DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Vanavond vanaf 19.00 zullen twee beveiligingsexperts van online beveiligingsgigant ESET jullie vragen beantwoorden over alles rondom online dreigingen. ESET is een grote speler in de zakelijke en particuliere sector. De consumentenproducten zijn meermaals tot beste internetbeveiliging uitgeroepen door programma's als Kassa.
Lead Security Engineer Donny en Head of Security Services Robin zijn volledig op de hoogte van de laatste trends in de wereld van hacking en ransomware en weten uiteraard wat je tegen die dreigingen moet doen. Beide mannen zijn ook nog eens gekwalificeerd ethical hacker.
ESET heeft ook nog beloofd om een prijs weg te geven aan de steller van de beste of leukste vraag. Het is nog even een verrassing wat die prijs is.
Zoals altijd, DIG is een serieus forum dus hou het netjes
Donny en Robin zijn nieuw op ons forum, geef ze de tijd om de knoppen te leren kennen.
Lead Security Engineer Donny en Head of Security Services Robin zijn volledig op de hoogte van de laatste trends in de wereld van hacking en ransomware en weten uiteraard wat je tegen die dreigingen moet doen. Beide mannen zijn ook nog eens gekwalificeerd ethical hacker.
ESET heeft ook nog beloofd om een prijs weg te geven aan de steller van de beste of leukste vraag. Het is nog even een verrassing wat die prijs is.
Zoals altijd, DIG is een serieus forum dus hou het netjes
Donny en Robin zijn nieuw op ons forum, geef ze de tijd om de knoppen te leren kennen.
Spoilers!
Ik ben Robin. Als Ethical Hacker bij ESET ben ik dagelijks bezig met het monitoren van klantomgevingen op malware, hacks en andere bedreigingen. Op het moment dat wij een aanval live zien gebeuren schakelen wij direct met de klant om de dreiging te stoppen door een firewall dicht te zetten of systemen offline te halen. Verder onderzoeken we de nieuwste aanvalstechnieken om hier passende detectieregels voor te schrijven.
In het licht van de grote ransomware zaken de afgelopen dagen op overheidsinstellingen in zowel Nederland als België, zouden jullie adviseren losgeld te betalen of maakt dit in jullie ervaring doorgaans weinig verschil?
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Hou je je met grote en kleine gebruikers bezig of ligt jouw focus toch vooral bij grote bedrijven en instellingen?quote:Op maandag 27 januari 2020 18:52 schreef Robin_ESET het volgende:
Ik ben Robin. Als Ethical Hacker bij ESET ben ik dagelijks bezig met het monitoren van klantomgevingen op malware, hacks en andere bedreigingen. Op het moment dat wij een aanval live zien gebeuren schakelen wij direct met de klant om de dreiging te stoppen door een firewall dicht te zetten of systemen offline te halen. Verder onderzoeken we de nieuwste aanvalstechnieken om hier passende detectieregels voor te schrijven.
Spoilers!
En nog een vraag, zouden jullie met jullie kennis niet veel meer geld kunnen verdienen door deze verkeerd in te zetten?
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Hallo ,ik ben Donny. Ik heb ongeveer 10 jaar als “aanvaller” gewerkt, en zowel digitaal als fysiek ingebroken bij de grootste bedrijven van Nederland. Wel met toestemming uiteraard. Nu probeer ik alles wat ik daar geleerd heb toe te passen bij het beveiligen van netwerken en systemen.
Ja, maar wij hechten meer waarde aan onze vrijheidquote:Op maandag 27 januari 2020 18:57 schreef FlippingCoin het volgende:
En nog een vraag, zouden jullie met jullie kennis niet veel meer geld kunnen verdienen door deze verkeerd in te zetten?
Wij raden altijd af om losgeld te betalen. Door de betaling te doen steun je de criminelen en geef je ze geld om de ransomware campagne voort te zetten.quote:
In het licht van de grote ransomware zaken de afgelopen dagen op overheidsinstellingen in zowel Nederland als België, zouden jullie adviseren losgeld te betalen of maakt dit in jullie ervaring doorgaans weinig verschil?
Dit advies komt uiteraard uit een ideale situatie. Wij begrijpen ook dat je soms geen optie hebt als je gemaakte backups (
) toch niet blijken te werken.
Als ESET staan we klaar voor zowel consumenten als grote bedrijven. De nadruk voor hulp bij consumenten ligt uiteraard meer op het niveau van productondersteuning en het malware-vrij maken van de PC.quote:
[..]
Hou je je met grote en kleine gebruikers bezig of ligt jouw focus toch vooral bij grote bedrijven en instellingen?
Vanuit de security services afdeling ligt de focus vooral op grotere bedrijven die een uitgebreid netwerk hebben om te pentesten en te monitoren op security incidenten.
Mochten jullie een laptop hebben met webcam, hebben jullie een sticker over jullie webcam heen geplakt uit angst voor hackers?
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Voor sommige gebruikers zijn de functies die de standaard Windows beveiliging bieden niet voldoende of voldoende aanpasbaar. Daarnaast bieden wij ook wat beveiligingstechnieken die niet door de standaard software geboden worden.quote:
Waarom zou ik internetbeveiliging aanschaffen als het al in m'n Windows-apparaat zit?
Plus daarnaast uiteraard de detectie die veeeeeeel beter is
Ja, wil je er ook een hebben?quote:Op maandag 27 januari 2020 19:04 schreef ChevyCaprice het volgende:
Mochten jullie een laptop hebben met webcam, hebben jullie een sticker over jullie webcam heen geplakt uit angst voor hackers?
Heb je er ook een op je smartphonecamera?quote:
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Als aanvulling op @Robin_ESET: Ja, al heb ik mijn zakelijke laptop expres zonder camera gekocht. Persoonlijk denk ik alleen dat de microfoon (die je niet zomaar af kan plakken) gevaarlijker is.quote:
Mochten jullie een laptop hebben met webcam, hebben jullie een sticker over jullie webcam heen geplakt uit angst voor hackers?
Nee, een beetje mooie smartphone is nog wel fijn.quote:
[..]
Heb je er ook een op je smartphonecamera?
heywoodu
Van bijna dood tot olympiër:
Moeten jullie ook een beetje grinniken als je zo'n Randstad-reclame ziet waarbij 'deze whizzkid hackers buiten de deur houdt', waarbij hij voor een soort hologramscherm al lachend druk heen en weer staat te vegen met zijn armen, alsof hij ze één voor één het netwerk uit swipet?
Van bijna dood op weg naar de Olympische Spelen, tot olympiër in 2026? Elk beetje hulp wordt bijzonder gewaardeerd!
https://www.gofundme.com/(...)he-spelen-na-ongeval
https://www.gofundme.com/(...)he-spelen-na-ongeval
Naast mijn webcam zit een lampje zodat je weet dat die aan staat, is dat niet afdoende?quote:
[..]
Als aanvulling op @:Robin_ESET: Ja, al heb ik mijn zakelijke laptop expres zonder camera gekocht. Persoonlijk denk ik alleen dat de microfoon (die je niet zomaar af kan plakken) gevaarlijker is.
Waarom wel op je laptop en niet op je smartphone?quote:
[..]
Nee, een beetje mooie smartphone is nog wel fijn.
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Ja, en niet alleen bij die reclame.quote:Op maandag 27 januari 2020 19:09 schreef heywoodu het volgende:
Moeten jullie ook een beetje grinniken als je zo'n Randstad-reclame ziet waarbij 'deze whizzkid hackers buiten de deur houdt', waarbij hij voor een soort hologramscherm al lachend druk heen en weer staat te vegen met zijn armen, alsof hij ze één voor één het netwerk uit swipet?
heywoodu
Van bijna dood tot olympiër:
Ik denk ook aan films, waarbij de dreiging van een hacker voorbij is als de stekker eruit wordt getrokken....in een enkel geval nota bene de stekker van de monitor?quote:
[..]
Ja, en niet alleen bij die reclame.
Van bijna dood op weg naar de Olympische Spelen, tot olympiër in 2026? Elk beetje hulp wordt bijzonder gewaardeerd!
https://www.gofundme.com/(...)he-spelen-na-ongeval
https://www.gofundme.com/(...)he-spelen-na-ongeval
Hoe langer je in dit vak zit hoe meer je gaat lachen om serieuze series als CSI en dergelijke.quote:
Moeten jullie ook een beetje grinniken als je zo'n Randstad-reclame ziet waarbij 'deze whizzkid hackers buiten de deur houdt', waarbij hij voor een soort hologramscherm al lachend druk heen en weer staat te vegen met zijn armen, alsof hij ze één voor één het netwerk uit swipet?
heywoodu
Van bijna dood tot olympiër:
Wat voor certificaten hebben jullie gehaald, met name om 'in het vak' te komen? Ethical Hacking Foundation neem ik aan, maar verder? Na het halen van dat examen ben ik zelf in elk geval afgehaakt, schijnbaar heb je toch meer creativiteit nodig dan ik dacht 
Van bijna dood op weg naar de Olympische Spelen, tot olympiër in 2026? Elk beetje hulp wordt bijzonder gewaardeerd!
https://www.gofundme.com/(...)he-spelen-na-ongeval
https://www.gofundme.com/(...)he-spelen-na-ongeval
Mijn persoonlijke favoriet:quote:
[..]
Ik denk ook aan films, waarbij de dreiging van een hacker voorbij is als de stekker eruit wordt getrokken....in een enkel geval nota bene de stekker van de monitor?
Overigens doet Mr Robot het best wel goed.
Afhankelijk van de opzet van het indicatielampje. Dergelijke lampjes worden vaak softwarematig aangestuurd en dan is dat uiteraard ook weer te omzeilen.quote:
[..]
Naast mijn webcam zit een lampje zodat je weet dat die aan staat, is dat niet afdoende?
[..]
Waarom wel op je laptop en niet op je smartphone?
Een smartphone werkt in de basis weer anders en daar moet je vaak nog losse permissies geven om de camera te activeren. Uiteraard is dat met een kwetsbaarheid ook niet zeker. Daarnaast is het op een smartphone minder praktisch omdat ik daar daadwerkelijk mijn camera ook gebruik.
Ik ben begonnen voor die certificaten mainstream waren, maar ondertussen heb ik OSCP en OSCE van Offensive Security, en ben ik bezig met OSWE. Certified Ethical Hacker was ik persoonlijk niet zo van onder de indruk.quote:
Wat voor certificaten hebben jullie gehaald, met name om 'in het vak' te komen? Ethical Hacking Foundation neem ik aan, maar verder? Na het halen van dat examen ben ik zelf in elk geval afgehaakt, schijnbaar heb je toch meer creativiteit nodig dan ik dacht
Zijn jullie vooral bezig met het weren c.q. voorkomen van hackpogingen of proberen jullie ook te achterhalen wie er achter een aanval zit?
Mag hopen meer dan CEH.quote:
Wat voor certificaten hebben jullie gehaald, met name om 'in het vak' te komen? Ethical Hacking Foundation neem ik aan, maar verder? Na het halen van dat examen ben ik zelf in elk geval afgehaakt, schijnbaar heb je toch meer creativiteit nodig dan ik dacht
Hee. Zeg nou zelf, ik ben toch gewoon een hartstikke lekker ding? TOch?
Nee, voorkomen en mitigeren van aanvallen vooral, en achteraf een impactanalyse doen. Ontdekken wie achter een aanval zit is eigenlijk zo goed als onmogelijk als je geen opsporingsinstantie bent.quote:Op maandag 27 januari 2020 19:16 schreef Opa.Bakkebaard het volgende:
Zijn jullie vooral bezig met het weren c.q. voorkomen van hackpogingen of proberen jullie ook te achterhalen wie er achter een aanval zit?
Ik moet altijd hardop lachen als ik het journaal zit te kijken en het gaat over hacken, dat ze dan wat html code op de achtergrond laten zien of de root tree van een linux servertjequote:
[..]
Ja, en niet alleen bij die reclame.
Mijn vriendin begrijpt dat niet
Werken jullie weleens samen met opsporingsinstanties?quote:
[..]
Nee, voorkomen en mitigeren van aanvallen vooral, en achteraf een impactanalyse doen. Ontdekken wie achter een aanval zit is eigenlijk zo goed als onmogelijk als je geen opsporingsinstantie bent.
Spoilers!
Ik las zojuist dit:
https://www.security.nl/p(...)ktop+Gateways+online
Dit terwijl er een patch beschikbaar is. Security blijft nog steeds een ondergeschoven kindje bij veel bedrijven. Doen jullie ook wat aan de bewustwording van risico's bij jullie klanten?
https://www.security.nl/p(...)ktop+Gateways+online
Dit terwijl er een patch beschikbaar is. Security blijft nog steeds een ondergeschoven kindje bij veel bedrijven. Doen jullie ook wat aan de bewustwording van risico's bij jullie klanten?
Zeker, zowel in Nederland als in het buitenland.quote:Op maandag 27 januari 2020 19:19 schreef Lucky_Strike het volgende:
[..]
Werken jullie weleens samen met opsporingsinstanties?
welk beveiliging maatregel is meeste effectief tegen hacker of spionage enzovoort.
Al die ontdekkingsreizen door mensen, ze hebben nooit tegenhouden door domheid van mensen
We doen ons best door praatjes te geven op evenementen of bedrijven, en de laatste tijd lijken steeds meer bedrijven het goed op te pakken. Maar blijft lastig.quote:
Ik las zojuist dit:
https://www.security.nl/p(...)ktop+Gateways+online
Dit terwijl er een patch beschikbaar is. Security blijft nog steeds een ondergeschoven kindje bij veel bedrijven. Doen jullie ook wat aan de bewustwording van risico's bij jullie klanten?
De keramiekwinkel uit Utrecht? Nee, zegt me niksquote:
Kennen jullie de Mobachs persoonlijk? #DTV
Geen netwerkverbinding is een goede eerste stap.quote:
welk beveiliging maatregel is meeste effectief tegen hacker of spionage enzovoort.
Uiteraard begint een sterke beveiliging met een goed anti-malware product (inclusief firewall). Daarnaast zijn er nog verschillende instellingen die je kan doen om zowel Windows als bijvoorbeeld je firewall strakker af te stellen. Denk aan uitschakelen van de verouderde SMBv1 en 2 in Windows of in je firewall helemaal af te sluiten. Je kan zo diep gaan als je zelf nodig denkt te hebben. Er bestaat helaas geen één maatregel die alles oplost.
Ransomware lijkt een lucratief verdienmodel te zijn. Verwachten jullie dat dit alleen nog maar het begin zal zijn? Of is het nog wel de kop in te drukken?
Bedankt voor jullie antwoorden trouwens. Erg interessant!
Bedankt voor jullie antwoorden trouwens. Erg interessant!
Je ziet het nu heel erg verschuiven van een simpele variant voor de thuisgebruiker, tot een organisatie die eerst een bedrijf van onder tot boven doorhacked, de backups onbruikbaar maakt en vervolgens ransomware uitrolt op alle systemen tegelijk om de kans op betalen zo hoog mogelijk te krijgen.quote:Op maandag 27 januari 2020 19:27 schreef Opa.Bakkebaard het volgende:
Ransomware lijkt een lucratief verdienmodel te zijn. Verwachten jullie dat dit alleen nog maar her begin zal zijn? Of is het nog wel de kop in te drukken?
Bedankt voor jullie antwoorden trouwens. Erg interessant!
Met andere woorden, er zit momenteel zo'n enorme industrie achter dat het niet meer even de kop in te drukken is. De doelwitten veranderen wel.
Hoe wordt je hacker?
Is daar een opleiding voor? Of begin je met ICT?
Hacken jullie ook wel eens persoonlijk? Dus buiten werk om?
Is daar een opleiding voor? Of begin je met ICT?
Hacken jullie ook wel eens persoonlijk? Dus buiten werk om?
Denk ook goed na over wat voor type aanval je jezelf tegen wil beschermen. Ik heb mezelf voorgenomen dat ik de lijn trek bij opsporingsdiensten / "vijandige" naties omdat ik weet dat als zij toegang willen tot mijn gegevens ze het toch wel voor elkaar kunnen krijgen.quote:
[..]
Geen netwerkverbinding is een goede eerste stap.
Uiteraard begint een sterke beveiliging met een goed anti-malware product (inclusief firewall). Daarnaast zijn er nog verschillende instellingen die je kan doen om zowel Windows als bijvoorbeeld je firewall strakker af te stellen. Denk aan uitschakelen van de verouderde SMBv1 en 2 in Windows of in je firewall helemaal af te sluiten. Je kan zo diep gaan als je zelf nodig denkt te hebben. Er bestaat helaas geen één maatregel die alles oplost.
Mijn standaard antwoord is altijd: gewoon doen. Tegenwoordig heb je hele goede (gratis) labs waar je kunt oefenen. Volgens mij zijn er tegenwoordig wel opleidingen voor, maar zeker in dit vakgebied zegt opleiding lang niet alles. Motivatie is veel belangrijker.quote:
Hoe wordt je hacker?
Is daar een opleiding voor? Of begin je met ICT?
Hacken jullie ook wel eens persoonlijk? Dus buiten werk om?
En nee, natuurlijk niet..
Ook geen wedstrijden ofzo?quote:
[..]
Mijn standaard antwoord is altijd: gewoon doen. Tegenwoordig heb je hele goede (gratis) labs waar je kunt oefenen. Volgens mij zijn er tegenwoordig wel opleidingen voor, maar zeker in dit vakgebied zegt opleiding lang niet alles. Motivatie is veel belangrijker.
En nee, natuurlijk niet..
Meen dat er wel eens wedstrijden worden gehouden waarmee je geldprijzen kan winnen?
Lijkt me wel een leuke party-trick om ff het wifi-netwerk te kraken oid.quote:
[..]
Mijn standaard antwoord is altijd: gewoon doen. Tegenwoordig heb je hele goede (gratis) labs waar je kunt oefenen. Volgens mij zijn er tegenwoordig wel opleidingen voor, maar zeker in dit vakgebied zegt opleiding lang niet alles. Motivatie is veel belangrijker.
En nee, natuurlijk niet..
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Eigenlijk moet je geen enkele belangrijke informatie en of iets interessant op computer zetten.quote:
[..]
Denk ook goed na over wat voor type aanval je jezelf tegen wil beschermen. Ik heb mezelf voorgenomen dat ik de lijn trek bij opsporingsdiensten / "vijandige" naties omdat ik weet dat als zij toegang willen tot mijn gegevens ze het toch wel voor elkaar kunnen krijgen.
Al die ontdekkingsreizen door mensen, ze hebben nooit tegenhouden door domheid van mensen
O, ja, ik doe graag mee aan een CTF op z'n tijd, maar dat zijn meer technische puzzels dan echt hacken. Als ik buiten werktijd wel een kwetsbaarheid vind in een product of dienst probeer ik het altijd op de juiste manier te melden aan de eigenaar, die daar niet altijd vriendelijk tegenover staat overigens..quote:
[..]
Ook geen wedstrijden ofzo?
Meen dat er wel eens wedstrijden worden gehouden waarmee je geldprijzen kan winnen?
Hacker zijn is voornamelijk een mindset die je nodig hebt. Ervaring om er je beroep van te maken kun je prima jezelf aanleren (kijkt naar @Donny_ESET). Zelf heb ik de specialisatie Cyber Security gevolgd bij Fontys Hogescholen. Beide routes zijn zeker mogelijk.quote:
Hoe wordt je hacker?
Is daar een opleiding voor? Of begin je met ICT?
Hacken jullie ook wel eens persoonlijk? Dus buiten werk om?
Naast het werk is er ook genoeg legaal te hacken. Denk aan Capture the Flags zowel online als op evenementen. Maar ook websites als hackerone.com bieden genoeg opties om je talenten in te zetten of om wat van te leren.
Wat voor soort kwetsbaarheden tref je wel eens aan?quote:
[..]
O, ja, ik doe graag mee aan een CTF op z'n tijd, maar dat zijn meer technische puzzels dan echt hacken. Als ik buiten werktijd wel een kwetsbaarheid vind in een product of dienst probeer ik het altijd op de juiste manier te melden aan de eigenaar, die daar niet altijd vriendelijk tegenover staat overigens..
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Niet helemaal gedaan, maar wel eens op vakantie de wifi router van het vakantiehuisje naast ons uitgezet (standaard wachtwoorden) omdat ze de muziek wel heel hard hadden staan. Niet doorvertellen.quote:
[..]
Lijkt me wel een leuke party-trick om ff het wifi-netwerk te kraken oid.
Hebben jullie ook al geprobeerd Fok! ingebroken..eens kijken hoe goed beveiligd ze is?
Al die ontdekkingsreizen door mensen, ze hebben nooit tegenhouden door domheid van mensen
Och, van alles. Slech beveiligde beheerpanelen van websites, SQL injections (nog steeds) tot aan complete datasets met klantgegevens die onbeveiligd online staan.quote:
[..]
Wat voor soort kwetsbaarheden tref je wel eens aan?
Nee, ik niet in ieder gevalquote:
Hebben jullie ook al geprobeerd Fok! ingebroken..eens kijken hoe goed beveiligd ze is?
Het viel me al meteen op dat je wachtwoord plaintext in een emailtje wordt verstuurd. Misschien toch eens met de mods praten hier...quote:
Hebben jullie ook al geprobeerd Fok! ingebroken..eens kijken hoe goed beveiligd ze is?
Worden jullie ook zo gek van al die eisen aan je wachtwoord op sommige sites 
?
?
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Hoe begin je in vredesnaam met hacken?
Kennen jullie die kerel van Oplichters van Kees van de Spek? Die gast hacked iedereen wereldwijd om toegang te krijgen tot bv smartphones
Kennen jullie die kerel van Oplichters van Kees van de Spek? Die gast hacked iedereen wereldwijd om toegang te krijgen tot bv smartphones
Ja, het is heel vervelend als websites geen wachtwoorden langer dan 16 tekens accepteren!quote:
Worden jullie ook zo gek van al die eisen aan je wachtwoord op sommige sites
Bij welke bedrijven heb je zoal ingebroken?quote:
Hallo ,ik ben Donny. Ik heb ongeveer 10 jaar als “aanvaller” gewerkt, en zowel digitaal als fysiek ingebroken bij de grootste bedrijven van Nederland. Wel met toestemming uiteraard. Nu probeer ik alles wat ik daar geleerd heb toe te passen bij het beveiligen van netwerken en systemen.
En kunnen jullie eigenlijk alles hacken? Dus bijv. Ook geld bijschrijven van een bank naar je eigen rekening als je zou willen?
Ja, sommige zijn ook totaal doelloos. Soms heb ik een wachtwoord van 24 karakters, maar is ie " niet veilig genoeg " omdat er geen speciaal teken in zit. Maar de echte zonde is websites die het plakken van wachtwoorden verbieden zodat ik als een monnik mijn wachtwoord moet overtikken uit m'n wachtwoordkluis.quote:
Worden jullie ook zo gek van al die eisen aan je wachtwoord op sommige sites
Als ze zich nou eens zouden focussen op het veilig opslaan van wachtwoorden, dan kan ik gewoon Zomer2019! blijven gebruiken.
Specifieke namen kan ik je niet geven (iets met geheimhoudingen), maar denk aan banken, overheidsinstellingen, vliegvelden, verzekeraars, etc.quote:
[..]
Bij welke bedrijven heb je zoal ingebroken?
En kunnen jullie eigenlijk alles hacken? Dus bijv. Ook geld bijschrijven van een bank naar je eigen rekening als je zou willen?
En ja, we hebben ooit wel eens in de situatie gezeten dat we geld konden overmaken naar willekeurige rekeningen
.
Daarover gesproken, Chrome heeft legio wachtwoorden van mij, wordt ook gesynct met de Chrome app op mijn smartphone. Allemaal erg handig, maar hoe veilig is dat nou eigenlijkquote:
[..]
Ja, sommige zijn ook totaal doelloos. Soms heb ik een wachtwoord van 24 karakters, maar is ie " niet veilig genoeg " omdat er geen speciaal teken in zit. Maar de echte zonde is websites die het plakken van wachtwoorden verbieden zodat ik als een monnik mijn wachtwoord moet overtikken uit m'n wachtwoordkluis.
Als ze zich nou eens zouden focussen op het veilig opslaan van wachtwoorden, dan kan ik gewoon Zomer2019! blijven gebruiken.
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Het is vooral heel veel doen. Begin met super simpele dingen zoals DVWA (Damn Vulnerable Web Application) en een guide. Maak het vervolgens steeds iets moeilijker voor jezelf.quote:
Hoe begin je in vredesnaam met hacken?
Kennen jullie die kerel van Oplichters van Kees van de Spek? Die gast hacked iedereen wereldwijd om toegang te krijgen tot bv smartphones
Oplichters heb ik ook wel eens gezien inderdaad, maar ze laten helaas niks zien over hun methodes. Ik ga er van uit dat ze daar social engineering voor gebruiken, meestal zijn het niet de meest tech-savvy personen aan de andere kant.
Over wachtwoorden gesproken, zijn jullie fan van lastpass?
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Ik hoop dat je hier een sterk master password op hebt ingesteld? In dat geval is het vergelijkbaar met een service als Lastpass.quote:Op maandag 27 januari 2020 19:47 schreef ChevyCaprice het volgende:
[..]
Daarover gesproken, Chrome heeft legio wachtwoorden van mij, wordt ook gesynct met de Chrome app op mijn smartphone. Allemaal erg handig, maar hoe veilig is dat nou eigenlijk
Iemand met toegang tot jouw pc kan ze zeer waarschijnlijk inzien, net als iemand met toegang tot je Google account. Zorgen dat beide niet gecompromiteerd worden dusquote:
[..]
Daarover gesproken, Chrome heeft legio wachtwoorden van mij, wordt ook gesynct met de Chrome app op mijn smartphone. Allemaal erg handig, maar hoe veilig is dat nou eigenlijk
. Het is trouwens wel zo dat de gegevens die door de browser lokaal opgeslagen worden, versleuteld worden met een sleutel die uniek is aan de computer. Dus op een andere computer kunnen ze (theoretisch) niet ontsleuteld worden.
Maar als iemand toegang heeft tot je Google account en jij synchroniseert de wachtwoorden, dan zijn ze gewoon te downloaden naar een nieuwe computer natuurlijk. Des te meer reden om twee-factor authenticatie te gebruiken.
" Ik heb 'm zelf ook ".quote:
Over wachtwoorden gesproken, zijn jullie fan van lastpass?
Ja, ik heb ooit bij een opdracht de LastPass kluis van gebruikers moeten aanvallen, en was onder de indruk over hoe het in elkaar zat. Dus ik ben het daarna ook gaan gebruiken. Uiteraard met twee-factor authenticatie.
Ah oké top.quote:
[..]
" Ik heb 'm zelf ook ".
Ja, ik heb ooit bij een opdracht de LastPass kluis van gebruikers moeten aanvallen, en was onder de indruk over hoe het in elkaar zat. Dus ik ben het daarna ook gaan gebruiken. Uiteraard met twee-factor authenticatie.
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Heel graag! Dat soort services verhelpen een van de grotere problemen. Als ik heel strikt kijk biedt een programma als KeePass een betere beveiliging (afhankelijk van hoe je zelf met je opslag om gaat). Maar het gebruiksgemak wat een Lastpass of Onepass levert kan er voor zorgen dat veel meer personen sterke en verschillende wachtwoorden gebruiken.quote:
Over wachtwoorden gesproken, zijn jullie fan van lastpass?
Als je nog wat extra beveiliging wil trouwens, je kunt volgens mij aanpassen hoeveel " rondes " encryptie LastPass gebruikt voor het versleutelen. Hoe meer, hoe langer het kraken duurt. Maar ook hoe langer het inloggen: https://support.logmeinin(...)-iterations-lp030027quote:
Jullie zijn er vast bewust van dat er tools zijn die Eset producten activeren zonder te betalen. Doen jullie hier iets bewust tegen of houden jullie deze gebruikers bij?
Ik heb vrij goede wachtwoorden die nog nooit zijn gehackt. En dat laatste, is dat positief?quote:
[..]
Ik hoop dat je hier een sterk master password op hebt ingesteld? In dat geval is het vergelijkbaar met een service als Lastpass.
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Redenen voor in dit geval, lang verhaal enzo. Ik zat al op een opmerking van jullie te wachten, lol.quote:
[..]
Het viel me al meteen op dat je wachtwoord plaintext in een emailtje wordt verstuurd. Misschien toch eens met de mods praten hier...
Ben het er ook niet mee eens
Ik ga er vanuit dat je dat al lang hebt aangepast
Spoilers!
Hier zijn we inderdaad van op de hoogte en treden we ook actief tegenop. Een licentie wat misbruikt wordt zal worden gedeactiveerd. De meeste tools werken ook alleen nog maar op verouderde versies waardoor je met een minder goede bescherming zit.quote:
Jullie zijn er vast bewust van dat er tools zijn die Eset producten activeren zonder te betalen. Doen jullie hier iets bewust tegen of houden jullie deze gebruikers bij?
Dat verhaal laatst met Citrix. Ik begreep dat het in December al was ontdekt en er pas een week geleden er echt wat aan gedaan is. Als leek vind ik dat eigenlijk best traag en ietwat laks als je als dergelijk bedrijf toch vaak de toegangsdeur bent naar en van internet.
Wat denken jullie daarvan?
Wat denken jullie daarvan?
Leuk dat jullie meewerken aan deze Q en A op FOK! 
Ik werk zelf al jaren met ESET maar ik vind het steeds ingewikkelder worden om te snappen welke instelling leidt tot welke actie. Zijn jullie ervan bewust dat ook 'niet whizzkids' jullie programma's willen gebruiken?
Ik werk zelf al jaren met ESET maar ik vind het steeds ingewikkelder worden om te snappen welke instelling leidt tot welke actie. Zijn jullie ervan bewust dat ook 'niet whizzkids' jullie programma's willen gebruiken?
Als het nodig is kunnen we wel een "officieel advies" uitbrengenquote:
[..]
Redenen voor in dit geval, lang verhaal enzo. Ik zat al op een opmerking van jullie te wachten, lol.
Ben het er ook niet mee eens
Ik ga er vanuit dat je dat al lang hebt aangepast
Uiteraard heb ik het wachtwoord direct aangepast.
Het is zeker een ernstige kwetsbaarheid, en het liefst wil je natuurlijk zo snel mogelijk een patch die het probleem oplost. Het probleem is dat ook die patches goed getest moeten worden zodat niet opeens alle apparaten offline gaan. Daarom hebben ze denk ik voor de huidige aanpak gekozen waarbij ze eerst een workaround adviseerden en later een patch beschikbaar maakten.quote:
Dat verhaal laatst met Citrix. Ik begreep dat het in December al was ontdekt en er pas een week geleden er echt wat aan gedaan is. Als leek vind ik dat eigenlijk best traag en ietwat laks als je als dergelijk bedrijf toch vaak de toegangsdeur bent naar en van internet.
Wat denken jullie daarvan?
Het lijkt alsof er super veel tijd tussen ontdekken en patchen zat, maar in werkelijkheid was het redelijk snel. Het zal je verbazen hoe vaak je voor sommige software meer dan 3 maanden moet wachten op een patch, als die uberhaupt al komt.
Neemt niet weg natuurlijk dat je het liefst helemaal geen kwetsbaarheden wil, zeker niet in zulke belangrijke software die speciaal gemaakt is om direct aan het internet te hangen.
We werken er ook al jaren aan om ESET steeds beter out-of-the-box te laten werken waardoor het niet altijd meer nodig is om eigen instellingen te maken. Mocht je het zelf willen uitzoeken kun je het opzoeken op onze help pagina's en de supportdesk staat 6 dagen per week voor je klaar.quote:
Leuk dat jullie meewerken aan deze Q en A op FOK!
Ik werk zelf al jaren met ESET maar ik vind het steeds ingewikkelder worden om te snappen welke instelling leidt tot welke actie. Zijn jullie ervan bewust dat ook 'niet whizzkids' jullie programma's willen gebruiken?
Als ik kijk naar het verschil (en omvang) van jullie programma's voor de PC en mobiel kan ik mij niet aan de indruk onttrekken dat dit geen gelijkwaardige beveiliging biedt. Is dit juist?
Hoe zit het met de veiligheid van smart-tv's?
Is een bedraad netwerk veiliger dan WIFI?
Hoe zit het met de veiligheid van smart-tv's?
Is een bedraad netwerk veiliger dan WIFI?
Ja daar zal vast veel meer bij komen kijken dan ik me kan voorstellen. Toch... Een megagroot bedrijf waar juist hun belangrijkste product als een huis overeind zou moeten blijven. Als dat niet lukt was wellicht het adviseren om de boel tijdelijk uit te zetten toch beter geweest. Better safe than sorry. Wellicht dat er nu bedrijven zijn met ransomware die zoals je hierboven al aangaf wacht op het juiste moment. Maargoed daar kunnen jullie niets aan doen natuurlijk.quote:
[..]
Het is zeker een ernstige kwetsbaarheid, en het liefst wil je natuurlijk zo snel mogelijk een patch die het probleem oplost. Het probleem is dat ook die patches goed getest moeten worden zodat niet opeens alle apparaten offline gaan. Daarom hebben ze denk ik voor de huidige aanpak gekozen waarbij ze eerst een workaround adviseerden en later een patch beschikbaar maakten.
Het lijkt alsof er super veel tijd tussen ontdekken en patchen zat, maar in werkelijkheid was het redelijk snel. Het zal je verbazen hoe vaak je voor sommige software meer dan 3 maanden moet wachten op een patch, als die uberhaupt al komt.
Neemt niet weg natuurlijk dat je het liefst helemaal geen kwetsbaarheden wil, zeker niet in zulke belangrijke software die speciaal gemaakt is om direct aan het internet te hangen.
Nogmaals bedankt voor je uitgebreide antwoorden.
Ik heb nooit zin om alle apps te updaten, op mijn Android foon. Werkt het weer net anders, of de nieuwe versie is buggy.
Toch alle apps maar updaten, Just to be sure?
Leuk topic
Toch alle apps maar updaten, Just to be sure?
Leuk topic
How do we turn this world-class fuck-up into a world-class learning experience?
Daten ze bij jou niet automatisch up?quote:
Ik heb nooit zin om alle apps te updaten, op mijn Android foon. Werkt het weer net anders, of de nieuwe versie is buggy.
Toch alle apps maar updaten, Just to be sure?
Leuk topic
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Uit security oogpunt: ja.quote:
Ik heb nooit zin om alle apps te updaten, op mijn Android foon. Werkt het weer net anders, of de nieuwe versie is buggy.
Toch alle apps maar updaten, Just to be sure?
Leuk topic
Maar waarschijnlijk kom je er ook mee weg om gewoon netjes systeemupdates te installeren en alleen belangrijke apps zoals die van banken up to date te houden.
De mogelijkheden die een programma op een telefoon en op een PC krijgt zijn ook niet gelijk. Op een smartphone zijn apps veel meer gebonden aan hun sandbox waardoor je niet zo gemakkelijk andere processen kan scannen. Dit is ook de reden waarom er geen anti-malware product bestaat op Apple telefoons.quote:
Als ik kijk naar het verschil (en omvang) van jullie programma's voor de PC en mobiel kan ik mij niet aan de indruk onttrekken dat dit geen gelijkwaardige beveiliging biedt. Is dit juist?
Hoe zit het met de veiligheid van smart-tv's?
Is een bedraad netwerk veiliger dan WIFI?
De veiligheid van smart-tv's is verder te vergelijken met telefoons, met het verschil dat je ze niet naar talloze andere (publieke) netwerken mee neemt.
Bedraad is inderdaad een stukje moeilijker af te luisteren dan WiFi. Kijk maar eens naar een tutorial van een Pineapple (https://scotthelme.co.uk/wifi-pineapple-mark-v-introduction-setup).
Kan je uitzettenquote:
[..]
Daten ze bij jou niet automatisch up?
Ik heb toch ESET; mij overkomt niets
How do we turn this world-class fuck-up into a world-class learning experience?
Hoe staat het tegenwoordig eigenlijk met de security van Android, nog steeds veel slechter dan Apple?
How do we turn this world-class fuck-up into a world-class learning experience?
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Bedanktquote:
[..]
De mogelijkheden die een programma op een telefoon en op een PC krijgt zijn ook niet gelijk. Op een smartphone zijn apps veel meer gebonden aan hun sandbox waardoor je niet zo gemakkelijk andere processen kan scannen. Dit is ook de reden waarom er geen anti-malware product bestaat op Apple telefoons.
De veiligheid van smart-tv's is verder te vergelijken met telefoons, met het verschil dat je ze niet naar talloze andere (publieke) netwerken mee neemt.
Bedraad is inderdaad een stukje moeilijker af te luisteren dan WiFi. Kijk maar eens naar een tutorial van een Pineapple (https://scotthelme.co.uk/wifi-pineapple-mark-v-introduction-setup).
Top, bedankt voor het antwoorden.quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Naar huis?quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. ...
Ligt bij jullie toko de Citrix er ook nog steeds uit ofzo?
Gekheid; bedankt voor jullie bijdragen
How do we turn this world-class fuck-up into a world-class learning experience?
Top, bedankt en fijne avond!quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Spoilers!
Zeer veel dank namens DIG en FOK!quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Mooi te laat!
Mochten jullie dit nog willen beantwoorden, alvast bedankt.
.
Zijn jullie ook opzoek naar de gaten in software om binnen te komen (en dit dan te beveiligen)? Of gebruik je metasploit en wat niet om alleen te testen en daarna te beveiligen? (Dus gebruik maken van de reeds bekende gaten en dit testen)
Probleem wat ik veelal zie is hoe bedrijven omgaan met software, en hoeveel en makkelijk gaten gevonden kunnen worden. Een simpele id veranderen in een url wat een factuur pdf genereert en je hebt een lek. Invalide certificaten, of foutmelding pagina met een stacktrace (inclusief versienummers van software). En dus zodoende makkelijk is om binnen te komen. Komt ook vooral dat er vrijwel geen “straffen” zijn hiervoor... wat vinden jullie hiervan? Wat moet de overheid doen en wat zou gepaste straffen zijn? AVG is er, maar ik zie bar weinig veranderingen...
Nu jullie veel technische kennis hebben en zo, wat vinden jullie van de huidige privacy regels in het algemeen, wat men nu allemaal doet online (zowat alles delen), en waar wij naartoe gaan met facial recognition (geforceerd privacy inleveren, zie Londen sinds enkele dagen).
Hoeveel kost het om een poging op mijn server te doen? En hoelang duurt een testje?
Voor degene die geïnteresseerd zijn om te beginnen, OWASP is een prima start om te testen op websites (https://owasp.org/www-project-top-ten/).
Mochten jullie dit nog willen beantwoorden, alvast bedankt.
.
Zijn jullie ook opzoek naar de gaten in software om binnen te komen (en dit dan te beveiligen)? Of gebruik je metasploit en wat niet om alleen te testen en daarna te beveiligen? (Dus gebruik maken van de reeds bekende gaten en dit testen)
Probleem wat ik veelal zie is hoe bedrijven omgaan met software, en hoeveel en makkelijk gaten gevonden kunnen worden. Een simpele id veranderen in een url wat een factuur pdf genereert en je hebt een lek. Invalide certificaten, of foutmelding pagina met een stacktrace (inclusief versienummers van software). En dus zodoende makkelijk is om binnen te komen. Komt ook vooral dat er vrijwel geen “straffen” zijn hiervoor... wat vinden jullie hiervan? Wat moet de overheid doen en wat zou gepaste straffen zijn? AVG is er, maar ik zie bar weinig veranderingen...
Nu jullie veel technische kennis hebben en zo, wat vinden jullie van de huidige privacy regels in het algemeen, wat men nu allemaal doet online (zowat alles delen), en waar wij naartoe gaan met facial recognition (geforceerd privacy inleveren, zie Londen sinds enkele dagen).
Hoeveel kost het om een poging op mijn server te doen? En hoelang duurt een testje?
Klopt, want het is mogelijk te detecteren welk toets ingedrukt is door het geluid.quote:
[..]
Als aanvulling op @:Robin_ESET: Ja, al heb ik mijn zakelijke laptop expres zonder camera gekocht. Persoonlijk denk ik alleen dat de microfoon (die je niet zomaar af kan plakken) gevaarlijker is.
Voor degene die geïnteresseerd zijn om te beginnen, OWASP is een prima start om te testen op websites (https://owasp.org/www-project-top-ten/).
Hoi, ik ben zelf werkzaam als devops engineer, en daarmee is security voor mij natuurlijk ook een belangrijk onderdeel. Nu mijn vraag, deze is redelijk actueel gezien het Citrix probleem. Zou dit soort software niet structureel anders moeten werken? Ik heb hier zelf wel een idee over, mijn idee is als volgt:
Stel je hebt een VPN (server) tool, laten we zeggen Citrix, naast deze tool zou een andere lichte service draaien, het enige wat deze doet is continue een endpoint checken of de huidige versie nog secure is, kortom het endpoint hoeft alleen een true/false terug te geven. Op het moment dat er een false terugkomt zet deze tool direct de Citrix server stop en verstuurt een alert. Op deze manier draai je de logica dus om en voorkom je een hoop ellende door te laat patchen.Feitelijk dus een soort van circuit breaker pattern.
Stel je hebt een VPN (server) tool, laten we zeggen Citrix, naast deze tool zou een andere lichte service draaien, het enige wat deze doet is continue een endpoint checken of de huidige versie nog secure is, kortom het endpoint hoeft alleen een true/false terug te geven. Op het moment dat er een false terugkomt zet deze tool direct de Citrix server stop en verstuurt een alert. Op deze manier draai je de logica dus om en voorkom je een hoop ellende door te laat patchen.Feitelijk dus een soort van circuit breaker pattern.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Lachwekkend antwoord en een security expert onwaardig,er heeft weken tussen de vulnerability gezeten en de oplossingen, zeker voor dit type exploits.quote:
[..]
Het is zeker een ernstige kwetsbaarheid, en het liefst wil je natuurlijk zo snel mogelijk een patch die het probleem oplost. Het probleem is dat ook die patches goed getest moeten worden zodat niet opeens alle apparaten offline gaan. Daarom hebben ze denk ik voor de huidige aanpak gekozen waarbij ze eerst een workaround adviseerden en later een patch beschikbaar maakten.
Het lijkt alsof er super veel tijd tussen ontdekken en patchen zat, maar in werkelijkheid was het redelijk snel. Het zal je verbazen hoe vaak je voor sommige software meer dan 3 maanden moet wachten op een patch, als die uberhaupt al komt.
Neemt niet weg natuurlijk dat je het liefst helemaal geen kwetsbaarheden wil, zeker niet in zulke belangrijke software die speciaal gemaakt is om direct aan het internet te hangen.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
bedrijven zijn zo lek als een maandjequote:
Ik las zojuist dit:
https://www.security.nl/p(...)ktop+Gateways+online
Dit terwijl er een patch beschikbaar is. Security blijft nog steeds een ondergeschoven kindje bij veel bedrijven. Doen jullie ook wat aan de bewustwording van risico's bij jullie klanten?
Hoe denken jullie over vinny’s unattended visie op software en de wereld?
Hoeveel echte hackers zijn er in NL itt die scriptkiddos?
Is het waar dat hackers een speciale handshake hebben waardoor ze elkaar herkennen?
Hoeveel echte hackers zijn er in NL itt die scriptkiddos?
Is het waar dat hackers een speciale handshake hebben waardoor ze elkaar herkennen?
Android heeft een andere filosofie dan Apple wat betreft het platform. Dat biedt voordelen in de vorm van een meer open systeem maar helaas ook nadelen zoals security. Apps in Android hebben meer interactie mogelijkheden met zowel het OS als andere apps. Een voorbeeld hiervan is dat je je Android telefoon als hardware token voor 2fa kan gebruiken. Een minder leuk voorbeeld is dat Android ook ransomware kent, helaas ook door apps die in de store accepted worden.quote:
Hoe staat het tegenwoordig eigenlijk met de security van Android, nog steeds veel slechter dan Apple?
Gelukkig zijn er ruim 80 anti-malware apps beschikbaar om ook je Android telefoon goed te beschermen: https://www.av-comparatives.org/tests/android-test-2019-250-apps/
Tijdens opdrachten zoeken we altijd de makkelijkste wegen naar binnen. Als je door gebruik van Metasploit en andere tools al op 3-4 verschillende manieren binnen komt is het belangrijkste voor de klant om dat op te lossen. Daar zal hij namelijk het meeste risico mee lopen. Mochten we bijvoorbeeld zelfgemaakte software tegen komen is dat altijd een van de eerste dingen waar we ook naar kijken. Ik heb een flink aantal in-house webportalen met een SQL injection lek of gewoon te open permissies kunnen gebruiken om uiteindelijk domain admin te worden.quote:Op maandag 27 januari 2020 22:14 schreef Qunix het volgende:
Mooi te laat!
Mochten jullie dit nog willen beantwoorden, alvast bedankt.
.
Zijn jullie ook opzoek naar de gaten in software om binnen te komen (en dit dan te beveiligen)? Of gebruik je metasploit en wat niet om alleen te testen en daarna te beveiligen? (Dus gebruik maken van de reeds bekende gaten en dit testen)
Probleem wat ik veelal zie is hoe bedrijven omgaan met software, en hoeveel en makkelijk gaten gevonden kunnen worden. Een simpele id veranderen in een url wat een factuur pdf genereert en je hebt een lek. Invalide certificaten, of foutmelding pagina met een stacktrace (inclusief versienummers van software). En dus zodoende makkelijk is om binnen te komen. Komt ook vooral dat er vrijwel geen “straffen” zijn hiervoor... wat vinden jullie hiervan? Wat moet de overheid doen en wat zou gepaste straffen zijn? AVG is er, maar ik zie bar weinig veranderingen...
Nu jullie veel technische kennis hebben en zo, wat vinden jullie van de huidige privacy regels in het algemeen, wat men nu allemaal doet online (zowat alles delen), en waar wij naartoe gaan met facial recognition (geforceerd privacy inleveren, zie Londen sinds enkele dagen).
Hoeveel kost het om een poging op mijn server te doen? En hoelang duurt een testje?
[..]
Klopt, want het is mogelijk te detecteren welk toets ingedrukt is door het geluid.
Voor degene die geïnteresseerd zijn om te beginnen, OWASP is een prima start om te testen op websites (https://owasp.org/www-project-top-ten/).
Wetgeving op dit gebied is een zeer lange discussie en geen makkelijk onderwerp. Als je naar de auto industrie kijkt zijn er gestandaardiseerde testen die een auto moet doorlopen om te worden goedgekeurd. Willen we dat in software verplichten? Maar wat nou als je auto alleen op het circuit rijdt (interne software), moet dan dezelfde test worden doorlopen?
De kosten van een test zijn afhankelijk van een aantal zaken. Hoe groot is de scope en hoe diep wil je gaan met de test. Je kan natuurlijk altijd een vulnerability scanner zoals Nessus of openVAS naar je eigen server laten kijken. Dat biedt vaak al heel veel inzicht.
Virussen en spam zijn een ongewild bijproduct van het computertijdperk. Het kost systeemresources, datasnelheid en geeft een hoop ergernis. Wat er nu gebeurt is het blokkeren en verwijderen van kwaadwillende data. Nu zijn sommige virusblokkers gratis te downloaden. Mijn operating systeem is ook gratis te downloaden (linux) Waarom zou ik dan de moeite nemen om een duur product aan te schaffen? Dit doe ik namelijk met mijn huidige operating systeem ook niet.
Mag ik je vandaag weer eens irriteren?
Waarom blokkeren jullie soms websites die helemaal geen malware of spam zijn, zoals Viagogo.nl ? Ja mensen betalen er misschien teveel voor hun tickets, maar dat is niet verboden. Dan kun je marktplaats.nl ook gaan blokkeren...
Facts don't care about your feelings
Maar hoe zorg je er dan voor dat die service zelf veilig is? Wat nou als die er juist voor zorgt dat je een endpoint Kan overnemen?quote:
Hoi, ik ben zelf werkzaam als devops engineer, en daarmee is security voor mij natuurlijk ook een belangrijk onderdeel. Nu mijn vraag, deze is redelijk actueel gezien het Citrix probleem. Zou dit soort software niet structureel anders moeten werken? Ik heb hier zelf wel een idee over, mijn idee is als volgt:
Stel je hebt een VPN (server) tool, laten we zeggen Citrix, naast deze tool zou een andere lichte service draaien, het enige wat deze doet is continue een endpoint checken of de huidige versie nog secure is, kortom het endpoint hoeft alleen een true/false terug te geven. Op het moment dat er een false terugkomt zet deze tool direct de Citrix server stop en verstuurt een alert. Op deze manier draai je de logica dus om en voorkom je een hoop ellende door te laat patchen.Feitelijk dus een soort van circuit breaker pattern.
En hoe weet je wat "een veilige versie" is? Wie weet zitten er nog andere kritieke kwetsbaarheden in bijvoorbeeld Citrix die al wel bekend zijn bij sommige mensen maar nog niet opgelost?
Of is het meer dat je gewoon simpelweg de service uit zet als hij niet up to date is? Werkt vanaf een techneuten perspectief waarschijnlijk prima, tot er redenen zijn dat je niet kan upgraden maar de sales afdeling toch echt vanaf meerdere plaatsen in Nederland moet kunnen inloggen. Op dat moment wegen de misgelopen kosten zwaarder mee dan een eventueel risico om gehackt te worden.
Tja, ik zeg niet dat ik het eens ben met de gang van zaken, maar dit is nu eenmaal hoe de security industrie op dit moment werkt. Ze hadden prima binnen een week een patch uit kunnen brengen die voor de meeste mensen gewerkt had, maar ze hebben bijvoorbeeld ook speciale cloud versies, die moeten ook allemaal getest worden.quote:
[..]
Lachwekkend antwoord en een security expert onwaardig,er heeft weken tussen de vulnerability gezeten en de oplossingen, zeker voor dit type exploits.
Klanten als het Amerikaanse ministerie van defensie hebben waarschijnlijk custom implementaties waar veel geld voor betaald is, daar moet het ook allemaal op getest worden.
Als je zeker wil weten dat je geen aanvalsoppervlak hebt moet je geen enkele service via internet bereikbaar maken. Superveilig, kan alleen niemand meer thuiswerken. Of je stopt alles de cloud in, kan ook, maar dan heb je opeens gevoelige (klant)gegevens die niet zomaar het pand mogen verlaten.
Fortinet had bij de laatste kwetsbaarheid wel zo snel mogelijk een patch uitgebracht en een deel van de test procedures overgeslagen. Wat bleek? Zat een bug in die alle apparaten liet crashen. Dat heeft de achteraf waarschijnlijk meer tijd en geld gekost dan het in één keer goed oplossen.
Je hebt niet zoiets als 100% beveiligd, en iedereen die daar naar streeft is naar mijn mening ook totaal verkeerd bezig. Vanaf een bepaald punt zijn namelijk de kosten te hoog, en de return on investment te laag.
Nu was Citrix de pineut, de maand ervoor Microsoft met Curveball (en daarvoor BlueKeep). Geloof dat Microsoft zelf een tijdsduur van tussen de 90-120 dagen aanhoudt waarin ze een patch voor een kwetsbaarheid klaar zouden moeten hebben . Google heeft pas aangekondigd een kwetsbaarheid na 90 dagen publiek te maken, ongeacht of er een patch beschikbaar is of niet: https://googleprojectzero(...)020-edition.html?m=1 .
Vaak staat er een onderdeel op die nu nog malware verspreid, of dat in het verleden gedaan heeft. Vaak gaat het om advertentienetwerken of iets dergelijks.quote:
Waarom blokkeren jullie soms websites die helemaal geen malware of spam zijn, zoals Viagogo.nl ? Ja mensen betalen er misschien teveel voor hun tickets, maar dat is niet verboden. Dan kun je marktplaats.nl ook gaan blokkeren...
Mocht het echt om een zogenaamde " false positive " gaan kun je altijd contact opnemen met onze support afdeling. Die zorgen ervoor dat de site weer bereikbaar gemaakt wordt!
Deze service hoef je natuurlijk niet publiek te exposen, daarnaast zou je deze service zelfs helemaal read only kunnen maken. Het probleem met Citrix is natuurlijk dat je ALTIJD een publiek endpoint hebt, en daarmee een veel hoger risico.quote:
[..]
Maar hoe zorg je er dan voor dat die service zelf veilig is? Wat nou als die er juist voor zorgt dat je een endpoint Kan overnemen?
En hoe weet je wat "een veilige versie" is? Wie weet zitten er nog andere kritieke kwetsbaarheden in bijvoorbeeld Citrix die al wel bekend zijn bij sommige mensen maar nog niet opgelost?
Of is het meer dat je gewoon simpelweg de service uit zet als hij niet up to date is? Werkt vanaf een techneuten perspectief waarschijnlijk prima, tot er redenen zijn dat je niet kan upgraden maar de sales afdeling toch echt vanaf meerdere plaatsen in Nederland moet kunnen inloggen. Op dat moment wegen de misgelopen kosten zwaarder mee dan een eventueel risico om gehackt te worden.
[..]
Ik beschreef de service vrij simpel, je kunt hier natuurlijk wat variaties in maken al naar gelang van de noodzaak tot upgraden, bijvoorbeeld van het meest extreme direct de boel stoppen, tot het gewoon laten door gaan. Wij gebruiken een vergelijkbaar systeem voor een eventuele forced update van een mobile app.
Ik weet heel goed hoe het werkt, echter in het geval van Citrix was het wel even anders, ten eerste was het vrij snel bekend welke systemen kwetsbaar waren, ten tweede was de impact zo zwaar dat het niet verantwoordelijk was om te wachten, dan kun je roepen, ja er zijn mensen die er afhankelijk van zijn, maar dat had hier gewoon niet op mogen gaan. Wat heb je liever, dat de salesman 3 dagen niet bij zijn bestand kan, of dat de halve wereld je klantenbestand in handen heeft? Overigens wel cynisch, dat veel systemen gepatched zijn door hackers die bitcoinminers op de machines hadden gezetquote:Tja, ik zeg niet dat ik het eens ben met de gang van zaken, maar dit is nu eenmaal hoe de security industrie op dit moment werkt. Ze hadden prima binnen een week een patch uit kunnen brengen die voor de meeste mensen gewerkt had, maar ze hebben bijvoorbeeld ook speciale cloud versies, die moeten ook allemaal getest worden.
Klanten als het Amerikaanse ministerie van defensie hebben waarschijnlijk custom implementaties waar veel geld voor betaald is, daar moet het ook allemaal op getest worden.
Als je zeker wil weten dat je geen aanvalsoppervlak hebt moet je geen enkele service via internet bereikbaar maken. Superveilig, kan alleen niemand meer thuiswerken. Of je stopt alles de cloud in, kan ook, maar dan heb je opeens gevoelige (klant)gegevens die niet zomaar het pand mogen verlaten.
Fortinet had bij de laatste kwetsbaarheid wel zo snel mogelijk een patch uitgebracht en een deel van de test procedures overgeslagen. Wat bleek? Zat een bug in die alle apparaten liet crashen. Dat heeft de achteraf waarschijnlijk meer tijd en geld gekost dan het in één keer goed oplossen.
Je hebt niet zoiets als 100% beveiligd, en iedereen die daar naar streeft is naar mijn mening ook totaal verkeerd bezig. Vanaf een bepaald punt zijn namelijk de kosten te hoog, en de return on investment te laag.
Nu was Citrix de pineut, de maand ervoor Microsoft met Curveball (en daarvoor BlueKeep). Geloof dat Microsoft zelf een tijdsduur van tussen de 90-120 dagen aanhoudt waarin ze een patch voor een kwetsbaarheid klaar zouden moeten hebben . Google heeft pas aangekondigd een kwetsbaarheid na 90 dagen publiek te maken, ongeacht of er een patch beschikbaar is of niet: https://googleprojectzero(...)020-edition.html?m=1 .
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Interessant.quote:
[..]
Tijdens opdrachten zoeken we altijd de makkelijkste wegen naar binnen. Als je door gebruik van Metasploit en andere tools al op 3-4 verschillende manieren binnen komt is het belangrijkste voor de klant om dat op te lossen. Daar zal hij namelijk het meeste risico mee lopen. Mochten we bijvoorbeeld zelfgemaakte software tegen komen is dat altijd een van de eerste dingen waar we ook naar kijken. Ik heb een flink aantal in-house webportalen met een SQL injection lek of gewoon te open permissies kunnen gebruiken om uiteindelijk domain admin te worden.
Wetgeving op dit gebied is een zeer lange discussie en geen makkelijk onderwerp. Als je naar de auto industrie kijkt zijn er gestandaardiseerde testen die een auto moet doorlopen om te worden goedgekeurd. Willen we dat in software verplichten? Maar wat nou als je auto alleen op het circuit rijdt (interne software), moet dan dezelfde test worden doorlopen?
De kosten van een test zijn afhankelijk van een aantal zaken. Hoe groot is de scope en hoe diep wil je gaan met de test. Je kan natuurlijk altijd een vulnerability scanner zoals Nessus of openVAS naar je eigen server laten kijken. Dat biedt vaak al heel veel inzicht.
Ik gebruik zelf Accunetix.
1) linux is een OS van hobbyisten/enthousiastelingen, je bent afhankelijk van hun goodwillquote:
Virussen en spam zijn een ongewild bijproduct van het computertijdperk. Het kost systeemresources, datasnelheid en geeft een hoop ergernis. Wat er nu gebeurt is het blokkeren en verwijderen van kwaadwillende data. Nu zijn sommige virusblokkers gratis te downloaden. Mijn operating systeem is ook gratis te downloaden (linux) Waarom zou ik dan de moeite nemen om een duur product aan te schaffen? Dit doe ik namelijk met mijn huidige operating systeem ook niet.
tov een betaald OS, waar je klant bent en er prof gewerkt wordt.
zelfde geldt voor je AV
U onderschat redelijk het ecosysteem ;-)quote:
[..]
1) linux is een OS van hobbyisten/enthousiastelingen, je bent afhankelijk van hun goodwill
tov een betaald OS, waar je klant bent en er prof gewerkt wordt.
zelfde geldt voor je AV
LOLquote:
[..]
1) linux is een OS van hobbyisten/enthousiastelingen, je bent afhankelijk van hun goodwill
tov een betaald OS, waar je klant bent en er prof gewerkt wordt.
zelfde geldt voor je AV
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Eigenlijk te laat, maar ik ben toch wel een interessante vraag of discussiepunt.
Hoe zien jullie de toekomst van het Internet in het licht van de huidige ransomware trend?
Cryptocurrency heeft criminelen een betaalmiddel verschaft dat min of meer anoniem is. Als gevolg daarvan zien we een trend van ransomware verspreiden, vervolgens ransomware deployment door het inbreken op omgevingen en als laatste trend het simpelweg kopiëren van gegevens en deze lekken. De trend van schieten met hagel naar big game hunting is zeker ingezet.
Aan de andere kant is er een groot tekort aan gekwalificeerde ontwikkelaars en hebben te veel organisaties te weinig aandacht voor security.
Dan is er nog de trend van het verzekeren tegen cybercriminaliteit. Een verzekering betaalt vrij snel de ransom omdat het goedkoper is.
De zakken van de cybercriminelen worden met dit alles steeds dieper, de ransom demands hoger. Dus iemand met diepe zakken en een hoge prijs, plus veel tijd en geduld is de tegenpartij. Degene die zich moet verdedigen heeft een budget, heeft vaak nog meer te doen dan alleen de cybercriminelen buiten houden. De balans is hier zoek.
Samengevat denk ik dat er een kentering gaat komen van alles makkelijk overal en altijd toegankelijk naar weer meer managed werkplekken, minder BYOD, een dedicated (mobiele) verbinding voor de thuiswerker, etc.
Simpelweg omdat dat de enige manier is om meer zekerheid te krijgen. Dus eigenlijk meer terug naar af op de langere termijn. Gemak niet langer voorop, omdat het niet meer te betalen is (qua risico, of qua beveiliging). Minder nadruk op end to end, meer kleinere netwerken van tussen haakjes vertrouwde partijen.
Ik ben wel benieuwd hoe jullie dit zien.
Hoe zien jullie de toekomst van het Internet in het licht van de huidige ransomware trend?
Cryptocurrency heeft criminelen een betaalmiddel verschaft dat min of meer anoniem is. Als gevolg daarvan zien we een trend van ransomware verspreiden, vervolgens ransomware deployment door het inbreken op omgevingen en als laatste trend het simpelweg kopiëren van gegevens en deze lekken. De trend van schieten met hagel naar big game hunting is zeker ingezet.
Aan de andere kant is er een groot tekort aan gekwalificeerde ontwikkelaars en hebben te veel organisaties te weinig aandacht voor security.
Dan is er nog de trend van het verzekeren tegen cybercriminaliteit. Een verzekering betaalt vrij snel de ransom omdat het goedkoper is.
De zakken van de cybercriminelen worden met dit alles steeds dieper, de ransom demands hoger. Dus iemand met diepe zakken en een hoge prijs, plus veel tijd en geduld is de tegenpartij. Degene die zich moet verdedigen heeft een budget, heeft vaak nog meer te doen dan alleen de cybercriminelen buiten houden. De balans is hier zoek.
Samengevat denk ik dat er een kentering gaat komen van alles makkelijk overal en altijd toegankelijk naar weer meer managed werkplekken, minder BYOD, een dedicated (mobiele) verbinding voor de thuiswerker, etc.
Simpelweg omdat dat de enige manier is om meer zekerheid te krijgen. Dus eigenlijk meer terug naar af op de langere termijn. Gemak niet langer voorop, omdat het niet meer te betalen is (qua risico, of qua beveiliging). Minder nadruk op end to end, meer kleinere netwerken van tussen haakjes vertrouwde partijen.
Ik ben wel benieuwd hoe jullie dit zien.
@FlippingCoin, ESET heeft jou uitgekozen als beste vraagsteller. Ze willen je een prijs toesturen.
Kan je me je adresgegevens toesturen via pm/dm?
Gefeliciteerd namens FOK!
Kan je me je adresgegevens toesturen via pm/dm?
Gefeliciteerd namens FOK!
Spoilers!
Wat heeft ie gewonnen dan?quote:
@:flippingcoin, ESET heeft jou uitgekozen als beste vraagsteller. Ze willen je een prijs toesturen.
Kan je me je adresgegevens toesturen via pm/dm?
Gefeliciteerd namens FOK!
Oh jeetje.quote:
@:flippingcoin, ESET heeft jou uitgekozen als beste vraagsteller. Ze willen je een prijs toesturen.
Kan je me je adresgegevens toesturen via pm/dm?
Gefeliciteerd namens FOK!
Ga ik doen.
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
|
|
