HackDefense Publicaties.

Hier treft u onze opinies en andere actuele informatie over IT security.

Ransomware, kan ons dat ook gebeuren?

Wij krijgen vaak de vraag van bedrijven of ook zij te maken kunnen krijgen met online chantage door middel van malware, en hoe ze het kunnen voorkomen. Inmiddels is redelijk duidelijk wat de aanvalsmethoden zijn en hoe die cybergijzelaars kunnen binnenkomen. Als je dat weet, weet je ook beter hoe je ertegen kunt wapenen.

Subdomain takeover kan tot ernstig lek leiden. Digitaal opruimen voorkomt dit

Eind april ontdekte beveiligingsbedrijf CyberArk een lek in Microsoft Teams. Het probleem kon door Microsoft snel worden opgelost, maar dit lek is een mooi voorbeeld van een subdomain takeover en laat goed zien hoe belangrijk het is om (sub-)domeinnamen die niet meer nodig zijn grondig te verwijderen.

Videobellen met populaire apps? Zo zit het met de privacy

In onze vorige blog keken we al naar de veiligheid van zakelijke videoconferencingtools zoals Wire, Nextcloud, WebEx, Google Hangouts, Zoom, Skype en Microsoft Teams. Maar hoe zit het met apps als Whatsapp, Jitsi Meet, Houseparty, Hangouts – en ook Zoom – die niet alleen door consumenten maar ook door collega’s onderling worden gebruikt. In de uitzending van Kassa van afgelopen weekend keken experts, waaronder Mark Koek, hoe het zit met de privacy van deze populaire apps.

Hoe veilig zijn videoconferencingtools?

Het RIVM roept werkgevers op hun medewerkers zoveel als mogelijk thuis te laten werken. Om toch de contacten met collega’s, klanten en partners te onderhouden, wordt er massaal gebruikt gemaakt van videobellen. Maar niet alle oplossingen hebben dezelfde kwaliteit als het gaat om privacy en security. Wij hebben de afgelopen weken een hele reeks oplossingen voor video-vergaderen getest op gebruiksvriendelijkheid, veiligheid en privacy. In deze blog bespreken we een aantal populaire tools en onze conclusies en wat aandachtspunten.

E‑mailbeveiliging: overheid verslaat bedrijfsleven

HackDefense onderzocht of de overheid zich aan de eigen aanbevelingen houdt voor wat betreft de beveiliging van e‑mail. En of het bedrijfsleven het beter doet. Nu verwacht je misschien dat de ministeries het onderspit moeten delven. Maar niets is minder waar. Tijd voor het bedrijfsleven om zich achter de oren te krabben.

Staat er Cisco op je camera’s, telefoons of firewall? Let dan op!

Israëlische onderzoekers ontdekten verschillende lekken in het Cisco Discovery Protocol (CDP). Door deze lekken kunnen hackers, wanneer ze eenmaal binnen zijn in jouw bedrijf, meekijken en ‑luisteren via verschillende apparaten van Cisco. En dat zijn er misschien meer dan je denkt.

Citrix-lek? Vergeet Internet Explorer en Oracle niet.

Google op Citrix-lek’ en het nieuws vliegt je om de oren. Maar wat er door alle aandacht voor Citrix vergeten lijkt te worden, is dat er de afgelopen weken nog twee andere serieuze issues bekend zijn geworden: een groot lek in Internet Explorer en 334 kwetsbaarheden in Oracle.

2019: 7 nieuwe lekken in thuiswerksystemen. Vergeet de patch niet.

Een heel nieuw jaar ligt voor ons. Een jaar waarin we weer veel organisaties hopen te beschermen. Maar eerst blikken we nog even terug op 2019, het jaar van ernstige lekken in oplossingen voor telewerken.

Een gaatje’ in mijn agenda – deel 2

Met enkele praktijkvoorbeelden proberen we de mogelijke schade die XSS kan aanrichten inzichtelijk te maken.

Een gaatje’ in mijn agenda

Aan de hand van een casus uit onze praktijk leggen we uit waarom Cross-Site Scripting” een ernstige kwetsbaarheid in webapplicaties is, en wat je er aan kunt doen.

CVE-2019 – 18345 Reflected Cross-Site Scripting (XSS) vulnerability in DAViCal CalDAV Server

At HackDefense, we were evaluating various calendaring solutions, and during installation and configuration of DAViCal we discovered three (severe) vulnerabilities. We reported these vulnerabilities to the vendor. Unfortunately, the DAViCal project itself was not able to fix these vulnerabilities. As DAViCal is an open source project we decided to contribute patches for these vulnerabilities ourselves. DAViCal has accepted our patches in the 1.1.9.2 release. If you use DAViCal as a calendaring server, we recommend upgrading to version 1.1.9.2 immediately to remediate the issues we’ve discovered.

CVE-2019 – 18346 Cross-Site Request Forgery (CSRF) vulnerability in DAViCal CalDAV Server

At HackDefense, we were evaluating various calendaring solutions, and during installation and configuration of DAViCal we discovered three (severe) vulnerabilities. We reported these vulnerabilities to the vendor. Unfortunately, the DAViCal project itself was not able to fix these vulnerabilities. As DAViCal is an open source project we decided to contribute patches for these vulnerabilities ourselves. DAViCal has accepted our patches in the 1.1.9.2 release. If you use DAViCal as a calendaring server, we recommend upgrading to version 1.1.9.2 immediately to remediate the issues we’ve discovered.

CVE-2019 – 18347 Persistent Cross-Site Scripting (XSS) vulnerability in DAViCal CalDAV Server

At HackDefense, we were evaluating various calendaring solutions, and during installation and configuration of DAViCal we discovered three (severe) vulnerabilities. We reported these vulnerabilities to the vendor. Unfortunately, the DAViCal project itself was not able to fix these vulnerabilities. As DAViCal is an open source project we decided to contribute patches for these vulnerabilities ourselves. DAViCal has accepted our patches in the 1.1.9.2 release. If you use DAViCal as a calendaring server, we recommend upgrading to version 1.1.9.2 immediately to remediate the issues we’ve discovered.

Sommige digitale cadeautjes kan de kerstman beter zelf houden

Het zal niemand zijn ontgaan: Sinterklaas is weer in het land en in sommige huiskamers staat zelfs de kerstboom al. De schoencadeautjes, cadeautjes voor in de zak en voor straks onder de boom zijn niet aan te slepen. Maar let op, ook cybercriminelen pakken graag uit. Krijg je een mailtje waarin je een cadeautje krijgt aangeboden namens Sint of de kerstman? Dikke kans dat het een phishingmail is en dat je iets heel anders cadeau krijgt dan je wordt voorgehouden. 

Eerst checken, dan klikken!”

Gisteravond verscheen Mark Koek in Opgelicht!?, de serie van AVROTROS over oplichtingspraktijken van fraudeurs en bedriegers. Mark is behalve directeur van HackDefense ook medeoprichter van Phishingtest​.nl, een gezamenlijke service van HackDefense en Audittrail met als doel bedrijven bewust te maken van de noodzaak alert te zijn op phishingmails. Mark hielp Opgelicht!? te onderzoeken hoe het met het klikgedrag van onze volksvertegen­woordigers staat. Eerst checken, dan klikken’ — de campagne van het ministerie van Justitie en Veiligheid — is duidelijk nog niet helemaal in de Tweede Kamer doorgedrongen.

Microsoft stopt ondersteuning Windows 7 en Server 2008. En nu?

Op 14 januari 2020 stopt de officiële beveiligingsondersteuning van Windows 7 en Windows Server 2008. Dit brengt grote veiligheidsrisico’s met zich mee. Maak daarom nu de overstap naar Windows 10 en Windows Server 2019, of natuurlijk een heel ander besturingssysteem.

Foutjes in je software? Met een hacker mindset ontdek je ze.

Laten we er niet omheen draaien: foutloze software bestaat niet. Dat ligt niet aan de programmeur, dat ligt aan de manier van kijken. Zorg voor de juiste hacker mindset en je ontdekt de foutjes eerder dan de bad guys dat doen!

SSL/TLS configureren met sterke cryptografie

De meeste vulnerability scans en pentests leveren wel bevindingen op met betrekking tot SSL (TLS). Want cryptografie is complex en de eisen veranderen snel. Maar hoe richt u uw server zo in dat er in elk geval geen verouderde versies of zwakke versleuteling draaien? En wat is een redelijk compromis om geen bezoekers met iets oudere browsers te verliezen?

DCOMrade — Automatiseren van het in kaart brengen van DCOM applicaties

Een onderzoek naar de huidige lateral movement technieken die gebruikmaken van het Distributed Component Object Model (DCOM), een ingebouwde functionaliteit om software aan te roepen van het ene Windows systeem naar het andere Windows systeem.

SSH hardenen op LTS systemen

Recentelijk zijn we diverse Linux-systemen onder Long Term Support (LTS) tegengekomen die een zwakke Secure Shell (SSH)-serverconfiguratie hadden. Verder onderzoek naar deze kwestie leerde ons dat dit de standaardconfiguratie is voor deze wat oudere, maar nog wel ondersteunde systemen. In deze blog laten we je zien hoe je de SSH daemon kunt hardenen op deze systemen.

CSP — het hoe en waarom van een Content Security Policy

De afgelopen tijd stellen wij steeds meer van onze klanten voor om naast de gebruikelijke security headers nu ook een Content Security Policy (CSP) in te stellen. In deze blog gaan wij hier dieper op in: waar komt deze nieuwe standaard vandaan? Waarom zou je deze graag willen gebruiken? Hoe stel je deze in? En: met welke andere standaarden heeft CSP raakvlakken?

HackDefense sluit zich aan bij Cyberveilig Nederland

De nieuwe branche-organisatie Cyberveilig Nederland heeft HackDefense als nieuw lid toegelaten. Cyberveilig Nederland werd onlangs opgericht om de belangen van de cybersecurity-branche in Nederland te behartigen, en om te komen tot een keurmerk. Dit initiatief steunen we van harte.

Crowd Control?

HackDefense analyseerde de security & privacy in een app die de politie gebruikte voor crowd control tijdens Leids Ontzet.

IPTables vereen­voudigd

Een lokale firewall op Linux, inclusief IPv6, in 12 stappen. Of download het script!