HET IS TRIEST GESTELD MET DE VEILIGHEID VAN NEDERLANDSE WEBWINKELS

OMERTA INFORMATION SECURITY 

 

logo_3D

 

 

 

 

 

 

 

 

 

Vandaag werd bekend dat  66%van de honderd grootste Nederlandse webwinkels  de beveiliging van zijn website niet op orde heeft. In 38 procent van de gevallen betreft het een ernstig beveiligingslek. (via nu.nl)

Dit blijkt uit onderzoek van de Consumentenbond in samenwerking met beveiligingsbedrijf Onvio. De webwinkels werden gecheckt op de meest voorkomende beveiligingslekken.

Bij één website, 123tijdschrift.nl, was het mogelijk om via een sql-injectie de gehele klantendatabase in te kijken. Bij een sql-injectie wordt een kwetsbaarheid in de verbinding tussen de website en database misbruikt.

De eigenaar van de webwinkel, Sanoma, heeft het lek inmiddels gedicht. Sanoma is ook uitgever van onder andere NU.nl.

IMG_1062

XSS-lek

Het ernstige beveiligingslek dat bij 38 procent van de webwinkels werd aangetroffen, is een zogeheten cross-site-scripting-lek (XSS). Bij dit probleem verwerkt de website specifieke data, zoals cookies, niet op de juiste manier.

Door een XSS-lek kan een derde kwaadaardige code binnen de website uitvoeren. Een groot deel van de webwinkels is voor deze aanval kwetsbaar, waarmee klantgegevens kunnen worden buitgemaakt.

Zo is het voor een hacker bijvoorbeeld mogelijk om via het XSS-lek een malafide betaalpagina in de website van een webwinkel te integreren. De bezoeker kan vervolgens niet zien dat het om een malafide pagina gaat, omdat de echte url van de website wordt gebruikt.

Sommige webwinkels hebben het XSS-lek binnen een dag gedicht, maar meer dan de helft van de webwinkels reageerde niet op de bevindingen van de Consumentenbond.

Maatregelen

De Consumentenbond raadt consumenten aan om voor verschillende websites andere wachtwoorden te gebruiken. Mocht een webwinkel het slachtoffer zijn van een hack, is het gebruikte wachtwoord niet voor andere diensten, zoals e-mail en internetbankieren, te gebruiken.

Omerta Information Security vindt dat het gebruiken van meerdere wachtwoorden bij verschillende websites niet voldoende is. Heeft u twijfel over de veiligheid bij een webshop waar u wilt bestellen? Neem gerust contact op met Omerta.nl op 010 7600 333

Omerta Websecure Team

websecure.omerta.nl

Advertenties

DUTCH CHIPMAKER ASML HACKED

OMERTA Information Security — Rotterdam , The Netherlands



Chinese state hackers have broken into the Dutch producer ASML. Various anonymous sources told Tweakers.net. The hackers in the attack gained access to the Dutch and French Network and stole possible information about high technology machines for chip captured.

ASML Multiple sources, who will not be named, confirm to Tweakers that the hack was carried out by Chinese government hackers. It should be noted that hacking attacks are difficult to trace. The attack would have focused on the Dutch branch of the company, though according to one source also attacked the French branch of the company. ASML wants to confirm the news of Tweakers nor deny. “We never comment on individual security issues,” said a spokesman.

It is not clear when the company was precisely the target of the Chinese government hackers. According to one source, the company has this year been the target of the hack, but according to another source that was last year. It is not entirely clear how great was the impact of the hack. According to one interpretation, which is supported by two independent sources, the impact is large, and there are potentially sensitive documents stolen – although that is not certain.

The hack was part of a wave of attacks on European technology companies of a group which relate security to the Chinese government. The FBI and several Dutch and international security companies have investigated the attack. The researchers attribute the attack to a Chinese hacker group that earlier in the US and Europe business networks penetrated. It concerns likely to PLA Unit 61486, Chinese hacking unit according to security companies struck years tech companies. Among them were European organizations in the field of aerospace and satellite technology.

ASML made machines for chip production. The company from Veldhoven is the  market leader in this field and customers of the company include Samsung, Intel and TSMC. The company is the central link in maintaining Moore’s law and thus the progress of the faster, more efficient and cheaper chips.

According to one source in the attack information on the operation of EUV technology captured. EUV technology is used for the latest generation of lithography machines. Currently, the small details on chips by means of lithography using light having a wavelength of 193 nm arranged. In order to make chips with even smaller details, the newest machines from ASML with extreme ultraviolet, with a wavelength of 13,5nm. The technology for making the EUV machines is very valuable for ASML, and thus for the tech industry. Chip manufacturers like Samsung, GlobalFoundries and TSMC for their future chip products to a large extent dependent on ASML.

Last week it was announced that the French-Dutch Gemalto was Hacked . This time it  were not Chinese government hackers, but the intelligence agencies GCHQ and NSA would have stolen the encryption keys of SIM cards. Gemalto denies himself that the services have succeeded, though critics doubt that claim.

Thx to tech4all.com

Remo Hardeman

CEO Omerta Information Security

Omerta.nl


5 BEVEILIGINGS MAATREGELEN VAN HET COLLEGE BESCHERMING PERSOONSGEGEVENS (cbp) DIE VERPLICHT ZIJN!

OMERTA INFORMATION SECURITY – Rotterdam 11 September 2014

cropped-logo.png

Als je een bedrijf bent dat persoonsgegevens verwerkt heb je je te houden aan de wettelijke regels die het CBP aan bedrijven en personen heeft opgelegd. Hieronder de 5 regels die in acht genomen moeten worden. Als bedrijf moet je kunnen overleggen dat je aan actieve bescherming doet! Doe je dat niet dan zijn vorse boetes een gevolg.

header_logo

1. Versleutelde communicatie. Het CBP richtte samen met de Canadese privacytoezichthouder haar pijlen op WhatsApp. De toezichthouders startten een onderzoek, onder meer omdat WhatsApp de communicatie tussen de app en de server niet versleutelde. Het bedrijf heeft naar aanleiding hiervan haar software aangepast, zodat die communicatie nu wel versleuteld is. Maar denk ook aan email, chatdiensten en allle andere communicatie vormen

2. Goede wachtwoorden. WhatsApp was al eerder in het nieuws gekomen omdat zij de wachtwoorden van gebruikers genereerde aan de hand van het MAC-adres of het IMEI-nummer van het apparaat van de gebruiker. Dat was makkelijk te achterhalen voor een aanvaller, en maakte dat een account dus makkelijk kon worden overgenomen. Ook dit heeft WhatsApp tijdens het onderzoek aangepast.

3. Two factor-authenticatie. In een ander onderzoek heeft het CBP huisartsenposten op de vingers getikt omdat toegang tot medische dossiers zonder two factor-authenticatie was geïmplementeerd. Dit is op basis van de toepasselijke informatiebeveiligingsstandaard voor de medische sector wel verplicht.

4. Maatregelen tegen SQL-injecties en XSS-aanvallen. Dat je verplicht bent maatregelen te nemen tegen dit soort veel voorkomende aanvallen, blijkt uit een onderzoek van het CBP naar een aantal hogescholen. Daarin stelde het vast dat de hogescholen geen maatregelen hadden genomen tegen deze aanvallen en daarom in strijd handelden met hun beveiligingsplicht.

5. Maar misschien nog wel het belangrijkste: je bent verplicht een informatiebeveiligingsbeleid op te stellen. Daarin beschrijf je aan de hand van de gegevens die je verwerkt en de risico’s die je identificeert de maatregelen die je moet nemen (zoals de hierboven besproken maatregelen). En ook die verplichting dwingt het CBP af, zoals blijkt uit dit voorbeeld van een handhavingsactie bij een ziekenhuis. Bij zo’n informatiebeveiligingsbeleid bieden de Richtsnoeren beveiliging persoonsgegevens van het CBP belangrijke handvatten.

Het is dus sterk aan te raden om als je persoonsgegevens verwerkt zo’n informatiebeveiligingsbeleid op te stellen en te implementeren. En dat geldt voor een groot gedeelte van de hedendaagse bedrijven!

Omerta Information Security kan helpen bij het in kaart brengen van deze punten en een advies afgeven en maatregelen implementeren die ervoor zorgen dat data veilig is! Denk aan een webscan/pentest, two factor authentication implementatie, en encryptie voor communicatie van apps en platformen tot alle data in de cloud. Het opstellen van een informatie beveiligingsbeleid kan in de vorm van een ISO 27001 traject of een compliance traject als u aan nog meer strengere eisen moet voldoen.

Het is niet de vraag of u gehacked wordt, maar wanneer!

Gedeeltes uit dit stuk verschenen eerder op security.nl en is geschreven door OT van Daalen van Digital Defense

Why Breach Detection Is Your Must-Have, Cyber Security Tool

OMERTA INFORMATION SECURITY Rotterdam,  9 September 2014.

 

logo_3D

 

Yesterday we presented our solution for network security awareness, AlienVault. Needless to say this THE topic at the moment in the security landscape. An article on Techcrunch  tells the same.

Cyber attacks are all over the news, and it seems like no one is immune — Home Depot, Target, Adobe and eBay included. So why are CIOs still fighting cyber criminals with one hand tied behind their backs?

Shockingly, most companies are still relying on outdated, only partially effective methods to protect their sensitive data, mainly with technology that focuses on preventing incoming attacks. But actually stopping bad guys from slipping inside enterprise networks and getting their hands on sensitive data is nearly impossible these days. In fact, among organizations with over 5,000 computers, over 90 percent have an active breach of some sort at any given time. What’s worse, those organizations may not even know about it.

It’s time for CIOs to start focusing on the next line of defense in the war against cyber crime: an emerging area called breach detection, which focuses on identifying long-tail intrusions after they happen and mitigating their damage, partly through the use of big-data technologies. Your company’s information security may depend on it.

 

 

 

A Changing Battle Space: Prevention Is Not Enough

Surviving a shark attack is fairly simple: As long as you swim faster than the person next to you, chances are you’ll make it. Not so long ago, security was very much the same. As long as your company had better-than-average security, you were likely safe because someone else would get hit first.

Hackers were looking for the “low hanging fruit” — the easy breaches. Online criminals mainly used a broad “spray and pray” approach to opportunistically find targets. In those days, “signature-based” security solutions, which tried to identify known, malicious code patterns and block them, made sense. If one company saw a new threat, a signature could be written for it and distributed to others to protect them from infection.

Fast forward to today. As organizations have bolstered their security, hackers also evolved. Attacks today are more sophisticated and targeted than ever before. Rather than sending generic malware, hackers today carefully plot each and every attack, using unique, “zero-day” exploits that render signature-based protections nearly useless.

 

 

 

While a number of new security companies, like FireEye, have surfaced in recent years to try to combat this type of attack, hackers continue finding creative ways around these tools. Some hackers go so far as to buy all of the same, state-of-the-art intrusion prevention systems their targets use so they can perfectly replicate the target’s exact security environment — then test their attack and virtually guarantee its success.

Most Damage Happens After Initial Breach

The initial intrusion in a typical breach scenario takes minutes to a few hours — in some rare cases, days. The real damage, however, occurs after hackers get around the first line of defense, making new, after-the-fact breach-detection efforts so critical. Once inside a target, it’s like discovering a gold mine. Hackers study their victim’s internal network, carefully extend their foothold and then begin mining the valuable data they find for months, if not years, before being detected — usually by accident.

Mandiant, for example, recently reported that APT1, one of China’s cyber-espionage units, attacked 141 victim companies across 20 industries and stole many terabytes of compressed data in sustained attacks averaging 365 days each. The longest attack lasted more than four years.

The most concerning part of all this is that very few organizations are now using new breach-detection technologies and can actually discover these ongoing breaches themselves, meaning attacks are even more destructive for their victims. Despite numerous alerts, Target, for example, didn’t detect the recent breach that led to 40 million stolen credit card numbers. Rather, it was only after the U.S. Department of Justice notified the company in mid-December that Target investigators went back to figure out what happened. According to a report published by Verizon last year, this is not uncommon — only about 13 percent of security breaches are discovered internally.

Breach Detection — The Last Line of Defense

All these factors point to the need for robust breach detection to provide a “last line of defense” against these attacks, instead of just focusing on blocking the initial wave of the intrusion.

While after-the-fact detection is not a new concept, the old generation of Intrusion Detection Systems (IDS) and Security Information and Event Management (SIEM) technologies generally fall short in today’s data-center environment. Why?

  • They rely on pre-defined rules/signatures to detect breaches. In a world of bespoke attacks, such solutions will often miss the most relevant alerts.
  • Low signal-to-noise. Imagine being flooded with hundreds or even thousands of alerts per day—each one representing a potential breach to your organization’s most sensitive data. It is no surprise that Target, like many others, missed the warning signs of the attack, like the proverbial forest for the trees.
  • Limited visibility due to being deployed at the security perimeter or relying on log files. Without access to a rich data set that expands beyond the perimeter and includes all of the raw information (as opposed to a log file, which is a derivative of it), these tools are undermined in their ability to properly detect threats.

Next-gen breach detection is solving, in essence, a classic big-data problem: To be effective, these tools need to analyze a great variety of data in high volume, and at great velocity, to determine potential breaches. Most important, the tools must be precise; too many false positives and their reports will quickly be ignored, just like the boy who cried wolf.

A new crop of next-generation startups are working on this. . Rather than relying on detecting known signatures, these companies marry big-data techniques, such as machine learning, with deep cyber security expertise to profile and understand user and machine behavior patterns, enabling them to detect this new breed of attacks. And to avoid flooding security professionals in a sea of useless alerts, these companies try to minimize the number of alerts and provide rich user interfaces that enable interactive exploration and investigation.

To help illustrate how these new technologies work, think of all of the online “breadcrumbs” that an attacker inevitably leaves behind during each step of the attack.

He generates network connections to command and control servers, for example. He moves across the organization in ways that are ever so slightly different from what’s normal; he may use whatever credentials he can get his hands on to try to access sensitive resources (e.g. tries to access proprietary code on development servers using a sales executive’s login). New breach-detection startups can sense all of these movements and changes. Combined with an intimate understanding of how hackers operate, they are able to finally piece together all the puzzle pieces in real-time before more significant damage has occurred.

There is a lot at stake here. In the end, solutions that effectively cut through the noise and point up just ahandful of highly relevant, actionable security alerts will likely become an important “last line of defense” and a key component of the next-gen enterprise security stack.

No need to say that you need an solution now! Omerta information security can help you achieve complete cyber security awareness over your enviroment.

 

alienvault-logo-nav-green

 

cropped-logo.png

 

 

 

 

 

 

 

Netwerk security awareness: start security monitoring!

OMERTA INFORMATION SECURITY – Rotterdam 8 September 2014

cropped-logo.png

Niet alles is wat het lijkt deze dagen, 160.000 NIEUWE  malware signatures\samples worden PER DAG gevonden en onderschept  op het internet, en dit is waarschijnlijk nog niet het hele threat landschap. Denk aan zero days, implementatie fouten, of structurele kwetsbaarheden en we zijn wel weer een flink stuk verder.

De gemiddelde firewall of antivirus client herkend al deze signatures al lang niet meer, waardoor er meer en meer besmetting plaatsvindt op netwerken zonder dat bedrijven en of mensen het door hebben. Dit kost tijd en geld en dan hebben we het geeneens over Patchen en updaten….. Dat is allang niet meer genoeg! Dat dit een ernstige zaak is , daar zijn wij het allemaal over eens, maar hoe moet dat probleem nu bestreden worden?

5 alien vault

Niet simpel, maar wel grondig : Door het scannen, koppelen en monitoren van een aantal netwerkcomponenten:  Firewalls, endpoints, logs, user en data behaviour,  krijgt men inzicht in wat er zich nu daadwerkelijk afspeelt in alle facetten van het “beschermde” netwerk. Door intelligente regels over al deze informatie te correleren krijgt men vanuit deze data inzicht middels alarmeringen en rapporteringen. Op deze manier voldoet men aan compliance en wetgeving (denk aan de nieuwe wet bescherming persoonsgegevens) en dalen kosten! Er wordt niet nutteloos geïnvesteerd in allerlei software en hardware oplossingen die niet samenwerken en geen inzicht geven.

Omerta Information Security kan dit soort oplossingen bieden middels een managed omgeving. De systeembeheerders of service provider is een aparte service van uw ICT landschap, zij zijn vaak druk genoeg met het optimaal verzorgen van uw netwerkomgeving. De security laag is een onafhankelijke controlerende laag en werkt samen om zo tot een optimaal presterend en veilig netwerk te komen.

Voor meer informatie kunt u contact opnemen met Remo Hardeman,  Tel 06 1885 1885

alienvault-logo-nav-green

Omerta Information Security is partner van AlienVault voor de Benelux.

 

KEEP CALM AND QUIT FACEBOOK

Omerta

 

          Omerta Information Security – Rotterdam 22 August 2014

 

 

 

KEEP CALM AND QUIT FACEBOOK!

Het mag nu wel eens een keer gezegd worden. Facebook Messenger gaat ver en ver over de schreef met de wensen en toestemmingen die het nodig heeft om volledig te functioneren. Het is niet alleen Facebook die je mobiel gebruikt als een personal tracking device maar ook Google en Microsoft maken misbruik van het openstellen van microfoon of camera waarvoor je toestemming moet geven wil je App kunnen functioneren zoals het bedoeld was.

 

Zie hier het filmpje dat eerder gepost werd over deze permissies die je moet geven.

Dan was er ook nog het bericht dat een 19 jarige Hacker is veroordeeld tot 137 dagen cel. Dat bericht lees je hier!

Hier valt niets aan af te dwingen de jongen is duidelijk over de schreef gegaan. Maar als je er goed over nadenkt dan heeft facebook dezelfde mogelijkheden om af te luisteren en foto’s te nemen zoals de Hacker ook deed, Alleen bij Facebook moet je toestemming verlenen maar kunnen  makkelijk dezelfde ernstige overtredingen plaatsvinden!

Dus wie controleert Facebook? Gaat het OM voor ons FB controleren? Nee dat gebeurt niet! Is het dan niet nodig om misschien actie te gaan ondernemen? Ja dat is het zeker, voor onze privacy en veiligheid!

keepkalmquit facebook

 

 

 

 

USB FUNDAMENTALY BROKEN

Omerta Information Security – Rotterdam The Netherlands  July  31 2014

 

logo_3D

 

 

 

 

—  REUTERS  —

 

USB devices such as keyboards, thumb-drives and mice can be used to hack into personal computers in a potential new class of attacks that evade all known security protections, a top computer researcher revealed on Thursday.

Karsten Nohl, chief scientist with Berlin’s SR Labs, noted that hackers could load malicious software onto tiny, low-cost computer chips that control functions of USB devices but which have no built-in shields against tampering with their code.

“You cannot tell where the virus came from. It is almost like a magic trick,” said Nohl, whose research firm is known for uncovering major flaws in mobile phone technology.

The finding shows that bugs in software used to run tiny electronics components that are invisible to the average computer user can be extremely dangerous when hackers figure out how to exploit them. Security researchers have increasingly turned their attention to uncovering such flaws.

Nohl said his firm has performed attacks by writing malicious code onto USB control chips used in thumb drives and smartphones. Once the USB device is attached to a computer, the malicious software can log keystrokes, spy on communications and destroy data, he said.

Computers do not detect the infections when tainted devices are inserted because anti-virus programs are only designed to scan for software written onto memory and do not scan the “firmware” that controls the functioning of those devices, he said.

Nohl and Jakob Lell, a security researcher at SR Labs, will describe their attack method at next week’s Black Hat hacking conference in Las Vegas, in a presentation titled: “Bad USB – On Accessories that Turn Evil.”

Thousands of security professionals gather at the annual conference to hear about the latest hacking techniques, including ones that threaten the security of business computers, consumer electronics and critical infrastructure.

Nohl said he would not be surprised if intelligence agencies, like the National Security Agency, have already figured out how to launch attacks using this technique.

Last year, he presented research at Black Hat on breakthrough methods for remotely attacking SIM cards on mobile phones. In December, documents leaked by former NSA contractor Edward Snowden demonstrated that the U.S. spy agency was using a similar technique for surveillance, which it called “Monkey Calendar.”

An NSA spokeswoman declined to comment.

SR Labs tested the technique by infecting controller chips made by major Taiwanese manufacturer, Phison Electronics Corp, and placing them in USB memory drives and smartphones running Google Inc’s Android operating system.

Alex Chiu, an attorney with Phison, told Reuters via email that Nohl had contacted the company about his research in May.

“Mr. Nohl did not offer detailed analysis together with work product to prove his finding,” Chiu said. “Phison does not have ground to comment (on) his allegation.”

Chiu said that “from Phison’s reasonable knowledge and belief, it is hardly possible to rewrite Phison’s controller firmware without accessing our confidential information.”

Similar chips are made by Silicon Motion Technology Corp and Alcor Micro Corp. Nohl said his firm did not test devices with chips from those manufacturers.

Google did not respond to requests for comment. Officials with Silicon Motion and Alcor Micro could not immediately be reached.

Nohl believed hackers would have a “high chance” of corrupting other kinds of controller chips besides those made by Phison, because their manufacturers are not required to secure software. He said those chips, once infected, could be used to infect mice, keyboards and other devices that connect via USB.

“The sky is the limit. You can do anything at all,” he said.

In his tests, Nohl said he was able to gain remote access to a computer by having the USB instruct the computer to download a malicious program with instructions that the PC believed were coming from a keyboard. He was also able to change what are known as DNS network settings on a computer, essentially instructing the machine to route Internet traffic through malicious servers.

Once a computer is infected, it could be programmed to infect all USB devices that are subsequently attached to it, which would then corrupt machines that they contact.

“Now all of your USB devices are infected. It becomes self-propagating and extremely persistent,” Nohl said. “You can never remove it.”

Christof Paar, a professor of electrical engineering at Germany’s University of Bochum who reviewed the findings, said he believed the new research would prompt others to take a closer look at USB technology, and potentially lead to the discovery of more bugs. He urged manufacturers to improve protection of their chips to thwart attacks.

“The manufacturer should make it much harder to change the software that runs on a USB stick,” Paar said.