Het uitwisselen van informatie is tegenwoordig net zo gewoon als water uit de kraan. Veel organisaties richten hier separate voorzieningen voor in, of besteden dit zelfs uit aan een externe partij. Wanneer de uitwisseling beperkt van omvang en incidenteel van aard is, maken organisaties echter nog steeds graag gebruik van het oude vertrouwde e-mail. Deze voorziening is vaak al aanwezig, waardoor het gebruik ervan goedkoop en bovendien snel geregeld is. Maar ook bij uitwisseling via e-mail is het belangrijk om de beveiliging goed te regelen. Helaas gaat dit niet altijd goed, en zie ik nog regelmatig dat er ten onrechte wordt vertrouwd op maatregelen die niet de benodigde zekerheid bieden. Lees meer

Eind juli ontdekte ik een kwetsbaarheid in de wijze waarop een aantal Android apps een SSL verbinding opzetten. Het beveiligingscertificaat werd niet (goed) geverifieerd, waardoor een man-in-the-middle aanval op SSL relatief makkelijk kan worden uitgevoerd. Benieuwd of ik nog meer kwetsbare apps kon ontdekken, nam ik een aantal steekproeven onder (voor mij) bekende Android en iOS apps en stopte ik met 9 apps van 8 leveranciers op de teller. Middels een responsible disclosure heb ik de desbetreffende leveranciers geïnformeerd en ze ruimschoots de gelegenheid gegeven om de kwetsbaarheden te verhelpen. Lees meer

Een goede vriend, laten we hem Sipke noemen, belde me vandaag op en vertelde dat eerder deze week de bliksem is ingeslagen: nagenoeg alle aangesloten elektronische apparaten zijn kapot. Heel vervelend, maar gelukkig dekt de verzekering alle schade. Een van de getroffen apparaten betrof het ADSL modem: de KPN Experiabox V9. Vervanging daarvan is relatief makkelijk geregeld: je belt KPN, zij sturen een servicemonteur, hij sluit een nieuw modem aan, en dan is het klaar. Klaar? Ja inderdaad, klaar: na het opstarten van de nieuwe Experiabox meldt de thuislaptop opeens (zonder enige handmatige configuratie van de Experiabox) verbonden te zijn met het draadloze thuisnetwerk. Met andere woorden: KPN slaat gegevens uit jouw modem op. Lees meer

Afgelopen week ontdekte ik een nieuw middel in de strijd tegen spam: DMARC. Dit staat voor “Domain-based Message Authentication, Reporting & Conformance” en vormt eigenlijk een schil over de bestaande e-mail authenticatie technieken SPF en DKIM. Waar SPF en DKIM eigenlijk technieken zijn om de authenticiteit van ontvangen e-mailberichten te verifiëren, kun je met DMARC aan een ontvangende partij vertellen hoe ze met e-mails vanaf jouw domein om dienen te gaan wanneer één of meer verificaties mislukken. Lees meer

Eerder deze week verscheen er een leuk artikel van collega Maarten Hartsuijker op Computable.nl over de risico’s van computersystemen in auto’s. Veel mensen denken dat informatiebeveiliging te maken heeft met hun PC of laptop, maar het gaat veel verder dan dat. Tegenwoordig zijn er steeds meer apparaten die (kleine) computers bevatten, en zijn we voor een goede werking van het apparaat afhankelijk van een goede werking van de computer. Neem bijvoorbeeld auto’s; in een gemiddelde moderne auto zitten tientallen ECU‘s  die bedoeld zijn voor het aansturen van specifieke functionaliteiten zoals bijvoorbeeld de injectie van brandstof, de klimaatregeling, het opblazen van de airbags, het activeren van de gordelspanners, en het remmen. Lees meer