vast onderdeel wordt van Google) nog even tijd geven. Maar waar we wel wat over kunnen zeggen is het feit dat slechts 26% (!!) van de gelekte wachtwoorden zijn veranderd door de gebruikers. Dus 74% van u, de gebruikers, heeft een melding ontvangen met “uw wachtwoord is gelekt, verander deze nu” en heeft exact nul actie ondernomen. Wij vragen ons af of deze mensen misschien heel graag een keer gehackt willen worden? Bent u éen van deze mensen? Mogen wij u dan vragen om nog voor de VrijMiBo van start gaat uw wachtwoorden te veranderen? Op deze manier gaan zowel wij als u geruster het weekend in.

 

 

Acuut zomerreces na herhaaldelijk falen van Deloitte? | Intel doet het gewoon nog een keer | Wees niet als Dieter Puijs

Mensen als u en ik klagen met enige regelmaat over waar dat belastinggeld nou precies naar toe gaat. Er is veel onduidelijkheid en inmiddels, na decennia van steen en been klagen, moge het duidelijk zijn dat we het hier nooit over eens gaan worden met elkaar. Maar daar hebben we dus een overheid voor, die het geld uitgeeft aan nuttige projecten waar wij, de burgers, van profiteren. Deze week blijkt echter dat er ook bij de overheid nog wel eens wat projecten in het honderd lopen. Daarnaast moet iedereen die een pc of laptop heeft met een Intel chip van na 2012 zich best wel zorgen maken en maken we kennis met een wel heel brutale manier van cyberaanvallen.

Acuut zomerreces na herhaaldelijk falen van Deloitte?

Maar we beginnen dus bij de ruggengraat van ons land, de Nederlandse overheid. En om specifiek te zijn gaan we even langs bij Minister Cora van Nieuwenhuizen (Infrastructuur en Waterstaat, VVD). Zij heeft namelijk de stekker moeten trekken uit een ICT-project van zes miljoen euro. Dit komt omdat de leverancier, Deloitte, niet in staat was om de afspraken na te komen en te leveren wat er geleverd moest worden. Nu zijn ze in Den Haag wel gewend aan een vertraging her en der, maar zelfs de ambtenaren hebben grenzen. Zo bleek toen Minister van Nieuwenhuizen vorige week aan de Tweede kamer heeft moeten laten weten dat, na herhaaldelijke pogingen, het project helaas heeft moeten stoppen. De software die Deloitte zou leveren ging schuil onder de naam “DigiInhuur”, deze software had de overheid in staat moeten stellen om eenvoudig mensen van buiten de overheid in dienst te kunnen nemen. Helaas bleek er niks eenvoudigs aan dit hele project.

Er was echter in 2015 al aan de alarmbellen getrokken door het BIT (bureau ICT-toetsing). Met leuzen als “het project is in gevaar” en “lage slagingskans” probeerde het BIT de Minister van advies te voorzien. Deloitte beloofde haar echter plechtig dat het allemaal goed zou komen en de deadlines geen problemen zouden opleveren. Inmiddels weten we beter en waar de Minister met de vinger naar Deloitte wijst, wijst Deloitte op zijn beurt naar ontwikkelaar SAP Fieldgass. Dit Amerikaanse bedrijf leverde niet wat Deloitte nodig had en zorgde voor het mislopen van de ene opleveringsdeadline na de andere. De schade is inmiddels aardig opgelopen waar de totale kosten in 2017 nog op 7.8 miljoen euro werden geraamd. Of de Minister bij Deloitte gaat aankloppen voor haar euro’s is nog onduidelijk waar heel politiek Den Haag momenteel geniet van het zomerreces.

Uw wachtwoorden en pikante foto’s liggen mogelijk op straat en daar kunt u niks aan doen

Iemand moet de brenger van slecht nieuws zijn, en we hebben besloten dat wij die rol best op ons willen nemen. Dus ik hoop dat u stevig zit want voor de vierde keer in twee jaar (!) is er een enorm lek ontdekt in alle Intel chips van na 2012. En dit zijn er nogal wat. Laten we zeggen het zijn er miljoenen en dan nog meer. Door een nieuwe fout kunnen hackers de processor voor de gek houden. Dit werd ontdekt door het Roemeense securitybedrijf Bitdefender. Het is voor de cybercriminelen mogelijk om te achterhalen waar data is opgeslagen en vervolgens kunnen ze dit uitlezen. En met data bedoelen we al uw data, van wachtwoord tot pikante foto. Het lek beperkt zich overigens wel enkel tot pc’s en laptops die draaien op Windows. Dus smartphones, tablets en MAC’s blijven buiten schot.

Inmiddels is er stilletjes, u heeft het mogelijk niet eens gemerkt, een update uitgerold om het lek te dichten. Maar het probleem, volgens de experts van Bitdefender, is hiermee niet verholpen. Het is een vinger in een dijk die op barsten staat. Bij het vorige soortgelijke lek werd er ook een update uitgevoerd en twee maanden later was het weer raak. Omdat het lek hardwarematig is is er eigenlijk geen oplossing. Zeker geen oplossing die middels een software update de boel gaat repareren. Het enige dat je effectief kan doen is je processor er uit trekken. Maar dat moet je ook niet willen, want met een processor van voor 2012 ga je weer richting het stenen tijdperk.

Aanvallers maken gebruik van Westerse consumptiecultuur

Bestelt u wel eens iets online? Dat dacht ik al. Zo ook, Dieter Puijs. En hij kwam met een wel heel opmerkelijk verhaal. Onze Dieter had wat besteld op een niet nader te benoemen website. Hij was door het dolle heen toen zijn pakketje binnen kwam maar moest op dat moment helaas net de deur uit omdat zijn AA meeting begon. Wat Dieter echter niet door had was dat dit pakketje daadwerkelijk een tastbare cyberaanval was. Deze nieuwe aanvalsmethode, genaamd Warshipping, bevat een kleine computer met behulp van Rasberry Pi, een modem en een batterij. Op het moment dat het pakketje aankomt bij het doelobject probeert de minicomputer in te breken op het lokale netwerk. Dit pakketje heeft genoeg rekenkracht om het wifi-wachtwoord te kraken. Hierna is het vrij spel voor de aanvaller die zich op veilige afstand bevindt. Kortom, wees niet zoals Dieter en wees extra op uw hoede wanneer u een pakketje ontvangt.

1 tegen 100 miljoen | Voor $15.000 de rest van je leven vast? | Universiteit Utrecht valt wederom door de mand

We kunnen er niet omheen, dus ook wij gaan het hier nog even over de Capital One hack hebben. Laten we wel wezen, een hack waarbij 100 miljoen accounts betrokken zijn verdient onze aandacht. Vervolgens blijven we nog even in Amerika omdat daar een man een phishing aanval uitvoerde via het e-mail account van het hooggerechtshof in Los Angeles. Deze aanval betrof dan misschien geen 100 miljoen accounts, maar hij wist toch een flinke bak schade te berokkenen. We sluiten de week af met een gevalletje ‘knullig data opslaan’ in onze mooie Domstad.

Now pa(i)ging Ms. Thompson

Capital One, een van de grootste Amerikaanse banken, is getroffen door een hack waarbij gegevens van ruim honderd miljoen (!) klanten gestolen zijn. Welk collectief of organisatie hier achter zit? Een dame genaamd Paige A. Thompson, woonachtig in Seattle en met de mooie leeftijd van 33. Nu zullen wij nooit een hack goedpraten, waar het gewoon misdaad is. Maar op het moment dat je leest dat een individu zo ontzettend veel schade kan aanrichten, dan krab je jezelf toch even achter de oren. Zo ook wij. Mevrouw Thompson maakte sinds eind maart dankbaar gebruik van een slecht ingestelde firewall om zichzelf toegang te verlenen tot gevoelige data zoals creditcardgegevens, burgerservice- en bankrekeningnummers. Alhoewel het gerucht gaat dat er wel degelijk veel meer is bemachtigd.

Capital One kwam er half juli achter dat er een kwetsbaarheid zat in de configuratie van de infrastructuur. Ze geven zichzelf een digitaal schouderklopje door te zeggen dat ze de fout “heel snel hadden opgelost”. Ja nadat 100 miljoen accounts gecompromitteerd waren. Weinig om trots op te zijn. Het onderzoek loopt nog maar er zijn geen redenen om te geloven dat Mevrouw Thompson de gegevens heeft verspreid of misbruikt. Tegelijkertijd werd echter ook duidelijk dat de hacker weinig moeite deed om haar daad geheim te houden. Zo publiceerde ze delen van de gehackte data op GitHub en stuurde ze privéberichten via Slack en Twitter waarin ze duidelijk maakte dat ze wel degelijk van plan was om de hele boel te publiceren. Het moge duidelijk zijn dat de hacker inmiddels is opgepakt door de FBI en ze niet snel op vrije voeten zal staan. Wij vragen ons echter voornamelijk af of Paige inderdaad, voor haar arrestatie, de gegevens nog heeft verkocht of heeft gepubliceerd. Dit krijgt ongetwijfeld nog een vervolg.

 

$15.000 gedeeld door vier is..?

Nieuwe week, nieuwe phishingaanval. We begrijpen dat u, de lezer, er inmiddels wel een beetje klaar mee bent. Daarom hebben we besloten om alleen nog maar de creatieve(re) aanvallen uit te lichten. En de volgende trok toch wel onze aandacht. Een Amerikaanse man kreeg het namelijk voor elkaar om twee miljoen phishingmails te verzenden via het computersysteem van het hooggerechtshof. Samen met enkele handlangers nam de man het e-mailaccount van een medewerker van de rechtbank over. Dit adres gebruikte hij vervolgens om mails naar andere medewerkers te sturen. Deze phishing e-mail leverde uiteindelijk toegang op tot honderden accounts van de medewerkers. De laatste stap was het gebruiken van deze accounts om twee miljoen phishing e-mails te verzenden om zodoende bankgegevens en persoonlijke informatie te verkrijgen. Het resultaat van deze, vooral zeer gedurfde, aanval? $15.000 hele Dollars. Dit moest hij vervolgens ook nog delen met zijn handlangers. Dus waar deze hele actie hem een paar duizend dollar opleverde, kostte het hem veel meer. Er staat hem namelijk een maximale celstraf van 350 jaar te wachten. Was it worth it? Wij denken van niet. Wilt u weten waar uw organisatie staat? Rootsec voert momenteel gratis phishing simulaties uit. U kunt zich hier aanmelden. (Kies voor de optie “gratis phishing test aanvragen”)

 

Domstad, stad van de domme Universiteit?

Dat Utrecht de mooiste stad van Nederland is, dat weet iedereen. Er staat ook een Universiteit die over het algemeen aardig scoort, maar de IT-afdeling scoorde toch even iets lager van de week. Via een e-mail die werd rondgestuurd door de Universiteit kwam namelijk naar voren dat studenten die een gastaccount hebben gebruikt om in te loggen al hun persoonlijke gegevens vrij gaven. Deze werden namelijk onversleuteld opgeslagen.Het betrof de volledige naam, de adresgegevens, de geboortedatum, het e-mailadres, het geslacht, het telefoonnummer en een persoonlijk wachtwoord. De Universiteit acht de kans zeer klein dat de baliemedewerkers in hun vrije tijd gegevens verkopen op het darkweb, dus zeggen dat er geen reden voor alarm is. Het zorgwekkende is dat dit het tweede lek deze week is bij de Universiteit Utrecht. Eerder werd bekend dat een database met gegevens van gepromoveerde studenten openbaar was. Maar, studeer jij op de uni van Utrecht of ga je daar binnenkort beginnen? Vrees dan niet, want de Universiteit kwam met dit geruststellende statement.

De universiteit verwacht voor het begin van het nieuwe studiejaar in september een vervangend, veilig systeem klaar te hebben

We hopen dat het zo is, want drie keer is in deze absoluut geen scheepsrecht. Misschien dat de Universiteit wel geholpen is met wat ondersteuning? In dat geval staat Rootsec natuurlijk klaar met raad en daad!

Geef hackers geen kans

Laat uw systemen beveiligen door Rootsec

Neem Contact Op

Boek uw gratis
cyber security consult!

Geheel vrijblijvend uw problemen of vragen bespreken? Dat kan bij Rootsec!

Maak uw afspraak