Podcast Aflevering 1: 17 november – Terugblik op de week

In deze eerste editie van de i-to-i podcast (opgenomen op 17 november) praten i-to-i consultants Lex Borger en Joost Wijnings je bij met de meest opvallende security nieuwtjes van de afgelopen week. 

i-to-i_podcast_kleur

In deze aflevering:

Winkelketen gehackt - FireFox Quantum - Wikileaks - de sleepwet - DNB als pentester - IIoT security

Door: Lex Borger en Joost Wijnings

Weetje van de week

Joost: Apple’s Face ID is niet alleen door identical twins te foppen, maar er zijn nu verhalen van kinderen die zonder uiterlijke exacte gelijkenis tóch de telefoon konden ontgrendelen…
Lex: Chaos Monkey is a software tool that was developed by Netflix engineers to test the resiliency and recoverability of their Amazon Web Services

Wéér een winkelketen gehackt, ondanks encryptie

Notice of Payment Card Security Incident
Forever 21 reports data breach, failed to turn on POS encryption

Zo vlak voor de winkelgekte die begint na Thanksgiving met ‘black Friday’ maakt kledingketen Forever 21 bekend dat ze het grootste deel van het jaar indringers hadden in hun netwerk die transactiegegevens weggesluisd hebben. Wellicht niet zo groot als de hacks van Target, Home Depot en TJ Max, Walmart en CVS, de hack komt wel op een gevoelig moment voor de winkelketen, omdat terughoudendheid bij kopers tijdens de piek van het seizoen veel omzet kan kosten.

Wat opvalt:

  • ze hebben een notificatie moeten doen, anders dan bijvoorbeeld Equifax
  • ze zijn door een externe leverancier op de hoogte gebracht
  • de hack was actief vanaf maart 2017 tot en met oktober
  • ze hebben een encryptie/tokenization-systeem
  • een beperkt aantal PoS-systemen zijn getroffen, omdat hierop het encryptie/tokenization-systeem uitgezet was

FireFox Quantum - nieuw, mooi, slim

Firefox’s faster, slicker, slimmer Quantum edition now out
Firefox add-on technology is modernizing
Content Security Policy

FireFox 57, met de codenaam ‘Quantum’ is uitgebracht. Ars Technica schrijft:

Mozilla is rebuilding core parts of the browser, such as how it handles CSS stylesheets, how it draws pages on-screen, and how it uses the GPU.

And security remains a pressing concern, prompting the use of new techniques to protect against exploitation. Some of the rebuilt portions are even using Mozilla’s new Rust programming language, which is designed to offer improved security compared to C++.

Hiermee zijn web-extensies de enige soort extensies die nog ondersteund worden door Mozilla. Over de security hiervan zeggen ze:

Extensions developed with WebExtension APIs have a Content Security Policy (CSP) applied to them by default. This restricts the sources from which they can load <script> and <object> resources, and disallows potentially unsafe practices such as the use of eval().

Since [legacy] extensions could … modify Firefox internal code directly, it was possible for bad actors to include malicious code in an innocent-looking extension.

NoScript
NoScript
Populaire Firefox-extensie NoScript krijgt grote upgrade
NoScript’s Migration to WebExtensions APIs

Als web-extensies beperkt worden in hun mogelijkheden, kan een web-extensie nog steeds een goede beveiligingsadd-on vormen? De populaire FireFox extensie NoScript is geporteerd naar het web-extensie raamwerk met versie 10. Mozilla schrijft op hun blog:

Originally released in 2005, NoScript was developed to address security vulnerabilities in browsers by pre-emptively blocking scripts from untrusted websites. Over the time it grew into a security suite including many additional and often unique countermeasures against various web-based threats, such as Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) and Clickjacking.

NoScript developer Giorgio Maone: “Last year I’ve been working together with the WebExtensions team to develop this enhanced API: a very pleasant experience and a welcome chance for me to contribute code on Mozilla Central again, after quite awhile. Dynamic permissions for embedded JavaScript are not natively supported by WebExtensions.”

Wikileaks lekt gericht

Donald Trump Jr.’s Secret WikiLeaks Relationship Is Unveiled
The Secret Correspondence Between Donald Trump Jr. and WikiLeaks
Kamer geschrokken van Russische inmenging door nepnieuws

Rusland wordt ervan verdacht invloed uit te oefenen op belangrijke verkiezingen in de westerse wereld.

WikiLeaks wordt al langer verweten niet onpartijdig te zijn geweest in de publicatie van stukken die mogelijk een verschil hebben gemaakt in de uitkomst van de Amerikaanse verkiezingen vorig jaar. Zo zou WikiLeaks een speelbal zijn geweest van de Russen. Het zoeken is nu naar de werkelijke connectie. Bloomberg schrijft:

Donald Trump Jr., U.S. President Donald Trump’s eldest son, said Monday he had direct communication with WikiLeaks in the weeks before the 2016 presidential election.

The Atlantic beschrijft in detail hoe de interactie tussen het Trump-kamp en WikiLeaks is verlopen aan de hand van emails en Twitter-berichten.

The messages show WikiLeaks, a radical transparency organization that the American intelligence community believes was chosen by the Russian government to disseminate the information it had hacked, actively soliciting Trump Jr.’s cooperation.

Wat in de VS gebeurt, gebeurt ook in Europa. Wat doet Nederland hier aan? De NOS bericht:

De Tweede Kamer maakt zich er zorgen over dat, vooral vanuit Rusland, met nepnieuws wordt geprobeerd de Nederlandse publieke opinie te beïnvloeden. “Dat nepaccounts onze democratie beïnvloeden is levensgevaarlijk”, zei CDA-leider Buma. “Als je weet hoeveel vrije verkiezingen inmiddels zijn beïnvloed door Rusland, is dat angstwekkend.”

Het lijkt er op dat inmenging in verkiezingen niet direct via het rode potlood gaat, maar via de social media. De mens is wederom de zwakste schakel, lijkt het.

Sleepwet referendum komt er

‘Sleepwet’-referendum wordt gehouden op 21 maart 2018
Waar trek jij de grens?

En gerelateerd aan Russische inmenging zijn de bevoegdheden van de geheime diensten. We hebben al een wetsvoorstel voor de ‘Sleepwet’ liggen. Ook hierover gaat gestemd worden. Wat is de keuze?

Voor:

  • mogelijkheden voor de geheime diensten om kwetsbaarheden uit te buiten
  • geen meldingsplicht van de kwetsbaarheid
  • aftappen op basis van locatie (wijkniveau)

Tegen:

  • bescherming van onze vrijheid om dingen te doen die niet crimineel zijn, maar dat uit verband gerukt wel kunnen lijken
  • bekend worden van zaken die we niet hadden willen delen of hadden willen vergeten

DNB wordt pentester

DNB gaat veiligheid banken met red team testen
How to conduct the TIBER-NL test

DNB gaat pentesten opzetten in de kritieke infrastructuur van Nederland. De naam van het initiatief is TIBER: Threat Intelligence Based Ethical Red teaming.

Security.nl bericht:

De Nederlandsche Bank (DNB) gaat met hackers van cybersecuritybedrijven de veiligheid van banken, beursexploitanten en clearinghuizen testen. … Vandaag zal DNB het protocol met de spelregels van Tiber publiceren, zoals het nieuwe cyberinitiatief heet.

DNB zegt:

A TIBER test can therefore be defined as: the highest possible level of intelligence-based red teaming exercise using the same Tactics, Techniques and Procedures (TTPs) as real adversaries, against live critical production infrastructure, without the foreknowledge of the organisation’s defending Blue Team (BT).

IIoT security

An Insider’s 11 Take-Aways from Companies Winning Industrial (IIoT) Cybersecurity

GE Ventures heeft onderzoek gedaan naar succesvolle IIoT security:

… having a great product roadmap in traditional IT is not a birthright to succeed in industrial cybersecurity. But there are some commonalities among the most successful and promising startups in this space.

  1. They know their stuff.
  2. They take the IIoT Hippocratic Oath: First, do no harm.
  3. They don’t make things harder for the customer.
  4. They make security integrated.
  5. They don’t try to eat the whole cake at once.
  6. They start with the assumption that they will be targeted.
  7. They’re ready to scale.
  8. They know that security starts well before connecting a single industrial device.
  9. They don’t get distracted by buzz words.
  10. They understand the need to secure data at rest and in motion.
  11. They understand the job is never done.

Hack van grote IIoT - Boeing 757
DHS Led Team Demonstrates That Commercial Aircraft Can Be Remotely Hacked
Boeing 757 Hacked
Homeland Security team remotely hacked a Boeing 757
DHS says it remotely hacked a Boeing 757 sitting on a runway

DHS heeft hun eigen Boeing 757 gehackd. Wat weten we:

  • Chris Roberts jokingly tweeted about how he could hack the onboard systems two years ago
  • exploiting a flaw via “radio frequency communications” that’s evidently been known about for years
  • seven experienced pilots from American Airlines and Delta Air Lines were blindsided when briefed: ‘You guys have known about this for years and haven’t bothered to let us know because we depend on this stuff to be absolutely the bible.’
  • DHS/Southwest Airlines: ‘we don’t know the what, how, or where of the hack. Without these details from DHS, we don’t know how to fix it’
  • it costs too much to fix - an airline would be “bankrupt” if it had to fix its entire fleet
  • newer models of aircraft have been designed with security in mind, but legacy aircraft (90% of the commercial planes) don’t have these protections
  • airlines don’t have pentesters sniffing aboard their aircraft

Credits:

  • Muziek: Jahzzar - 1000 Miles (intro) & Chiefs (outtro)
  • Twitterhandles: Lex - @LexBorger, Joost - @JWijnings
  • Website: www.i-to-i.nl
Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten