Door de ogen van ethische hackers: Het Citrix-datalek

Twee weken geleden schreef ik over de aanval op de Universiteit Maastricht in de vorm van een timeline. Anders gezegd, een chronologisch overzicht van alles wat er gebeurde en bovenal wat er allemaal fout ging. Deze blog werd, zo zagen wij aan de statistieken, bijzonder goed ontvangen. Logisch dat ik dit daarom graag nog een keer doe, maar dan moet er wel iets soortgelijks gebeuren. En jawel hoor, zo geschiedde. U voelt hem al aankomen, deze week in de blog, alles over het beveiligingslek in de Citrix-servers.

Citrix-datalek – de eerste berichten

Het is donderdag 9 januari 10:47 wanneer er een relatief onschuldig bericht wordt gepubliceerd door security.nl. Er zouden kwetsbaarheden gevonden zijn in Citrix-servers en, belangrijker, aanvallers zouden actief aan het zoeken zijn naar bedrijven waarbij dit het geval is. Want, op dat moment is er nog geen beveiligingsupdate beschikbaar om de boel te beschermen. “Ook bedrijven in Nederland zouden risico lopen”, wordt er geschreven. Voor de techneuten onder u, de kwetsbaarheid bevindt zich in de Citrix Application Delivery Controller (ADC) en Citrix Gateway. U mag dit vergeten of u mag nu heel hard “oh shit” roepen, afhankelijk van waar uw hart sneller van gaat kloppen. Via het beveiligingslek is het mogelijk voor een aanvaller om op afstand willekeurige code op het systeem uit te voeren. Foute boel. Zo’n foute boel dat de kwetsbaarheid is beoordeeld met een 9,8 op een schaal van 10 wanneer het om “ernst van” gaat. Her en der gaan nu toch wel alarmbellen klinken want zo zou het ook om 3700 Nederlandse bedrijven gaan. Vanuit allerlei kampen op Twitter wordt inmiddels bevestigd dat aanvallers een exploit hebben ontwikkeld, dubbel foute boel.

Gedurende het weekend wordt er steeds meer bekend over het lek en lijkt het toch langzamerhand een wereldwijde impact te gaan hebben. Van Citrix zelf is er op dat moment nog weinig vernomen afgezien van het standaard “We weten het, en werken eraan”. Mensen die er verstand van hebben komen ondertussen met een tijdelijke oplossing in afwachting van de beveiligingsupdate. zo kunnen organisaties wel de speciaal geprepareerde requests blokkeren waarmee de aanval is uit te voeren. We nemen een stapje naar maandag 13 januari. Onderzoekers hebben hun weekend goed besteed en komen met de melding dat honderden Nederlandse Citrix-servers kwetsbaar zijn voor aanvallen. Wereldwijd wordt op dat moment gesproken over ruim 25.000 servers waaronder Fortune-500 bedrijven, overheidsinstanties, banken, ziekenhuizen en energiemaatschappijen. Langzamerhand begint de realisatie te komen dat er wel echt maatregelen getroffen moeten worden. Maar dan is het eigenlijk al te laat.

Eerste Nederlandse organisaties getroffen door Citrix-datalek

Op woensdag 15 januari komt de eerste berichtgeving over een Citrix aanval in Nederland. Het doelwit is het Medisch Centrum Leeuwarden, MCL, één van de grootste ziekenhuizen van Nederland. Zij hebben als gevolg van de aanval op de Citrix-servers al het dataverkeer met de buitenwereld per direct afgesloten. Hierdoor kunnen patiënten niet bij hun elektronisch patiëntendossier en hindert dit ook het dataverkeer met andere ziekenhuizen. Door het volledig afsluiten van al het dataverkeer willen ze voorkomen dat aanvallers bij het interne netwerk terecht kunnen komen.

Diezelfde dag, een paar uur later, is het de beurt aan de gemeente Zutphen. Ook zij zijn slachtoffer geweest van een aanval op de Citrix-servers. Het opvallende hieraan is dat de gemeente met het volgende statement komt: “Wij hebben maandag nog een kwetsbaarheid in het netwerk gerepareerd, en de inbraak heeft dinsdag plaatsgevonden”. Kortom, zij hebben de mitigatiemaatregelen, welke door Citrix naar buiten zijn gebracht als tijdelijke oplossing, uitgevoerd. Overigens, niet geheel relevant maar toch, de gemeente Zutphen maakte op dat moment ook nog gebruik van computers met Windows 7 waar geen beveiligingsupdates meer voor worden gegeven. Om hoeveel computers het gaat wil de gemeente vooralsnog niet kwijt. Maar één  is er al één teveel.

Gemeente Amsterdam heeft zo haar eigen idee hierover..

Dan volgt nu een opvallende uitspraak van Touria Meliani, woordvoerder van de verantwoordelijke wethouder voor de gemeente Amsterdam op het gebied van ICT. Onthoud hierbij dat het dus inmiddels bekend is dat ongeveer iedereen met Citrix-servers kwetsbaar is en dat er in Zutphen en Leeuwarden al aanvallen zijn geweest. Zij claimt, uit naam van die wethouder dus, dat er bij de gemeente Amsterdam geen zorgen zijn want:

“In december is er meteen een update vanwege het beveiligingslek gedaan.”

Dus, overal om je heen zie je aanvallen. Citrix komt met de berichtgeving dat het momenteel nog geen beveiligingsupdates heeft die werken, enkel die hierboven genoemde mitigatiemaatregel en alsnog claim je dat je wel veilig bent want je hebt in december een update gedaan. We zullen eerlijk met u zijn. Als Rootsec zijnde viel onze mond hier toch wel wat van open. De woordvoerder gaat vervolgens verder door te zeggen dat het systeem van de gemeente “op dit punt niet gehackt kan worden”. Wellicht niet de handigste uitspraak in de wetenschap dat hackers actief op zoek zijn naar slachtoffers.

Tijdelijke oplossing blijkt geen oplossing

Afgelopen nacht, 00:43, komt het bericht waar iedereen al bang voor was. De maatregelen, welke door Citrix naar voren werden geschoven als tijdelijke oplossing, werken lang niet altijd. Hiervoor waarschuwt het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid. De vrees is dat er de komende tijd nog veel meer aanvallen naar voren zullen komen. Beveiligingsbedrijf Fox-IT kwam namelijk nog met het bericht dat er deze week een “gigantische piek in aanvallen te zien was”. Dit wordt ook bevestigd door het NCSC.

Het is vandaag 17 januari 2020. U bent aan het einde gekomen van deze blog maar we zijn nog lang niet aan het einde van dit verhaal. Citrix kwam vandaag namelijk met een update over de beveiligingsupdate. Voor Citrix ADC en Citrix Gateway versie 11.1 en 12.0 zouden de updates op 20 januari moeten verschijnen. Voor versies 12.1 en 13.0 staat de update voor 27 januari gepland. Tot die tijd lijken hackers vrij spel te hebben en kunnen bedrijven maar weinig uitrichten ter preventie. Het enige dat er gedaan kan worden is het updaten (of herinstalleren) van de software naar een versie waarbij de door Citrix vrijgegeven workaround wel werkt. Als Rootsec zijnde hopen we dat elke organisatie die dit leest en gebruik maakt van Citrix, dit per direct doet. Of eigenlijk, al lang heeft gedaan.

En dit vinden wij ervan

Wat wij er verder van vinden? Want daarom leest u dit, om onze mening te horen. Wij denken dat Citrix het lek, alsmede hun vermogen om het snel te repareren, heeft onderschat. Als je naar de feiten kijkt waren ze bij Citrix op de hoogte van het lek maar bleef een werkende beveiligingsupdate uit. Het enige dat ze gaven was een workaround. Iets wat, althans zo is onze ervaring, nooit volledig alle gaten dicht. En zo bleek ook nu. Kortom Citrix kwam te laat met de verkeerde maatregelen. Natuurlijk is dit achteraf makkelijk praten, maar wij hadden liever gezien dat Citrix meteen had gecommuniceerd “Sorry,  onze servers zijn momenteel heel kwetsbaar en we hebben reden om te geloven dat het binnenkort flink misbruikt gaat worden, haal daarom per direct uw Citrix systemen offline”. Dit is een zeer ingrijpende maatregel, dat begrijpen we. Maar op dat moment was dat de enige oplossing die 100% zou voorkomen dat bedrijven en organisaties, zoals het MCL en de gemeente Zutphen, aangevallen zouden worden. Waarna ze overigens alsnog de boel offline moesten gooien. Oh en de gemeente Amsterdam? Die hebben na hun eerdere “wij zijn onaantastbaar” toch ook maar de systemen op offline gezet. Laten we voor ze hopen dat het niet te laat was. Wordt vervolgd!

 

Gratis telefoon? | Universiteit Maastricht leert les | Ook GWX slachtoffer

Heeft u de eerste volledige werkweek weten te overleven? En heeft u al de hele week halsreikend uitgekeken naar een nieuwe Rootsec blog? Dat is dan mooi, want hier zijn we weer. Dit jaar zijn we overigens voornemens om met meer te komen dan enkel een wekelijkse blog, daarover later meer. Maar als u daarvan op de hoogte wilt blijven dan raad ik u aan om ons te volgen. Over tot de orde van de dag, waar gaan we het over hebben? Nou onder meer over de gratis telefoons vol met malware die de Amerikaanse overheid uitdeelt en behandelen we de ransomware aanval bij GWX Travelex.

Gratis telefoon met malware voor iedereen

Wanneer ik mensen over een gratis telefoon hoor praten dan leg ik toch al snel de link met loverboys. Nou wil ik de Amerikaanse president Trump niet per definitie een loverboy noemen, maar toch, grab them by the enzo. Waar ik heen wil met deze rare inleiding? Amerikaanse huishoudens met een laag inkomen kunnen een gratis Android telefoon bij hun telecomprovider aanvragen. Het gaat hier om de UMX U686CL die verkrijgbaar is via Assurance Wireless, onderdeel van Virgin Mobile USA. Dit klinkt natuurlijk als een mooi gebaar ware het niet dat het ding propvol met vooraf geïnstalleerde malware staat. Volgens Malwarebytes, die de telefoon onderzochten, zijn verschillende apps op het toestel kwaadaardig. Zo is de app die het besturingssysteem van updates voorziet, genaamd Wireless Update, geïnfecteerd met malware.  Zodoende kan de app zonder toestemming aanvullende apps op het toestel installeren.

Dit is op z’n zachts gezegd niet best, maar daar houdt het niet op. Zelfs de “settings” app op de telefoon is besmet en wordt door Malwarebytes omschreven als een “Trojan Dropper”. De app deelt allerlei code met andere Trojan Droppers die al eerder zijn ontdekt. Nog een fijn saillant detail, het is onmogelijk om deze applicatie te verwijderen van de telefoon. De Wireless Update app is eventueel wel te verwijderen maar dan loopt de gebruiker het risico dat de telefoon geen belangrijke beveiligingsupdates meer ontvangt en daar wordt je telefoon nou ook niet veiliger van. Het is vooralsnog onduidelijk of de Chinese fabrikant op de hoogte is van het feit dat de malware standaard op telefoons wordt meegeleverd. Een reactie blijft vooralsnog uit. Zou het dan toch kloppen dat niets écht gratis is?

Eindelijk een echte les geleerd op Universiteit Maastricht

Vorige week hebben we een volledige blog stilgestaan bij de ransomware-infectie van de Universiteit Maastricht. Inmiddels zijn alle problemen opgelost en werken de systemen weer. Echter kwamen ze gisteren met een opvallend statement. Zo zijn ze voornemens om de lessen die het naar aanleiding van de aanval heeft geleerd openbaar te maken.

“De UM verwacht over enkele weken de lessen die zijn geleerd naar aanleiding van de inbreuk op de computersystemen wereldkundig te kunnen maken. Ten behoeve van onszelf, maar ook van de academische collega’s en andere betrokkenen. En ook richting de media”

Het zal ook dan zijn dat de Universiteit Maastricht antwoord zal geven op vragen waar het voorheen geen antwoord op kon geven. De vraag die natuurlijk op iedereens lippen ligt is “is er losgeld betaald aan de aanvallers?”. Hier is vooralsnog namelijk geen duidelijk antwoord op gegeven ondanks dat het Universiteitsblad Observant wist te vermelden dat het om enkele tonnen ging. De verwachting is dat dit alles zal plaatsvinden op 6 februari. Als Rootsec zijnde vinden we dit een goede stap. Zodoende zeg je niet enkel “wij hebben fouten gemaakt en ervan geleerd” maar geef je anderen ook de nodige lesstof en wie weet waar dit in de toekomst nog voor kan dienen.

Ook GWX kan drie keer niks

Geldwisselaar GWX Travelex is slachtoffer geworden van ransomware en datadiefstal. Dit lijkt een beetje het thema van dit jaar te worden, maar goed. Op 31 december werd het bedrijf getroffen door ransomware waardoor er geen transacties via de online platformen konden worden uitgevoerd. In een eerste verklaring van Travelex sprak men over “IT-problemen” (niks aan gelogen). In een latere verklaring gaven ze de malware-aanval wel toe. GWX is besmet met de Sodinikibi ransomware. Volgens beveiligingsonderzoeker Kevin Beaumont zijn de aanvallers binnengekomen via een Pulse Secure vpn-servers die het bedrijf niet had gepatcht. De daders hebben laten weten dat ze het gehele netwerk hebben versleuteld en daarnaast ook 5GB aan persoonlijke data buit hebben gemaakt. De eis is 3 miljoen dollar om de boel weer te ontgrendelen. Maar nu komt het pijnlijke aan dit hele verhaal. GWX Travelex was namelijk in september van het vorige jaar al gewaarschuwd over het lek in hun vpn-servers. Er verscheen overigens al een beveiligingsupdate voor de kwetsbaarheid in april. Tijd genoeg om de boel even te updaten zou je toch zeggen.

Wij hebben, als Rootsec, wel eens de opmerking gehad van een klant dat hij onze aanbevelingen op het gebied van update-beleid maar overdreven vond. Deze week werd weer op pijnlijke wijze waarom wij tijdens het uitvoeren van onze penetratietesten ook heel erg letten op in hoeverre alles geüpdatet is. Bent u nu wel benieuwd (mogelijk een beetje angstig) geworden over de staat van uw eigen servers, software en hardware? Neem dan contact op en let uw omgeving testen.

Hackaanval Universiteit Maastricht door de ogen van ethische hackers

Het is 24 december 2019, die dag voor kerst waarop normaal gesproken niemand meer echt werkt. Fysiek zijn er nog mensen aanwezig maar iedereen zit toch vooral met zijn of haar hoofd bij het kerstmaal, waar je het de hele dag met je schoonfamilie over moet gaan hebben op tweede kerstdag en welke Netflix serie je gaat bingen tijdens de derde kerstdag. En zo hoort het. Maar helaas moesten medewerkers van de Universiteit Maastricht vlak voor kerst harder werken dan het gehele jaar daarvoor. De reden? Een complexe en vooral massale ransomware-infectie.

Hackaanval Universiteit Maastricht – 24 december, 18:39.

We gaan terug naar diezelfde dinsdag 24 december als rond het avonduur de eerste berichtgeving binnenstroomt. “Computersystemen van de Universiteit Maastricht zijn vanmiddag met ransomware besmet geraakt. Bijna alle Windows-systemen zijn geraakt en e-mail is niet te gebruiken” aldus de Universiteit zelf op hun eigen website. Op dat moment is nog onduidelijk hoe de hackers toegang hebben gekregen tot de systemen. Enkele uren later meldt de NOS dat de systemen besmet zijn geraakt met de Clop-ransomware. Een vorm van malware waarmee eerder een Frans Ziekenhuis en de Universiteit van Antwerpen werd platgelegd. Omdat het hier om een Universiteit draait is het meest waardevolle waar de hackers eventueel toegang tot zouden hebben de wetenschappelijke data van de onderzoekers. De woordvoerder van de UM claimt dat deze data extra beveiligd is.

25 december, dag 2. Inmiddels is duidelijk geworden dat de aanval nogal allesomvattend is en studenten beginnen hun ongenoegen te uiten op social media. Niet vanwege de aanval zelf, maar vanwege het gebrek aan communicatie vanuit de Universiteit.

“Buiten een berichtje op de Facebookpagina van de UM krijgen we niks te horen. We hebben geen idee wat we moeten”, zo stelt een andere student, die over twintig dagen een thesis moet inleveren en geen toegang tot zijn materiaal heeft. “De website van de bibliotheek, waar alles staat wat ik nodig heb, ligt eruit.”

Inmiddels is ook bekend gemaakt dat er gesprekken zijn geweest met de aanvallers. Dit komt omdat die wetenschappelijke data die ‘extra beveiligd’ was, toch niet zo goed beveiligd bleek te zijn. De universiteit heeft toegang verloren tot veel van deze data en is nu in gesprek met de aanvallers. U kunt zelf uw conclusie trekken.

Ransomware infecteerde het gehele netwerk

Dan komt de NOS op 29 december met de melding dat er een grote kans bestaat dat de systemen nog altijd offline zullen zijn na de kerstvakantie en dat er nog maar weinig progressie is geboekt. Een team van 25 IT-specialisten werken dag en nacht om de boel weer onder controle te krijgen maar dit blijkt weinig effectief te zijn. De Clop-ransomware die treft namelijk niet een computer maar het gehele netwerk. In het geval van een universiteit kunnen dit al snel meer dan 600 IT-systemen zijn. Daarnaast vermoeden cybersecurity-experts ook dat de back-up systemen zijn getroffen door de ransomware waardoor herstelbestanden niet meer beschikbaar zijn. Inmiddels is ook duidelijk geworden dat de infectie is begonnen bij, trommelgeroffel, een phishing e-mail. Op het moment dat de hackers een account zagen waaruit duidelijk werd dat het een medewerker van de universiteit was, werd het natuurlijk een stuk interessanter. Ze zijn vervolgens handmatig te werk gegaan en zodoende hebben ze de Clop-ransomware weten te verspreiden.

Het is vandaag 6 januari 2020, gelukkig nieuwjaar trouwens, en de problemen zijn nog steeds niet volledig verholpen. Maar het lijkt er sterk op dat de UM heeft voldaan aan de betaling van losgeld. Althans dat meldt het Maastrichtse universiteitsblad Observant op basis van ‘goed ingevoerde bronnen’ binnen de universiteit. De onderwijsinstelling zelf doet hierover geen mededelingen. Uiteindelijk heeft de betaling plaatsgevonden omdat de aanvallers waarschijnlijk toch toegang hadden tot die waardevolle onderzoeksdata.

“Als wetenschappers jarenlang onderzoek hebben gedaan en waardevolle resultaten hebben geboekt, dan wil je die data natuurlijk niet kwijtraken”

De systemen komen inmiddels langzamerhand weer online en ondanks dat de studenten nog altijd geen toegang hebben tot hun Exchange omgeving wordt er aan de achterkant hard gewerkt om alles weer operationeel te krijgen.

Vanuit onze optiek…

Waarom we als Rootsec zijnde kozen om juist met deze blog het jaar te beginnen? Omdat het een heel goed en bovenal actueel voorbeeld is van de tijd waarin we leven en de gevaren waar we mee te maken hebben en nog veel meer gaan krijgen. Laat dit voor u als lezer dan ook een wake-up call zijn. Word wakker uit uw kerstslaapje en besef dat u zomaar de volgende kunt zijn. Wist u dat u met een Vulnerability Assessment al heel snel inzichtelijk hebt hoe vatbaar u bent voor een aanval als deze? Als de UM deze had laten uitvoeren dan had Rootsec, onder andere, de volgende waarschuwingen gegeven:

  • Segmenteer jullie netwerk. Het gevaar van een plat netwerk, zoals bij de UM, is dat een aanvaller toegang heeft tot alle data;
  • Limiteer het aantal accounts met beheersrechten. Hoe meer van dit soort accounts des te groter de kans dat ze in verkeerde handen vallen;
  • Vergroot het besef onder medewerkers. Universiteiten zijn de laatste tijd een zeer interessant doelobject. Laat uw personeel regelmatig deelnemen aan awareness trainingen.

Dit zijn slechts enkele aanbevelingen welke kunnen voortvloeien uit een Vulnerability assessment of Penetratietest. Wilt u 2020 goed beginnen met het oog op IT-security? Woon dan ons gratis seminar “Informatiebeveiliging versimpeld” bij op 28 januari.

On the first day of Christmas my IT-friend gave to me..?

Het is vandaag 20 december 2019. Een dag waar veel mensen naar uit hebben gekeken, want voor velen van u is dit de dag dat de vakantie begint. Het is officieel nog een werkdag maar wie werkt er nou echt nog vandaag? De kerstmuziek schalmt door de werkruimte en zelfs die chagrijnige collega van accounting heeft een lach op zijn gezicht. De meisjes van marketing hebben allemaal een foute kersttrui aan en jij als IT-er? Jij bent gewoon blij dat je nog even een Rootsec blog kan lezen.Een moment van rust, zogezegd de stilte voor de storm. Want waar we het vakantie noemen, is iedereen over het algemeen toch erg druk de aankomende dagen. Familie, eten, vrienden, eten, schoonfamilie, eten, eten en dan oud en nieuw. Heel leuk, maar vaak betekent dit ook het moeten aanschaffen van cadeaus. En daar heb je natuurlijk bijzonder weinig zin in. Dus dachten wij van Rootsec, laten wij jullie nog een laatste keer helpen dit jaar, met de beste cadeaus die u als IT-er kunt geven aan die familieleden die jou altijd bellen als hun computer ‘gek doet’.

Backup-schijven

Laten we beginnen met een goede backup-schijf. Hoe vaak heeft u het afgelopen jaar te maken gehad met mensen die hun data kwijt waren en u verwachtingsvol aankeken zo van ‘haal jij dat even terug?’. U en ik weten dat het niet mogelijk is, en waar het nog wel mogelijk is, het gewoon veel moeite kost. En dat heb je simpelweg niet over voor je tante Corry die je twee keer per jaar ziet en elke kerst sokken voor je koopt. Dus dit jaar maak je tante Corry blij met een back-up-schijf. Harde schijven worden tegenwoordig ook steeds vaker voorzien van software die automatisch een back-up maakt wanneer de harde schijf wordt ingeplugd. Dus Corry hoeft zich geen zorgen meer te maken dat de foto’s van de vakantie in dat all-inclusive resort in Antalya verloren gaan. Stel je voor.

Privacy filter

Is ome Harry voor zijn werk veel op reis en klaagt hij altijd merg en been over het feit dat iedereen op zijn scherm aan het meekijken is? Dan heeft Harry iets te verbergen. Maar daar is iets aan te doen. Geef hem dit jaar een privacyfilter. Dit voorkomt dat nieuwsgierige vreemden kunnen zien wat er op het scherm staat. Dit is zeer handig voor mensen die dus veel op reis zijn voor hun werk. Wel even aan ome Harry uitleggen dat een privacy filter je beeldscherm niet onzichtbaar maakt voor anderen, dus tante Corry kan nog steeds zien wat hij uitspookt.

Draagbare batterijopladers

Dan heb je natuurlijk nog dat neefje van je, Dietertje. Die is nooit tevreden met de twintig cadeaus die hij jaarlijks in ontvangst mag nemen, maar dit jaar gaat u daar verandering in brengen. Want zit Dietertje de hele dag Pokemon Go te spelen op zijn telefoon of krijgt hij geen genoeg van Fortnite op de laptop? Dan is een draagbare batterijoplader het cadeau dat u zijn favoriete persoon in de hele wereld gaat maken. De vraag is of u dat wilt, maar hoe meer dat jong kan gamen des te minder herrie hij maakt. Misschien de investering wel waard.

Laptop en telefoon tracking software

Is dat nichtje van u al vier keer haar gloednieuwe Apple telefoon verloren en krijst ze moord en brand als ze een dag geen selfies kan maken of Instagram kan checken? (Want laten we wel wezen, het echte leven speelt zich daar af). Dan is tracking software voor de devices van uw nichtje misschien wel een goed idee. Ondanks dat de benaming hiervan wat pervers klinkt, zeker in combinatie met nichtje, zorgt deze software er simpelweg voor dat je de locatie van laptop of telefoon kan achterhalen en zelfs je systeem van een afstand kan afsluiten. En heb je veel te verbergen? Dan kan je zelfs van een afstandje data verwijderen. Puur vanuit journalistieke interesse heb ik zelf even onderzoek gedaan, en er bestaat ook gratis software.

30 minuten van uw tijd

Dan onze absolute favoriet. U ontkomt er simpelweg niet aan als IT-er. Is de printer kapot, internet weg of komt er rook uit de iPad van oma? Ze bellen u. Waarom gebruikt u dit niet in uw voordeel en gaat u tijdens de aankomende kerst gewoon coupons uitdelen voor een half uur van uw tijd. Gedurende deze 30 minuten mogen ze u alles vragen, helpt u ze en luistert u naar de problemen. Tijd voorbij? Gewoon ophangen. Je bent tenslotte geen helpdesk. Ongetwijfeld bent u niet te beroerd om de mensen die u graag mag te helpen, maar een coupon als deze werkt ook goed als grap natuurlijk. Maar dan wel een grap met een stille hint als ondertoon.

Dames en heren, dat was het dan. De laatste blog van 2019. Ik heb er dit jaar in totaal 45 mogen schrijven en ik hoop dat u ze met plezier heeft gelezen en er misschien soms nog wel eens wat van op heeft gestoken. We zijn voornemens om dit volgend jaar gewoon te vervolgen en uiteraard hoop ik ook dan u weer als lezer te mogen verwelkomen. Maar voor nu wens ik u, namens het gehele team van Rootsec, fijne dagen en een spectaculair begin van 2020.

 

 

 

 

 

Met de pet naar de cookiewet | Google strijdbaar | Moord voor domeinnaam?!

U zult afgelopen vrijdag ongetwijfeld een zware tijd hebben gehad door het ontbreken van de Rootsec blog. Geen zorgen, we zijn u niet vergeten. We zijn zo aan het einde van het jaar simpelweg even aan het experimenteren met het beste moment om te publiceren. Deze week is dat dus maandag. Maar dat maakt de inhoud natuurlijk niet minder goed. Zo hebben we het deze week over een individu die wel heel ver gaat voor het verkrijgen van een domeinnaam, begint Google zich actiever te bewapenen tegen phishing aanvallen en geven we u een reden om boos te worden op veel Nederlandse webshops en websites.

Ze gooien met de pet naar de cookiewet

Deze week kwamen er namelijk interessante resultaten op tafel van een steekproef die de AP heeft uitgevoerd onder 175 websites van webshops, gemeenten en media. Weet u nog dat we ooit akkoord gegaan zijn met een cookiewet? Daar hangen heel veel regels aan welke meer dan de helft van de onderzochte website volledig aan hun laars lappen. Nog opvallender, nagenoeg alle (!) webwinkels handelen niet volgens de regels. Het is namelijk verplicht dat de bezoeker van de website expliciet gevraagd wordt of deze akkoord gaat met het gebruik van tracking cookies. In veel gevallen wordt dit echter niet gedaan en gaat de klant hier automatisch, maar dus onwetend, mee akkoord. In veel gevallen zijn bijvoorbeeld alle vinkjes al ingevuld en hoeft de bezoeker alleen nog maar op “ok” te klikken, maar dan is dat geen bewuste keus van de klant en is diens toestemming dus niet geldig. Om dit wel geldig te krijgen is er een ‘ondubbelzinnige en actieve handeling’ van de gebruiker nodig. Met andere woorden, vinkt hij of zij zelf het vakje aan met “ik ga akkoord met tracking cookies”, dan is het pas geldig.

Tracking cookies zijn kleine bestandjes die tijdens het surfen op een computer of smartphone worden geplaatst om de gebruiker te kunnen volgen. Op die manier is het mogelijk om internetters advertenties voor te schotelen van producten of diensten die eerder zijn bekeken. Dit komt u vast bekend voor. Tegenwoordig, sinds het van kracht worden van de AVG wet, is de AP belast met het naleven de cookiewet. De AP heeft dus ook de mogelijkheid om boetes uit te delen van bedragen tot maximaal 20 miljoen of 4% van de jaaromzet. Alhoewel er nog geen boetes zijn uitgedeeld in Nederland, hebben veel organisaties wel een brief ontvangen met een vriendelijk doch dringend verzoek om de boel aan te passen. Ondanks dat de AP geen namen heeft genoemd blijkt uit inventarisatie dat onder meer Bol.com en Coolblue hun cookiebeleid niet op order hebben. Wil je het gebruik van tracking cookies op deze websites aanpassen dan moet je naar een aparte cookiepagina surfen, en dat is niet de bedoeling. Een aantal andere partijen zoals DPG Media (de Volkskrant, AD) en Mediahuis (De Telegraaf, NRC) als Talpa (SBS6, Radio 538) en RTL Nederland (RTL Z, Videoland) zijn ook in overtreding. Gelet op de potentiële hoogte van de boetes verwachten we toch dat deze webwinkels en websites wel enkele aanpassingen zullen doorvoeren.

Google gaat voorop in strijd tegen phishing

Wederom berichtgeving over phishing, maar ditmaal over een maatregel die Google voornemens is om in te voeren. We zullen ongetwijfeld in januari 2020 zien dat er over heel 2019 genomen een grote stijging is geweest in phishing aanvallen. Hier hebben we het al vaak over gehad, maar over mogelijke maatregelen horen we maar weinig. Tot vandaag. Google heeft namelijk een nieuwe maatregel tegen phishing aangekondigd waardoor de URL van minder populaire sites die Chrome-gebruikers bezoeken naar Google wordt gestuurd. Momenteel bestaat dit al maar wordt deze lijst elke 30 minuten bijgewerkt. Echter is Google nu aan het testen met “real-time-phishing” waar de bezochte URL ter plekke real-time wordt geïnspecteerd, staat de bezochte sites niet op de zogenaamde “safe-list” dan stuurt Chrome de URL naar Google. Hierdoor zouden gebruikers ook voor nieuwe phishingsites worden gewaarschuwd. Wilt u gebruik maken van deze functionaliteit? Dat kan, maar dan moet u wel de optie “Zoekopdrachten en browserfunctionaliteit verbeteren” ingeschakeld hebben staan op Chrome. We zijn benieuwd of deze maatregel zijn vruchten gaat afwerpen.

Hoe ver zou u gaan voor een domeinnaam?

Dan tot slot een redelijk bizar en luguber verhaal. Zoals u ongetwijfeld weet is het hebben van volgers tegenwoordig belangrijker dan traditionele normen en waarden. Een aantal keer per jaar blijkt wel dat de doorgeslagen social media generatie heel veel over heeft voor het vergaren van dingen als likes en exposure. Tegenwoordig is er zelfs een opleiding om influencer te worden. Je verzint het niet. Maar ik dwaal af. In de VS werd deze week een 27-jarige Amerikaan veroordeeld tot een gevangenisstraf van 14 jaar. Waarom? Omdat hij zo graag een domeinnaam wilde hebben dat hij zijn neef met een agressieprobleem op de eigenaar van het domein afstuurde. Deze domeinnaam, doitforstate.com, zou namelijk heel goed geschikt zijn voor deze 27-jarige influencer waar hij deze slogan blijkbaar te pas en te onpas schreeuwde. Dus wat doe je dan? Dan stuur je je neef, bewapend met pistool en taser op pad om met grof geweld de domeinnaam te bemachtigen. Na de nodige mishandelingen en martelingen (ja echt) ontstond er een worsteling tussen het slachtoffer en de man, waarbij het slachtoffer in zijn been werd geschoten. Hij wist echter het pistool te bemachtigen en schoot de man vervolgens meerdere keren in zijn borst en belde daarop de politie. Of de neef het heeft overleefd dat weten we niet. Maar ik ben voorstander van een nieuwe term in de dikke van Dale “social media-waanzin”. Als in ” deze persoon leidt aan social media waanzin en denkt dat likes en volgers meer waard zijn dan normen en waarden”.

De prijs van liefde | De man van 1 miljoen | Een nieuw vraagstuk op vrijdag!

Nu al het geweld van de Black Friday, Cyber Monday en ‘weet ik veel wat voor een dinsdag’ is gaan liggen is het tijd om de balans op te maken. Wat hebben we allemaal gemist de afgelopen twee weken in Cyberland. (de musical heeft u helaas net moeten missen) Deze week geen blog met cadeaus of iets dergelijks, maar een oerdegelijke blog vol met opmerkelijkheden die we maar al te graag met u delen. En natuurlijk ook deze week weer het vraagstuk op vrijdag!

De prijs van liefde

In deze donkere maanden is de liefde, of het ontbreken daarvan, voor veel mensen een hekel punt. En wat doe je dan? Dan ga je op zoek naar liefde en grijp je elke mogelijke manier aan. Zo dacht ook een vrouw uit de omgeving van Tilburg eerder deze maand. U dacht dat het een man was he? Nee, deze dame die maakte in een periode van een half jaar in totaal € 247.000 over naar de liefde van haar leven. Waar dit natuurlijk heel vervelend is voor de dame in kwestie, is dit eens te meer het bewijs dat fraude (phishing) overal plaatsvindt. Dit limiteert zich echt niet meer tot enkel e-mails of sms’jes. Naast deze dame waren er nog eens vijf andere slachtoffers die voor meer dan € 100.000 het schip in gingen. Waar halen ze het geld vandaan vraag ik me dan toch af. De Fraudehelpdesk verwacht dat het aantal slachtoffers dit jaar nog veel verder zal stijgen omdat de meeste meldingen, traditioneel, rond december en januari binnen komen.

De man van 1 miljoen

We blijven nog even in de wereld van phishing en het kwijtraken van enorme bedragen. Zo bereikte ons deze week ook het nieuws dat criminelen via sms-phishing maar liefst 1 miljoen euro buit hebben gemaakt. Dan denkt u “goh, dat is veel”. Wat nou als we u vertellen dat dit toch astronomische bedrag afkomstig was van slechts één individu. Om specifiek te zijn een man uit Noord-Ierland. De man kreeg een sms-bericht met daarin de melding dat zijn pas was verlopen. Wat bleek nou? “Toevallig” was de pas van de man ook daadwerkelijk verlopen. Dus onze goedgelovige Harry die stuurt braaf zijn oude pas op, vult zijn gegevens in op de phishing website en is slechts luttele minuten later 1 miljoen euro armer. Nu moge het duidelijk zijn dat dit niet zo handig is geweest van deze man, maar er is nog iets wat ons opvalt. Want, beste bank, waarom gaan er geen alarmbellen rinkelen wanneer iemand 1 miljoen euro overmaakt naar 140(!) verschillende tegenrekeningen. Rekeningen die door de rekeninghouder nog niet eerder gebruikt zijn. Hier zetten wij toch onze vraagtekens bij. De daders zijn overigens nog niet geïdentificeerd en of hij ooit zijn geld nog zal zien is zeer twijfelachtig.

Waar trek je als bank de grens?

En om daar nog even op door te borduren, het volgende. De Consumentenbond wil namelijk dat banken in Nederland soepeler omgaan met phishing. Zij zijn van mening dat slachtoffers van phishing ruimhartiger vergoed dienen te worden. Dergelijke schade wordt momenteel niet door de banken vergoed wanneer de klant “grof nalatig” is geweest. En tja, als jij je bankpas en je gegevens opstuurt, dan val je toch wel onder de noemer grof nalatig. Dit is overigens opgenomen in de veiligheidsvoorschriften die alle banken in Nederland hanteren en welke mede door de Consumentenbond zijn opgesteld. Het probleem met dit soort voorschriften is echter dat je statische regels probeert toe te passen op de variabele factor “mens”. Dit zorgt ervoor dat banken nogal vrij en creatief zijn in het interpreteren van “nalatigheid”. Zo komt het voor dat bank A wel de schade vergoed maar bank B, voor exact dezelfde oplichtingen, geen vergoeding gaf. Dat dit de gemiddelde consument niet lekker zit dat begrijpen we best, maar uiteindelijk is het de naïviteit van de consument die parten speelt, niet het beleid van de bank.

“Een kilometer spoor gaat er – onder precies 217 mensen – door..”

Tot slot hebben we nog een pareltje in de categorie “het is veiliger als we je altijd kunnen volgen”. Ditmaal van de NS, de organisatie achter de grote gele burgerslurf. Deze term hoorde ik onlangs, en ik vond het te mooi om niet een keer te gebruiken. De NS is namelijk voornemens om treinreizigers voor hun eigen veiligheid en voor het vinden van zitplaatsen via wifi-tracking te gaan tellen. Bij wifi-tracking wordt het mac-adres geregistreerd van smartphones die wifi hebben ingeschakeld. NS wil de unieke adressen tellen, maar niet vastleggen. En wederom, dit is voor uw veiligheid. Het argument “”Op het moment dat heel veel mensen op dezelfde plek op de perrons staan, ontstaat daardoor een onveilige situatie op het moment dat een trein binnenkomt” slaat natuurlijk helemaal nergens op. Zo rond 5 uur staat gemiddeld elk perron van de grotere stations in Nederland hutjemutje vol met chagrijnige reizigers, en nog nooit is dat als veiligheidsrisico aangeduid. En daarnaast, lieve NS, hoe zijn jullie van plan unieke adressen te gaan tellen als je ze niet opslaat? Lijkt ons erg lastig. Wordt ongetwijfeld vervolgd!

En dan nu (tromgeroffel), het vraagstuk op vrijdag:

Management of de IT afdeling zou toegang moeten krijgen tot de e-mails van alle medewerkers om zodoende mogelijke phishing aanvallen beter te kunnen weren

Bekijk resultaten

Laden ... Laden ...

 

Seminar: Informatiebeveiliging Versimpeld – 28 januari 2020

Seminar: Informatiebeveiliging Versimpeld – 28 januari 2020

Op dinsdag 28 januari 2020 beantwoorden wij diverse vraagstukken vanuit de samenhang tussen Organisatie, Mens en Techniek tijdens ons ochtendseminar ‘informatiebeveiliging versimpeld’. Gedurende twee-en half uur geven we antwoord op vragen als:

  • E-mail fraude, hoe herkent u een phishing e-mail en welke soorten bestaan er?
  • Wanneer voert u een pentest uit? En met welk nut?
  • Hoe creëer je een informatie- en privacy bewuste cultuur?
  • Informatieveiligheid, waar liggen uw risico’s?

 

Het programma

Vanaf 09:30 bent u welkom. Het programma duurt van 10:00 tot 12:30. Rootsec, Amitron, NextTech Security en Beschermheren zullen interessante sessies verzorgen. Aansluitend vindt de netwerklunch (tot 14:00 uur) plaats.

Doelgroep

Security gaat de gehele organisatie aan. De informatie die tijdens de interactieve sessies wordt aangereikt is geschikt om direct in de praktijk toe te passen en is waardevol voor een breed security-minded publiek, zoals: IT-manager, security manager, CISO, risk manager.

Kosten
Gratis

Locatie
Het Van der Valk Hotel Breukelen Stationsweg 91, Breukelen (kaart)

Bereikbaarheid
Van der Valk Hotel Breukelen is goed bereikbaar met de auto (A2 afslag 5) of met het OV (NS station Breukelen). Er zijn gratis parkeerplekken beschikbaar.

Vragen
Pieter Duijs (p.duijs@rootsec.nl), 036 760 04 51 

 

Sprekers en sessies

Amitron

E-mail is al lang niet meer weg te denken uit de hedendaagse manier van communiceren. E-mail vormt een essentiële en vaak zelfs kritische manier om informatie te delen en zaken te doen. Er zitten helaas een paar kwetsbaarheden in het initiële ontwerp van het e-mail communicatiesysteem. Het is pijnlijk gebleken dat organisaties hierdoor financiële- en reputatierisico’s lopen. Als voorbeeld heeft CEO fraude via e-mail Pathé € 19 miljoen gekost. Enkele voorbeelden van e-mail risico’s waar we op in zullen gaan: Phishing e-mails naar u of vanuit uw domein naar (uw) klanten, CEO-fraude, spookfacturen, Attorney Impersonation, diefstal Persoonlijke gegevens, verslechterde E-mail reputatie en het belanden op een e-mail SPAM blacklist. Vandaar dat het zaak is dat uw e-mail betrouwbaar blijft. Het correct inrichten van e-mail authenticatie mechanismen zoals SPF, DKIM en DMARC helpt u zwakheden en risico’s te verminderen tegen misbruik van uw e-mail domein.

Jan Paul van Hall & Kees van Winsum
Amitron levert security adviezen, oplossingen en diensten voor hybride IT security omgevingen. Sprekers Kees van Winsum (CISSP) en Jan Paul van Hall zijn beide technical security consultants, welke klanten helpen de informatiebeveiliging en specifiek de IT security in hybride omgevingen op een hoger niveau te brengen en te houden. Beide sprekers hebben elk meer dan 15 jaar ervaring op IT security gebied.
Website

Rootsec

U kunt er anno 2019 niet meer omheen, het belang van een goed beveiligde IT-omgeving. We zien dat steeds meer partijen hierop inspelen door penetratietesten aan te bieden. Maar wat maakt nou dat Rootsec zo hoog staat aangeschreven op het gebied van pentesten? En hoe herkent u een slecht uitgevoerde pentest? Onze specialist leidt u gedurende deze presentatie door het gehele proces, van scope tot uitvoering tot en met de uiteindelijke rapportage. Tevens zal hij spreken over de vernieuwde vorm van rapporteren welke wij als bedrijf hebben geïntroduceerd tot groot genoegen van de klanten. Als klap op de vuurpijl zal ook het belang van een sterk wachtwoord worden getoond.

Emil Pilecki
Heb je het over penetratietesten dan heb je het over Emil Pilecki. Deze ervaren en tot op het bot gemotiveerde pentester spreekt vol passie over zijn vak en het belang van een gedegen IT security. Hij heeft het allemaal al gezien en meegemaakt en zijn presentatie bestaat dan ook uit veel voorbeelden over hoe het niet moet. Met zijn bedrijf Rootsec is hij op dagelijkse basis bezig met het adviseren van bedrijven aangaande het verbeteren van hun IT security. Ondanks dat Rootsec zicht voornamelijk toespitst op het MKB, heeft Emil ook ervaring met het aanvallen (ethisch!) van grote Enterprises. En het zal je wellicht verbazen hoe het er daar soms aan toe gaat. Na een presentatie van Emil heeft u veel beter inzichtelijk wat een pentester nou precies doet, hoe hij het doet en met welk doel hij het doet.

 

NextTech Security

We zoomen in op de menselijke factor binnen informatiebeveiliging. In de praktijk zijn de eigen medewerkers nog altijd vaak de oorzaak van incidenten zoals datalekken. Hoe zorg je er als organisatie voor dat je een informatie- en privacy bewuste cultuur creëert die je op lange termijn kunt waarborgen. Hoe creëer je draagvlak, hoe draag je kennis over en hoe meet je het gedrag van medewerkers? Hoe ga je als organisatie nou écht verder dan alleen het zetten van een vinkje?

Dennie Spreeuwenberg
Dennie Spreeuwenberg is security awareness specialist en een enthousiaste spreker op het gebied van security awareness. Het is zijn missie om zijn passie voor informatiebeveiliging op een leuke en aantrekkelijke manier over te brengen en voor iedereen begrijpelijk te maken. In zijn 10 jaar ervaring in de informatiebeveiliging heeft Dennie ervaren dat de menselijke factor vaak ondergeschikt is aan de technische maatregelen die organisaties treffen. Het creëren van security awareness is hierop zijn antwoord. Dennie benadert informatiebeveiliging vanuit verschillende invalshoeken. Goede informatiebeveiliging is alleen mogelijk wanneer het beleid en techniek op orde zijn en de mens op een juiste manier handelt.
Website

Beschermheren

Informatieveiligheid? Weet u waar uw risico’s liggen? Hoe zorgt u ervoor dat uw informatie beschikbaar en veilig is en dat ook blijft? De beschikbaarheid van informatie is vandaag de dag niet meer vanzelfsprekend. Organisaties lopen risico’s. Risico’s die betrekking hebben op de beschikbaarheid, de integriteit en de vertrouwelijkheid van informatie. In deze sessie wordt u meegenomen in hoe de risico’s inzichtelijk gemaakt kunnen worden en krijgt u handvatten mee waarmee u passende maatregelen kunt treffen om de risico’s te minimaliseren. Het gaat dan niet alleen over technische maatregelen. Het gaat juist om de samenhang tussen de mens (medewerkers), de processen (waar zij verantwoordelijk voor zijn) en techniek.

Marc Meesterman
Marc heeft als adviseur jarenlange ervaring met het uitvoeren van risicoanalyses en implementatie en borging van beveiligingsmaatregelen. Het werkelijk tussen de oren krijgen van informatiebeveiliging en privacybescherming bij zowel bestuur, management als medewerkers is hier de grootste uitdaging. Hoe komen we van oersaai naar supersexy? Aan de hand van praktijkvoorbeelden laat hij zien hoe dit in elke organisatie anders werkt, maar dat er wel een duidelijke rode draad is. Hij neemt u mee in het meetbaar maken van informatiebeveiliging en privacybescherming omdat de business nu eenmaal erkend wordt op waarde toevoegen en niet op geld uitgeven. Wat zijn dan verstandige investeringen en waar zou u niet in moeten willen investeren.
Website

Aanmelden kan via onderstaand formulier.

BLACK FRIDAY BLOG. De beste deals op het gebied van privacy speciaal voor u!

“Het is weer vrijdag de week is weer voorbij, de enige echte alle 40 op een rij!” De 90’s-kids onder ons zullen dit herkennen als dé jingle van de radio 538 top 40. Elke vrijdagmiddag schalde deze door de boxen van mijn stereotoren toen ik nog in het ouderlijk huis woonde. Toen, al die jaren geleden, was Nederland nog onbekend met het fenomeen “Black Friday“. Het enige traditionele zwarte dat we destijds kenden was zwarte piet, en daar laten we het even bij. Maar nu aan het einde van 2019 lijkt deze uit Amerika overgewaaide dag der ultieme consumptie volledig binnen het straatje te passen van de toch wat gierige Nederlander. Want laten we wel wezen, ook u heeft vanochtend even gekeken of uw favoriete merk leuke aanbiedingen had. Misschien heeft u zelfs wel wat besteld. Het is uw goed recht natuurlijk, maar ondertussen klinken er ook veel tegengeluiden. Veel webwinkels verhogen hun prijzen de nacht voor Black Friday en verlagen deze vervolgens weer onder het mom van “dit is korting”. Het is dus goed opletten of hetgeen u koopt vanwege de waanzinnige korting ook wel echt daadwerkelijk is afgeprijsd.

Nu bent u van ons gewend dat we in dit blog stilstaan bij hetgeen er allemaal is gebeurd de afgelopen week in de wondere wereld van IT-security. Maar deze week doen we het dus even anders. We hebben namelijk voor u een heus overzicht gemaakt van Black Friday deals waar u echt wat aan heeft, volgens ons dan. Disclaimer: Wij definiëren “producten waar u wat aan heeft” als nuttige software/hardware om uw leven gemakkelijker en bovenal veiliger te maken. Hier vindt u dus niet die massagestoel die volledig geautomatiseerd uw cocktails bijvult en tegelijkertijd het klimaatprobleem bestrijdt.

Maar eerst nog even de uitslag van de poll van vorige week! Maar liefst 75% van alle stemmers is er van overtuigd dat het niet toegestaan zou moeten zijn om gezichtsherkenning te gebruiken om toegangsverboden te handhaven in de horeca. Een overweldigende meerderheid als u het mij vraagt, volgende week weer een nieuw dilemma om uw hoofd over te breken.

Maar nu! Over tot de orde van de dag namelijk de beloofde deals. Disclamimer 2: Wij zijn op geen enkele manier partijdig noch gesponsord door de verkopende partijen. We staan overigens prima open voor omkoping en/of sponsoring. Stuur een berichtje naar dieterpuijs@rootsec.nl.

TransIP

Ben je van plan om binnenkort een nieuwe website te beginnen? Of wil je je bestaande domein verhuizen? Bij TransIP hack je jezelf naar korting. En nu begrijpt u meteen waarom we deze actie noemen. Via deze link kunt u korting hacken tot maar liefst 75% op stacks (online cloud opslag), webhosting en VPS (virtual private server). Misschien heeft u het niet eens nodig maar wilt u wel uw skills als hacker bewijzen? Doe een poging!

NordVPN

We gaan u niet uitleggen wat een VPN doet. Dit weigeren we inmiddels nadat we een jaar lang geblogd hebben over de importantie van anonimiteit op het internet. Maar mocht u, ondanks al het drama dat zich het afgelopen jaar heeft afgespeeld op het gebied van IT-security, nog steeds geen VPN hebben dan is deze aanbieding ideaal voor u. Je bespaart niet alleen enorm op de kosten per maand, maar je krijgt ook nog eens gratis en voor niets Nordlocker erbij. Kun je gewoon al je bestanden versleutelen. Ideaal voor dat mapje waarvan u tegen iedereen zegt dat u het niet heeft.

StandardNotes

Uw reactie is nu waarschijnlijk: “wat?”. Maar StandardNotes is op het gebied van security een heel interessant iets. Zij verkopen namelijk een stukje software dat er voor zorgt dat niemand, maar dan ook echt niemand, jouw notities kan lezen. Dus mocht iemand proberen in te breken op jouw systeem zal hij of zij nooit in staat zijn om de notities die er echt toedoen te ontcijferen. StandardNotes maakt namelijk gebruik van end-to-end encryptie. Interesse? Je vindt de aanbieding en meer informatie hier.

ProtonMail

ProtonMail staat te boek als de veiligste e-maildienst die er op het moment is. Omdat ProtonMail en hun servers in Zwitserland gevestigd zijn, zijn ook alle gegevens van de gebruikers beschermd door de strenge Zwitserse privacywetgeving. Daarnaast worden alle e-mails automatisch beveiligd met end-to-end versleuteling. En als klap op de vuurpijl zijn er geen persoonlijke gegevens vereist om in aanmerking te komen voor een veilig e-mailaccount. Wilt u profiteren van deze maximale e-mail privacy? Dan hebben ze een mooie deal voor u.

HitmanPro

“Wordt u ook zo gek van al die malware? Download dan nu HitmanPro!..” Ik zou echt zo aan de slag kunnen als Tel Sell verkoper, vindt u niet? Maar als u last heeft van Malware of bovenal wilt voorkomen dat u er in de toekomst last van gaat krijgen, dan is HitmanPro een zeer goede optie. Deze geavanceerde software detecteert, stopt en verwijdert alle soorten Malware die u maar kunt bedenken. En ja, ook deze schaft u nu aan met dikke korting.

BitDefender

En tot slot eindigen we met één van de, zo niet dé, beste antivirus software. Met BitDefender haal je eigenlijk alles in huis wat je maar nodig hebt. En dat ze hun werk goed doen blijkt wel uit het feit dat ze meer dan 500 miljoen systemen beschermen in meer dan 150 landen. Wordt u nummer 500.000.001? De speciale Black Friday deal vind je hier.

Rootsec deelt uit: veilige kerstcadeaus | Overheid nog niet klaar voor 2020 | Geen gratis Big Mac, wel gratis malware | Gewetensvraag op vrijdag

U dacht vast “die jongens van Rootsec kunnen niet nog meer voor mij betekenen dan dat ze al wekelijks doen”. Nou, daar zit u dus fout! Deze week helpen we u namelijk met uw kerstcadeaus. Doen we gewoon voor u, we zijn van alle markten thuis. Daarnaast hebben we wederom een gewetensvraag voor u waar we graag uw input voor ontvangen en staan we nog kort even stil bij de overheid en bij dat bekende “restaurant” met de gouden M.

Rootsec deelt uit: veilige kerstcadeaus

Laten we beginnen met uw kerstcadeaus. Wellicht heeft het u al aardig wat kopzorgen opgeleverd, wat moet u nou halen voor uw partner, kind of vriend(in)? Ondanks dat onze suggesties niet voor alle leeftijdsgroepen even geschikt zijn, zijn onze aanbevelingen wel veilig. En zoals u weet vinden wij dat veel belangrijker dan of diegene die het in ontvangst neemt er ook daadwerkelijk blij mee is. Het is namelijk zo dat voor het derde jaar op rij Mozilla de privacy en security van allerlei populaire kerstcadeaus beoordeeld heeft. In totaal beoordeelden ze 76 populaire producten en slechts acht van deze zakten door het ijs. In plaats van dat we alle producten gaan benoemen die u kunt kopen, leggen wij liever de focus op de onveilige producten van onder andere Ring en Wemo. Tijdens het onderzoek werd er onder andere gekeken naar  het gebruik van encryptie, het uitbrengen van beveiligingsupdates, het verplichten van sterke wachtwoorden, de toegankelijkheid van het privacybeleid en het omgaan met meldingen van beveiligingslekken. Op basis van de resultaten wordt u aangeraden de volgende producten niet aan te schaffen:

Wilt u liever weten welke producten u wel kunt aanschaffen? Dan vindt u hier de hele lijst.

Overheid nog niet klaar voor 2020

Binnen de overheid zijn vorig jaar afspraken gemaakt om bepaalde standaarden op het gebied van web- en mailbeveiliging op overheidsdomeinen te behalen. Echter bleek deze week dat de helft van de domeinen nog altijd kwetsbaar is voor email spoofing. Omdat we inmiddels al aan het einde van het jaar zitten zal de beoogde “streefbeeldafspraak” waarschijnlijk niet worden gehaald. Bij de meting, die uitgevoerd werd door het Forum Standaardisatie werd er gekeken naar het toepassen van web- en mailbeveiligingsstandaarden op overheidsdomeinen. Uit dit onderzoek kwamen een aantal interessante bevindingen. Zo nam het gebruik van DNSSEC op mailservers juist af en de is de anti-spoofing mailstandaard DMARC op slechts 49% van alle overheidsdomeinen correct geconfigureerd. Tevens is ook het gebruik van DANE nog te laag met slechts 45%. Dit protocol zorgt er voor dat STARTTLS wordt afgedwongen wat zorgt voor een beveiligde verbinding tussen de verzendende en ontvangende mailserver. De afspraken die binnen de overheid gemaakt zijn zullen dus niet behaald worden en dit is verontrustend te noemen. Zeker omdat in 2017 nog een incident was waarbij het mogelijk bleek om namens Mark Rutte en de AIVD te mailen. Dit lijkt de overheid echter niet te hebben wakker geschud. Dus mocht u onverhoopt een berichtje krijgen van Mark deze week, niet de bijlage openen! Ook al staat er “bij deze ontvangt u de beloofde €1000,00 ,-“.

Geen gratis Big Mac, wel gratis malware

We hebben het in dit blog wel eens over de domme Facebook massa. En ook deze week kreeg deze groep weer een heftige teleurstelling te verwerken. Er werden namelijk en masse kortingsbonnen voor de McDonald’s aangeboden. Nu zag menig gebruiker het al helemaal zitten om eens luxueus uiteten te gaan maar wat bleek, de kortingsbonnen waren nep. De gebruikers die op de link klikte werden naar een website doorgestuurd waar ze de bonnen konden downloaden. Op het moment dat dit gedaan werd ontving de gebruiker echter niet die beoogde gratis hamburger, maar wel een MSI-bestand dat wachtwoorden en allerlei informatie steelt. Onderzoekers hebben kunnen achterhalen dat er maar liefst, houdt u vast, 100.000 clicks zijn geweest op deze advertenties. Mocht u nu heel verdrietig zijn omdat u nog steeds de volle prijs moet betalen bij de Mc, dan kunnen we u goed nieuws bezorgen. Namelijk de McDonald’s adventskalender! Graag gedaan hé.

Gewetensvraag op vrijdag

Tot slot dan. We hebben dit al eerder gedaan en dat beviel ons wel. Waar het natuurlijk een absoluut plezier is om u elke week van dit ongekende leesplezier te voorzien, zien we ook graag een stukje interactie. Daarom hebben we ook deze week weer een gewetenskwestie welke uiteraard te maken heeft met privacy.

Zou het toegestaan moeten zijn om gezichtsherkenning te gebruiken om toegangsverboden te handhaven in de horeca?

Bekijk resultaten

Laden ... Laden ...

 

IT-experts niet meer veilig | Belangrijk nieuws voor Apple gebruikers | Alles over ‘Juice Jacking’

Met de pakjesboot in aantocht is het ongetwijfeld moeilijk om te focussen op uw werk, maar toch is het belangrijk om ook in deze laatste maanden van het jaar scherp te blijven. Dat blijkt wel uit de blog van deze week die weer bol staat met (en dit zeg ik met alle respect) menselijk falen. Zo behandelen we de situatie van een zelfverklaard IT-expert die slachtoffer werd van phishing, hebben we slecht nieuws voor Apple gebruikers en leren we u wat “juice jacking” is.

IT-experts niet meer veilig

Frans Hulleman uit Apeldoorn is onlangs slachtoffer geworden van een sluwe phishing / spoofing aanval. Deze IT’er  / Scrum master bij het kadaster werd zogenaamd door zijn bank gebeld en het resultaat was het verlies van maar liefst 28.000 euro. Ondanks dat het nog zoveel in het nieuws is kan het natuurlijk iedereen overkomen. Maar als je een IT’er bent en claimt dagelijks bezig te met IT-security voor je werk, dan mag je hier eigenlijk niet in trappen. Het begon met een mailtje van zijn bank ABN AMRO. Dit mailtje zag er natuurlijk levensecht uit. In het mailtje werd hij door het “cyber security team” van de bank verzocht om via een link in te loggen om zodoende een overschrijving tegen te kunnen gaan op zijn bankrekening. Dit omdat er, volgens de bank, pogingen werden gedaan om tienduizenden euro’s van zijn bankrekening af te schrijven. Laten we hier even stoppen. Op het moment dat de bank je belt onder het mom van “Joh, je bankrekening wordt momenteel aangevallen en daar moet jij iets aan doen!”, dan moeten er toch wel alarmbellen gaan rinkelen hoor. En linkjes die in mailtjes staan? Kom op.

We gaan verder. Nadat hij op het linkje klikte werd hij gebeld door een 06 nummer  dat overeenkwam met het nummer dat op de website van ABN Amro staat. Dit noemt men dus spoofing. Tegenwoordig kan je met diverse apps je nummer vervalsen, dit is kinderspel. Hoe dan ook, de persoon aan de andere kant van de lijn gaf Frans instructies om allerlei handelingen uit te voeren om zodoende zijn geld te kunnen beschermen. Frans luisterde en deed wat er van hem gevraagd werd en heeft vervolgens geld, veel geld, overgeschreven van zijn spaarrekening naar verschillende andere bankrekeningen. En toen was het einde verhaal. ABN blokkeerde de rekeningen van Frans maar toen was de vogel al gevolgen. Ondanks dat criminelen inderdaad steeds creatiever worden, waren er gedurende dit proces toch heel veel rode vlaggen.

  1. Inloggen via een link in een email? Dat zal een bank nooit van je vragen.
  2. Gebeld worden vanaf een 06 nummer? Een medewerker van een bank zal, in de regel, altijd vanaf het telefoonnetwerk van ABN bellen.
  3. “U moet nu geld overmaken naar verschillende rekeningen, alleen zo kunnen we de boef stoppen”. Dit had zo in een slechte infomercial kunnen staan.

We vinden het oprecht vervelend voor deze persoon. Maar op basis van de aandacht die er hedendaags besteed wordt aan phishing / spoofing en zijn werk als IT-expert had dit voorkomen kunnen worden. Maar we hopen bovenal dat dit als les kan dienen voor u, de lezer. Ga bij twijfel altijd naar de bank toe en vertrouw niet blindelings op telefonisch- of contact per email. Bent u als organisatie bang om slachtoffer te worden van phishing/spoofing? Lees dan wat wij voor u kunnen betekenen of neem contact met ons op.

,,Er wordt altijd gedaan alsof het alleen sukkels overkomt, maar dat is echt niet zo’’

 

Belangrijk nieuws voor Apple gebruikers

Bent u er zo eentje die alles van Apple moet hebben, ongeacht of het nou echt beter is? Dan hebben we toch even slecht nieuws voor u. Niet omdat Apple over het algemeen aardig achterloopt op zijn concurrentie op het gebied van techniek en vooral teert op zijn merk, maar omdat u waarschijnlijk al uw hele leven zeer gemakkelijk bent gevolgd. Want bent u bekend met uw “Advertentie-ID”? Als u dat wel bent dan bent u een van de weinige. Uit onderzoek is gebleken dat meer dan de helft (62%) van de Apple gebruikers geen idee heeft wat een advertentie-ID is en waar het voor gebruikt wordt. We zullen het even uitleggen. Het advertentie-ID is vergelijkbaar met een verkoper die je tijdens het winkelen volgt van winkel naar winkel en precies in de gaten houdt wat je koopt en waar je naar kijkt. Op die manier is het dus heel makkelijk om u als Apple gebruiker heel specifiek te targeteten. Maar goed nieuws, je kan deze functie gewoon uitzetten en dat zorgt ervoor dat je weer een stukje onzichtbaarder bent. Alle kleine beetjes helpen. Wilt u de functie uitschakelen? Navigeer dan op uw telefoon naar uw privacy instellingen. Hoe dit zit bij Android? Die hebben ook een Advertentie-ID maar kunnen deze niet deactiveren. Dus als u binnenkort weer een Apple vs. Android discussie heeft dan kunt u weer een argument aan uw lijstje toevoegen.

Alles over ‘Juice Jacking’

Tot slot gaan we het hebben over “juice jacking”. Ik moet u eerlijk bekennen dat deze term tot op heden ook bij mij onbekend was. Des te interessanter om er een paar woorden aan te wijden in dit blog. Wanneer je een telefoon oplaadt gaat dit tegenwoordig in de meeste gevallen via de USB-verbinding. Waar dit volstrekt normaal is, brengt het ook de nodige risico’s mee wanneer u dit doet op een openbaar oplaadpunt. Hierbij kunt u denken aan een luchthaven of een hotel. In plaats van dat uw apparaat wordt opgeladen kan er via juice jacking over de USB verbinding malware op het toestel worden geplaatst of is het zelfs mogelijk om informatie te stelen. Dit is handig om te weten mocht u binnenkort op reis gaan. Zoek in plaats daarvan dus een gewoon stopcontact of neem een draagbare oplader voor noodgevallen mee. Zodoende bent u niet afhankelijk van openbare USB-verbindingen. Zoals eigenlijk bij alles in het leven als iets gratis, openbaar of publiek is, benader het dan met gezond wantrouwen.

 

 

Geef hackers geen kans

Laat uw systemen beveiligen door Rootsec

Neem Contact Op

Boek uw gratis
cyber security consult!

Geheel vrijblijvend uw problemen of vragen bespreken? Dat kan bij Rootsec!

Maak uw afspraak