Ik schreef eerder over beveiligingsstandaarden die e-mail betrouwbaarder maken: SPF, DKIM en DMARC. Het merendeel van deze standaarden is inmiddels verplicht voor overheidsorganisaties. Ook private organisaties doen er verstandig aan om deze standaarden zo snel mogelijk te implementeren. Het ontbreken van deze standaarden kan zomaar voor veel problemen zorgen. Niet alleen voor de eigen organisatie, maar ook voor de rest van de wereld. En daarvan heb ik -helaas- een mooi voorbeeld. Lees meer

Het zoontje van een goede vriend gaat naar basisschool De Grote Reis (onder bestuur van de RVKO) in de regio Rotterdam. Begin 2016 werd ik door deze vriend gebeld met de vraag om eens door een beveiligingsbril naar de app MySchoolApp Junior (iOS, Android) te kijken. Sinds een aantal maanden werd deze, door Orange in a box BV ontwikkelde app, door de school ingezet om te kunnen communiceren met de ouders/verzorgers van het schoolgaande kroost. Zo kunnen ouders/verzorgers hun contactgegevens up-to-date houden, maar bijvoorbeeld ook aangeven of hun zoon of dochter zonder begeleiding naar huis mag, bepaalde allergieën heeft, of een bepaalde geloofsovertuiging heeft. Los van het feit of dergelijke bijzondere persoonsgegevens vastgelegd mogen worden, begrijp ik prima dat ouders/verzorgers en onderwijsinstellingen een communicatiebehoefte hebben. De uitvoering laat echter te wensen over, en de opvolging naar aanleiding van een responsible disclosure melding op 2 februari 2016 ook. Lees meer

Een medewerker van een klant vroeg me laatst of het mogelijk is om een package capture (pcap) van een TLS verbinding te decrypten voor debugging en/of troubleshooting doeleinden. Mijn initiële reactie was dat dit alleen mogelijk is wanneer je beschikt over de privésleutel waarmee de TLS verbinding is opgezet. Maar toen ik er wat beter over nadacht, realiseerde ik me dat dit niet meer klopt. “Vroeger” was dit onder bepaalde omstandigheden wel mogelijk, maar bij een moderne TLS verbinding werkt dit niet meer als gevolg van verbeterde protocol eigenschappen. Lees meer

Een aantal weken geleden werd ik gebeld met een interessante vraag: “De entropy op een productieserver wordt niet snel genoeg aangevuld, waardoor processen vertragen. Deze wachten namelijk totdat er weer voldoende entropy beschikbaar is. Is het veilig om /dev/urandom te gebruiken in plaats van /dev/random?”. Eerlijk is eerlijk, mijn eerste gedachte was: kan dit opraken dan? Ja dat kan, is eigenlijk ook heel logisch, maar ik was een dergelijk probleem nog nooit eerder tegengekomen. En daardoor was er dus ook niet eerder een aanleiding geweest om me hier wat verder in te verdiepen. De hoogste tijd dus om dat te gaan doen.  Lees meer

Tijdens het uitvoeren van een man-in-the-middle (MITM) aanval binnen een geïsoleerde Wi-Fi testomgeving, ontdekte ik dat een tweetal Android apps het beveiligingscertificaat niet verifieert tijdens het opzetten van een SSL/TLS verbinding met servers op internet. Hierdoor was het in beide gevallen mogelijk om inloggegevens te onderscheppen die (als gevolg van de aard van de apps) toegang geven tot privacygevoelige- en bedrijfsvertrouwelijke gegevens. De twee leveranciers (waarvan ik de namen niet zal noemen) zijn inmiddels op de hoogte gebracht, erkennen het probleem, en werken aan een oplossing. Lees meer