Security

10x times thank you for your support! #mvpbuzz

If you’re in my community and professional network you must have witnessed a wave of Microsoft MVP #mvpbuzz announcements and notifications, early july on the various social media, Twitter, LinkedIN, blogs… a bit later than usual this year.

I was part of it, but due to personal reasons and summer vacation early July, I only had time till now to process it…

Certainly this year is a special year for me, a lot of things have changed professionally.
And when another special award disk dropped in the mail box just a few days ago, I can proudly announce that I’m honored to be awarded the Microsoft MVP award for the 10th time.
You work hard for it, hope for it, but never know if you have met the tough expectations.

[If you want to know more about the Microsoft MVP award, check this page on the MVP site. It’s a reward for a select expert community with great passion for Microsoft technologies, for all community efforts for last year.]


Honestly, it’s not about these white and blue glass disks, but appreciation for the passion and effort in the Microsoft community, to be recognized for the passion in Microsoft Security, more specifically Identity & Access.

And I certainly welcome the program change where the group of MVP “Enterprise Mobility” now moved to MVP Security, which aligns better with reality, what I stand for.

But I could never have achieved this with the great help and support of you, my audience.
So want to thank you, more than 10x for this.

Thank you!

Schakel die ontvangstbevestiging van mail alvast uit (in #Microsoft #Outlook, outlook.com, Outlook web en andere mail apps)

Deze week is er een aanpassing van het Belgische Wetboek uitgevoerd, die het eindelijk mogelijk maakt om via email kennisgeving te doen… zodat je via elektronische mail rechtsgeldige verzending zou moeten kunnen doen.
Zou…

Want het is misschien wel een grote stap vooruit in de rechtsspraak… maar waarom zou je de tegenpartij moedwillig in de kaart willen spelen?
In het ergste geval zou je dus ZELF het bewijs gaan leveren aan de tegenpartij…

Is dat nu wel een goed idee?
Ik denk het niet…

Dus zoals het artikel in de Tijd over deze wetsaanpassing al aangeeft…

 ‘Als blijkt dat u de mail gelezen heeft, door te antwoorden of via een leesbevestiging, dan is de kennisgeving sowieso geldig gebeurd.’ Het voorgaande impliceert dat e-mailgebruikers maar beter voorzichtig met leesbevestigingen omspringen. Zonder leesbevestiging of antwoord is het nog altijd aan de verzender om te bewijzen dat de ontvanger de mail wel degelijk ontvangen of gelezen heeft.

Mieke Verplancke in De Tijd – door PETER VAN MALDEGEM 
17 augustus 2022

Maar hoe schakel je die ontvangstbevestiging van mail nu uit?

Voor enkele van de meest gebruikte mail programma’s geef ik je alvast de nodige stappen mee.
Voor alle duidelijkheid, veel van die stappen vind je al op ‘t internet, dus voor enkele programma’s geef ik wat pointers naar goeie artikels… kwestie van de mail niet opnieuw uit te vinden.

Mogelijk voeg ik er later nog wat extra mail programma’s toe aan het lijstje.. maar hier kan je al mee starten. Kijk maar even of je favoriete mail client er tussen zit… En anders nog wat opties helemaal achteraan dit artikel.

Disclaimer: ik heb zelf niet altijd de Nederlandstalige versie van de gebruikersomgeving, dus sommige referenties gebruiken Engelse termen, maar je komt er zo ook wel.

Ik heb de volgende mail clients alvast opgelijst

  • Windows Mail app (Win10/11)
  • Outlook.com (web)
  • Microsoft 365 / Office 365 Outlook web
  • Microsoft 365 / Office 365 Outlook client
  • Outlook for Mobile Devices (Android)
  • Apple
  • GMail

Windows Mail app (Win 10)

Geen probleem, want er zijn geen opties in de Windows Mail app.
Dus als je opties wil, moet je een andere mail client zoeken, deze is te eenvoudig.

Outlook.com (web)

Zelf leesbevestiging vragen?

Njet, de Outlook.com web mail heeft die optie niet. (Wel via de Outlook voor Windows)

Leesbevestiging uitschakelen

Bron: https://support.microsoft.com/en-us/office/read-receipts-in-outlook-com-dc1b74ac-8578-469f-8894-82746e8e5aef

  1. Selecteer Instellingen Instellingen > Alle Outlook-instellingen weergeven.
  2. Selecteer E-mail > berichtafhandeling.
  3. Kies onder Leesbevestigingenhoe u reageert op aanvragen voor leesbevestigingen.

Microsoft Outlook

Microsoft 365 / Office 365 online web versie

Bron: https://support.microsoft.com/nl-nl/office/leesbevestigingen-in-outlook-web-e09af74d-3519-45fc-a680-37a538a92157

Het scherm is gelijkaardig aan de outlook.com versie…

Leesbevestiging uitschakelen doe je zo

Settings> Mail >Message Handling > Read Receipts

Microsoft 365 / Office 365 / Outlook v2016, v2019, … mail client

Leesbevestiging vragen (voor één mail of alle mail)

Zie dit Microsoft Support Artikel : https://support.microsoft.com/en-us/office/add-and-request-read-receipts-and-delivery-notifications-a34bf70a-4c2c-4461-b2a1-12e4a7a92141?WT.mc_id=ES-MVP-5002204

Leesbevestiging uitschakelen

Open je Outlook client, menu File (Bestand) > Selecteer de juiste mailbox (als je er meer dan één hebt) > Kies Options (Opties) > Mail > Tracking

Meer details alvast in deze interessante artikels (Engels)

Outlook for Mobile Devices (Android)

Bron: https://answers.microsoft.com/en-us/outlook_com/forum/all/disable-read-receipts-in-outlook-for-android/eee5a248-935c-42da-9087-1487fa70b860

  1. Open Outlook Web App(OWA).
  2. Login op je mailbox (je moet onderstaande herhalen als je meerdere maiboxen hebt)
  3. Kies Settings/Instellingen (View All Settings)
  4. Kies General/Algemeen > Mobile Devices
  5. Kies Don’t send read receipts for messages read on devices that use Exchange ActiveSync.

Apple

Houd er rekening mee dat de meeste instellingen voor het lezen van e-mails zich op het niveau van de e-mailtoepassing bevinden… het hangt er dus van af welke e-mailapp u op uw apparaat gebruikt.

Maar: “Apple Is Killing Email Read Receipts With a Single Popup” (https://medium.com/big-tech/apple-is-killing-email-read-receipts-like-entirely-14da5aa7fa75)

En ook:

Gmail

Google workspace (professional/enterprise)

How do I turn off automatic read receipts for my users?https://support.google.com/googlecloud/answer/10636687

Gmail web (gratis)

Geen opties voor ontvangstbevestiging bij verzenden of ontvangen.
[Opmerking, ik heb ze alvast niet gevonden, … als ze er zijn, laat gerust iets weten.]

En nog een paar andere mail clients

Nog andere artikels

Cyber-vakantielectuur: 2 #mustread boeken over impact van desinformatie en fake news, de wondere wereld van factchecking

Vakantie is de ideale tijd om even bij te lezen… dus ik heb van de gelegenheid gebruik gemaakt om 2 nieuwe, versgepubliceerde boeken onder handen te nemen. 1 boek van onderzoeksjournalist Tim Verheyden en een boek van fact-checker Maarten Schenk.

Beide gaan over desinformatie en fake news…een vakgebied dat op ‘t eerste zicht niks te maken heeft met privacy, data protection of cybersecurity…

Hoewel het minder relevant is voor cyber-security, is het na 2 jaar corona-pandemie anders wel heel erg duidelijk hoe desinformatie en manipulatie van de publieke opinie een belangrijke rol heeft gespeeld in het verloop van de pandemie

Maar als je even wat verder kijkt en beseft dat recente wereldconflicten en grote politieke evenementen tegenwoordig allemaal vooraf gegaan worden door grote cyberaanvallen en massieve internet-propaganda campagnes, wordt het snel duidelijk dat desinformatie en fake news daar integraal een onderdeel van zijn.

Maar desinformatie is geen recent fenomeen. Dat is in de voorgaande wereld-oorlogen ook steeds toegepast of zelfs in recente oorlogsgeschiedenis,… kijk maar waar zogezegde atoomdreiging in het Midden-Oosten toe geleid heeft…


Alleen, door internet zijn de proporties en de mogelijkheden enorm toegenomen om beïnvloeding en manipulatie toe te passen.
En het feit dat we zowat alles vanop afstand regelen, en nauwelijks nog direct contact met mekaar hebben… (en zeker niet tijdens corona), maakt desinformatie alleen maar makkelijker.

En dit heeft een grote impact op respect voor mekaar, begrip voor mekaar, tolerantie, rekenschap/aansprakelijkheid, vrijheid van spreken, … heel wat grenzen vervagen.

En dat is wat de boeken van Tim Verheyden en Maarten Schenk mooi uit de doeken doen, op een goed leesbare manier. (Maar ik garandeer je dat je op ‘t einde met een hoop nieuwe vragen achter blijft…)

2 boeken

Het is erg nuttig om beide boeken na elkaar te lezen…

Start eerst met het boek van Tim Verheyden: “Het had waar kunnen zijn”.

De reden is simpel, op het einde van zijn boek verwijst Tim naar het tweede boek: “De fake news files” van Maarten Schenk (Subtitel : “De onthullingen van een bullshit detective“).

Beide boeken bespreken een heel aantal real-life cases en verwijzen naar een shitload van andere lectuur, boeken, papers, websites en ander referentie materiaal. Het boek van Tim Verheyden vermeldt niet duidelijk de bronnen.
Dat is erg jammer, want het is vaak erg handig om eens te gaan kijken naar de inhoud en de kernpunten van het verhaal.

[Dit is alvast een oproep aan Tim Verheyden om, net zoals Maarten Schenk, een bronnenlijst te publiceren, zodat je zelf wat verder op zoek kan gaan naar de achtergrond van hun verhalen.

Tim is een uitstekende onderzoeksjournalist, dus die lijst heeft ie al. Daar ben ik zeker van.]

“Het had waar kunnen zijn”

Tim Verheyden toont aan, met ondersteuning van een aantal experts zoals Nathalie Van Raemdonck, Siri Beerends, Rien Emmery, Maarten Schenk, … hoe erg desinformatie en fake news ons dagelijks leven beïnvloedt.

Het pakt echt bij de adem als je erbij stilstaat hoe ver het gaat.
Maar vergis je niet, zoals ik al eerder zei, dit is geen recent probleem. Desinformatie, propaganda en fake news is zo oud als de mensheid. Dus het is erg moeilijk uit te roeien, net zoals roddels is het een onderdeel van menselijk gedrag.

Het is door internet en de overvloed van informatie, alleen maar moeilijker geworden om feiten en fictie uit elkaar te houden.

De conclusie van Tim is duidelijk, we moeten back to the basics van persoonlijke communicatie, zeker na de corona periode.

“Durf bullshit te benoemen, meer dan ooit. Maar laten we vooral weer met elkaar praten”

(Tim Verheyden)

Bovendien zijn we de laatste decennia heel erg gewoon geraakt aan een stabiele, bijna risicoloze wereld. En Corona en de Russisch-Oekrainse oorlog heeft dat beeld ernstig verstoord.

“De fake news files”

Terwijl Tim Verheyden als onderzoeksjournalist, desinformatie, fake news en propaganda eerder bekijkt vanuit het recente wereldnieuws, bekijkt Maarten Schenk het onderwerp eerder vanuit een technische hoek.

Dit is op het eerste zicht een totaal andere aanpak… Maar het wordt snel duidelijk dat de 2 boeken heel erg op elkaar aansluiten. En het boek van Maarten Schenk brengt heel wat verheldering op het boek van Tim Verheyden.

Daarnaast verwijzen ze allebei naar herkenbare verhalen, die we allemaal wel al ergens in ‘t nieuws gezien hebben, of op internet of op social media…

Maarten maakt duidelijk dat voor heel wat mensen de desinformatie een essentieel onderdeel van hun identiteit geworden is en dat elk redelijke discussie of bewijsmateriaal van het tegendeel dan onmogelijk is omdat het een persoonlijke belediging wordt, die op hun persoon gericht is.

Maar deze gedachtengang kan, net zoals het corona virus, erg aanstekelijk zijn… En je kan door continue factchecking wel een soort vaccinatie opzetten, die de impact besmetting kan indammen… maar het is werk van lange adem.

En je moet er continue aan blijven werken want er komen elke dag nieuwe fabeltjes bij.

Extra info – Het had waar kunnen zijn (Tim Verheyden)

Frances Haugen

Frances Haugen (Facebook klokkenluidster)

https://en.wikipedia.org/wiki/Frances_Haugen

https://www.theguardian.com/technology/2021/oct/24/frances-haugen-i-never-wanted-to-be-a-whistleblower-but-lives-were-in-danger

https://time.com/6121931/frances-haugen-facebook-whistleblower-profile/

Haar website: https://www.franceshaugen.com/

Frances Haugen on Twitter: https://twitter.com/franceshaugen?lang=en

Arjen Luback – De fabeltjesfuik

Siri Beerends

https://www.siribeerends.nl/

Research: https://www.siribeerends.nl/research/

SETUP Media Lab: https://www.setup.nl/

World Economic Forum (WEF) – The Great Reset

https://www.weforum.org/great-reset

Extra info – De Fake News Files (Maarten Schenk)

Leadstories

Just Because It’s Trending Doesn’t Mean It’s True — Fact checking at the speed of likes since 2015

https://leadstories.com/

Trendolizer

https://www.trendolizer.com/

Referenties & bronnen

Maarten Schenk heeft de meeste van zijn bronnen en referenties uit het boek verzameld op onderstaande link, wat het erg handig maakt om dit verder door te nemen…

https://leadstories.com/de-fake-news-files.html

Boek referenties

Als je de boeken zelf in je kast of eLibrary will hebben, dan vind je hieronder de nodige informatie.

(Ter info, ik heb beide paperbacks hier in de kast staan, moest je ze even willen uitlenen… laat me iets weten.)

“Het had waar kunnen zijn” (1 jun 2022), uitgeverij Pelckmans

e-book (ISBN 978-94-6401-659-8, €14,99): https://www.pelckmansuitgevers.be/het-had-waar-kunnen-zijn-e-book.html

Paperback (ISBN 978-94-6401-609-3, €22,50): https://www.pelckmansuitgevers.be/het-had-waar-kunnen-zijn.html

De Fake News Files (22 mar 2022), uitgeverij Lannoo

Paperback: (ISBN 978-94-0147-686-7, €22,99): https://www.lannoo.be/nl/de-fake-news-files.

E-book (ISBN 978-94-0148-391-9, €12,99): https://www.ebook.nl/ebook/9789401483919-de-fake-news-files-maarten-schenk/

Andere interessante referenties

(deze referenties kunnen in de toekomst nog verder bijgewerkt worden, of er kan nog bijkomende info toegevoegd worden na de initiele publicatie…)

VRT – Boek bespreking door Jef Cauwenberghs

https://www.vrt.be/vrtnws/nl/2022/06/09/zes-inzichten-desinformatie-tim-verheyde/

Zelf verder zoeken! Meer weten?

Online

Tim Verheyden

Blog met heel wat interessante artikels: https://timverheyden.com/blog

Nathalie Van Raemdonck

LinkedIN: https://www.linkedin.com/in/nathalievraemdonck/

Twitter: https://twitter.com/eilah_tan

Website: https://nathalievanraemdonck.com/

Enkele van haar laatste presentaties:

https://eooh.eu/podcasts/he2rnyb04b5no6q6k1xbdpeiey0kd0-nf5e8-99npr-7jnyr

Rien Emmery (@ArbiterOfTweets)

Twitter

Website

https://muckrack.com/rien-emmery/articles

Boeken

On Bullshit (1986), Harry G. Frankfurt

https://en.wikipedia.org/wiki/On_Bullshit

And also

VRTNWS fact checks:

https://www.vrt.be/vrtnws/nl/rubrieken/desinformatie/check/

https://www.vrt.be/vrtnws/nl/2022/06/28/de-checkers-2022/

De Checkers

https://decheckers.be/ : “Een non-profitorganisatie die het publieke debat wil voeden met feiten en nieuwsgeletterdheid stimuleren. deCheckers werkt samen met journalisten van KnackVRT NWS en Factcheck.Vlaanderen.

Note-to-self: CIS Software Supply Chain security guide

CIS (Center for Internet Security) has published an interesting guide on software supply chain security.

Even if you do not build software on your own, it still is useful to to pick the relevant security measures/controls as part of your information security management to protect yourself and your enterprise.

As we all learned from the log4j issue which impacted many generally used platforms, it has become very clear that you need to look beyond the first level of control (your own)…

It’s critical to manage 2nd (your suppliers) and even third level (suppliers of suppliers)

Highlights

In high level overview, the document discusses:

  1. Source code
    • Code changes
    • Repository management
    • Contribution access
    • Third party
    • Code risks
  2. Build pipelines
    • Build environment
    • Build worker
    • Pipeline instructions
  3. Dependencies
    1. Third party packages
    2. Validate packages
  4. Artifacts
    • Verification
    • Access to artifacts
    • Package registries
    • Origin traceability
  5. Deployment
    • Deployment configuration
    • Deployment environment

Supply chain guide access (need to register on CIS)

https://workbench.cisecurity.org/files/3972 (login needed, but it’s non-commercial, limited data protection risk)

More info:

Extra references

Software impacted by Log4j, see the NCSC Github / Software inventory: https://github.com/NCSC-NL/log4shell/tree/main/software

(if necessary this post will be updated with more interesting material, when applicable)

Note-to-self: PECB CLEH Collaterals

(page is updated on the go, if interesting information is collected …)

PECB

PECB CLEH info

https://pecb.com/en/education-and-certification-for-individuals/ethical-hacking

Exam preparation guides

Download Candidate’s Handbook (pecb.com)
Certified Lead Ethical Hacker Manuals – PECB Help Center (PECB X2Go Client)
Certified Lead Ethical Hacker Manuals – PECB Help Center (PECB CLEH Online Exam)
Certified Lead Ethical Hacker Manuals – PECB Help Center (CLEH Technical Requirements)

PECB X2Go client download (after login)

https://pecb.com/en/cleh

Note taking

CherryTree

https://www.giuspen.com/cherrytree/

http://giuspen.com/cherrytreemanual/

https://www.giuspen.com/cherrytree/#downl

Interesting references

Data breach reports

See: https://identityunderground.wordpress.com/interesting-links/useful-cybersecurity-data-protection-breach-reports/

Cybercrime costs

https://www.grantthornton.global/en/insights/articles/cyber-attacks-cost-global-business-over-$300bn-a-year/

ENISA threat landscape reports

Current (2021)
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021

All reports
https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/enisa-threat-landscape

Previous
https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/enisa-threat-landscape-2020
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018
https://www.enisa.europa.eu/news/enisa-news/enisa-report-the-2017-cyber-threat-landscape
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2016
https://www.enisa.europa.eu/publications/etl2015

ISO

https://ffwd2.me/FreeISO
>https://standards.iso.org/ittf/PubliclyAvailableStandards/

Freely accessible standards – online
https://www.iso.org/covid19

Free download (from: https://standards.iso.org/ittf/PubliclyAvailableStandards/)

ISO/IEC 27000:2018 EN – FR5thInformation technology — Security techniques — Information security management systems — Overview and vocabularyISO/IEC JTC 1/SC 27

https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip
https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_F.zip

ISSAF (out-dated)

https://oissggroup.com/

Lockheed Martin – Cyber Kill chain

https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

Mitre

Att&ck

https://attack.mitre.org/

Engage

https://engage.mitre.org/

CVE

https://cve.mitre.org/

NIST

NIST-SP 500-291, NIST Cloud Computing Standards Roadmap

https://www.nist.gov/publications/nist-sp-500-291-nist-cloud-computing-standards-roadmap

NIST SP800 series

https://www.nist.gov/itl/publications-0/nist-special-publication-800-series-general-information

SP 800-41 Rev. 1: Guidelines on Firewalls and Firewall Policy
https://csrc.nist.gov/publications/detail/sp/800-41/rev-1/final

SP 800-82 Rev. 2

Guide to Industrial Control Systems (ICS) Security

https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final

CSF

https://www.nist.gov/cyberframework

OWASP

https://owasp.org/

https://owasp.org/www-project-top-ten/

https://owasp.org/www-project-mobile-security-testing-guide/

OSSTMM

https://www.isecom.org/

PTES (out of date)

http://www.pentest-standard.org/index.php/Main_Page

http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines

Unified Kill chain

V 2022-05-18

https://www.unifiedkillchain.com/

OSI Model

https://en.wikipedia.org/wiki/OSI_model

https://simple.wikipedia.org/wiki/TCP/IP_model

TCP/IP Port numbers

https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

SANS/GIAC

Wired Equivalent Privacy Vulnerability – GIAC
https://www.giac.org/paper/gsec/624/wired-equivalent-privacy-vulnerability/101399

HTML error codes

https://developer.mozilla.org/en-US/docs/Web/HTTP/Status

https://developer.mozilla.org/en-US/docs/Web/HTTP/Status

The story of Error Code 418
https://www.berkeleysquares.co.uk/2021/06/html-response-code-418-why-youve-never-heard-of-it-and-never-will-again/
https://datatracker.ietf.org/doc/draft-ietf-httpbis-semantics/

Security controls framework

https://www.securecontrolsframework.com/secure-controls-framework

https://github.com/securecontrolsframework/securecontrolsframework

Tips & tricks

Book

https://book.hacktricks.xyz/welcome/readme

OCSP

https://github.com/CountablyInfinite/oscp_cheatsheet

https://guide.offsecnewbie.com/cherrytree-oscp-template

https://github.com/devzspy/oscp-certification/tree/master/Note%20Taking%20Tools/CherryTree%20Template

Tools

Pentest wiki

Pentest Wiki: https://pentestwiki.org/

Haveibeenpwnd

https://haveibeenpwned.com/
https://haveibeenpwned.com/Passwords

OSINT

https://osintframework.com/

https://github.com/jivoi/awesome-osint

https://github.com/topics/osint-tools

https://www.osintessentials.com/maps

https://hackcontrol.org/OSINT/Maps.html

Phishing – open source

https://getgophish.com/

Metasploit

https://www.metasploit.com/
https://www.metasploit.com/get-started

https://github.com/rapid7/metasploit-framework/wiki/Nightly-Installers

Exploit DB

https://www.offensive-security.com/backtrack/offensive-security-exploit-archive-online/

https://www.exploit-db.com/

Google Dorking

https://www.exploit-db.com/google-hacking-database

Rubber ducky – USB Key logger

https://shop.hak5.org/products/usb-rubber-ducky-deluxe

https://infosecwriteups.com/make-usb-rubber-ducky-with-less-than-3-fa72dac9e4de

Hack mag – Rubber Ducky

Pen testing labs

Free labs

https://www.google.com/search?q=free+pentesting+labs
https://www.hackthebox.com/
https://www.hackthissite.org/
https://www.offensive-security.com/labs/
https://www.pentesterlab.com/exercises
https://www.vulnhub.com/
https://www.root-me.org/?lang=en
https://www.hacking-lab.com/events/

Various labs

Source: https://github.com/michelbernardods/labs-pentest

-> Academy Hackaflag -BR https://academy.hackaflag.com.br
-> Try Hack Me https://tryhackme.com
-> Attack-Defense https://attackdefense.com
-> alert to win https://alf.nu/alert1
-> CTF Komodo Security https://ctf.komodosec.com
-> CMD Challenge https://cmdchallenge.com
-> Explotation Education https://exploit.education
-> Google CTF https://capturetheflag.withgoogle.com
-> HackTheBox https://www.hackthebox.eu
-> Hackthis https://www.hackthis.co.uk
-> Hacksplaining https://www.hacksplaining.com/exercises
-> Hacker101 https://ctf.hacker101.com
-> Hacker Security https://capturetheflag.com.br
-> Hacking-Lab https://www.hacking-lab.com/index.html
-> HSTRIKE https://hstrike.com
-> ImmersiveLabs https://immersivelabs.com
-> Labs Wizard Security https://labs.wizard-security.net
-> NewbieContest https://www.newbiecontest.org
-> OverTheWire http://overthewire.org
-> Practical Pentest Labs https://practicalpentestlabs.com
-> Pentestlab https://pentesterlab.com
-> Penetration Testing Practice Labs http://www.amanhardikar.com/mindmaps/Practice.html
-> PentestIT LAB https://lab.pentestit.ru
-> PicoCTF https://picoctf.com
-> PWNABLE https://pwnable.kr/play.php
-> Root-Me https://www.root-me.org
-> Root in Jail http://ctf.rootinjail.com
-> Shellter https://shellterlabs.com/pt
-> SANS Challenger https://www.holidayhackchallenge.com
-> SmashTheStack http://smashthestack.org/wargames.html
-> Try Hack Me https://tryhackme.com
-> The Cryptopals Crypto Challenges https://cryptopals.com
-> Vulnhub https://www.vulnhub.com
-> W3Challs https://w3challs.com
-> WeChall http://www.wechall.net
-> Zenk-Security https://www.zenk-security.com/epreuves.php

You expect a phishing test… and then the real stuff kicks in… some quick tips to block evasion techniques

I see more and more phishing exercise fatigue kicking in at my customers…

But it’s more than ever required to be vigilant for new techniques that try to circumvent the typical URL blocking and the other protection layers you put in place.

You’re the best firewall.

What is going on?

You know, these companies that first announce a #phishing test…

which go unnoticed because they are caught by the 𝐬𝐩𝐚𝐦 𝐟𝐢𝐥𝐭𝐞𝐫…

And a few weeks later you get the 𝐫𝐞𝐚𝐥 𝐬𝐭𝐮𝐟𝐟 𝐢𝐧 𝐲𝐨𝐮𝐫 𝐢𝐧𝐛𝐨𝐱 from the same company.

With ridiculous worse quality than the actual test… but still its in the inbox ready to click (DON’T!).

You assume phase 2 of the phishing test…another round, right? (you think: “yeah, right, not me.”).

Because the new mail comes with ridiculous bad quality (⚠️1) than the actual test…

Nowadays you expect smart mails from these criminals…

But still it doesn’t feel OK …you start to realize that this might the real stuff…

Checking for some more phishing indicators (⚠️)

A mail with you in bcc…. (⚠️2)

Addressed to a very strange (New-Zealand) mail address (⚠️3)

with a PDF alike icon image embedded (⚠️4)

via a google drive link (⚠️5)….

SPOILER: I crippled the link mentioned in previous screenshot to avoid any accidents…

SPOILER 2: DO NOT, EVER CLICK these links…

Still, If you can’t control your curiosity, you might peek into the link via alternative methods (see later).

The display of unrelated content, with payment instructions (⚠️6), isn’t really what you would expect.

Because if you even dare to click the links you get another link (⚠️7)… and this time the browser malware detection (Smartscreen filtering) kicks in .. at last… so I’ll stop the curiosity here…

Why is this an issue?

The main issue here is: the phishing links are pointing to well-known (like Google drive, Microsoft OneDrive, Dropbox…) for hosting malware, which usually escape or bypass the malware URL detection…

Security tips

Rule nr 1: Don’t click links in unexpected mails

Curiosity kills the cat: Please withstand the urge to click the links to satisfy your curiosity….

If you don’t expect the mail, be very cautions, don’t click the links.

Control your curiosity: test the links in isolated mode

If you can’t control your curiosity, don’t ever click the links on your main computer.

But copy the link and open it

  • in a Windows sandbox
  • virtual machines or test machine… not your production machine
  • mobile device

Use Windows Sandbox

Since Windows 10 (Pro) you can use Windows Sandbox (free), that is a virtual, isolated environment. So you can test some interesting things without damaging your production host machine.

By stopping the Sandbox, the machine forgets all settings and returns to default state, pristine.

More info: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview

Run a quarantined client in virtual machine

Use Microsoft Hyper-V (free) or Oracle Virtual box (free) and install a client OS in the virtual machine.
Snapshot the machine before the test, perform the test, return to snapshot to avoid any left overs of malware.

Run the link on a mobile phone

Less secure, but better than running malware on your most important machine, is running the link on a browser on your mobile device. There is lower risk of infection and less impact than loosing your primary working machine, although… be aware, there is still a small risk of infection even for smartphones…

Additional security measures

To permit some stupidity and protect against accidents, please make sure

  • to implement all the latest OS security updates, patch on a continuous basis
  • have an anti-malware and anti-virus that is updated continuously
  • keep the default OS security features enabled including local system firewall and malware detection
  • consider a paid antivirus subscription, it’s worth the money and keep it up to date every hour
  • get a mail protection against malware, tracking, phishing and ransomware (like Windows defender for 365) have regular backups (1 online and 1 offline) and test the restores
  • use cookie/tracking/advertisement blockers
  • use a DNS blackhole system to protect your network from accessing suspicious URLs (including tracking and phishing websites, advertisements, C&C Command and control malware domains, …)

You’re the best firewall

Don’t get caught.

Don’t be curious.

Suspect everything you don’t expect.

Don’t click the links.

And if you’re curious, keep it safe and secure.

Note-to-self: free download of interesting guides for SME from DigitalSME.eu

Jean-Luc Allard pointed out to a #free#download of interesting guides for #SME on implementing the #informationsecurity basics we all need:

Freshly published: Essential controls for SMEs to protect user’s #privacy and data and ensure #GDPR compliance (based on new #ISO27002)
https://lnkd.in/epridtnY

Direct download of PDF: https://lnkd.in/en8rVMBY

And also: The #ISO27001 standard made easy for SMEs:
https://lnkd.in/eiaBbdmp
Direct PDF access: https://lnkd.in/eFR2yjp

And there is more on the website of European DIGITAL SME Alliance (website: https://www.digitalsme.eu/)

#smebusiness#smesupport#smallbusiness

Data Compliance: Get it right the first time

Below is a short overview of the #Hexnode webinar, presented 2022-04-07 about data compliance.

The webinar recording is published at the Hexnode website (and embedded below).
And the PDF version of the slide deck is published in full color and B/W print version on Slideshare, see links below.

PPT version available on request (send me a DM on LinkedIN).

Data is the new oil…

Whatever business you run…

.. it won’t run without data:

  • Business data
  • Management data
  • HR data
  • Technical data
  • Network data
  • Personal data (PII)
  • Communications
  • Mail data 
  • Financial data
  • Operational data
  • Intelligence
  • Intellectual Property (IP)
  • Ideas

Other businesses want your data as well…

There is a massive growth of digital business:

  • Direct marketing
  • Data brokers
  • Data Intelligence
  • Data analytics
  • Big data
  • Artificial intelligence
  • Machine learning
  • Health care, research & development

But also… the dark side wants your data.

And your data in the wrong hands.. is explosive.

Current state of crime

Company and user data, and personal data is an important target and leverage in cybercrime lik

  • Phishing
  • Ransomware
    • not only encryption
    • data leak extortion
  • Reconnaissance & Hacking
  • Data breaches 
  • Biometric data
  • Digital & Economical war

Now the question is… How do YOU get in control?

You can’t simply lock up your data… because data needs to flow. (You want to use it…)

Data management essentials to get grip

Ask yourself: how much €$ can you spend to protect your data? To answer that question, you’ll need to get grip of some basic data management principles, in relation to security:

  1. You can only protect what you know you have
  2. Without an owner there is no protection
  3. Nothing is stable, everything has a lifecycle
Data lifecycle

Data lifecycle

The start of the cycle is mostly

  • short,
  • easy to manage,
  • low security risk. (if the creation fails… you have no data to keep under control)

The end of the cycle is mostly

  • long, (there are various reasons why you need to keep the data for a while, eg in archive before you dispose of it..)
  • difficult to manage (if the process fails, it’s difficult to track or keep under control)
  • high security risk. (risk of losing ownership, risk of leakages, …)

What is risk?

Assets have

Vulnerabilities (weaknesses/properties) 

that can be exploited by 

Threats (activities)

with impact ($$ cost).

You need to balance the protection against the impact. You don’t want to over-spend or under-protect.

Your boss (or insurance, of CFO ) needs a budget, spreading cost over a year, or 2..3..4..5.

[Risk management is calculating impact over the rate of occurrence/frequency…]

How to get started

Know the external context

  • International regulations (GDPR, …)
  • National regulations (SOC, …)
  • Sector regulations (PCI-DSS, ..)
  • Contractual obligations
  • Enterprise vs PII/personal data requirements

Know the internal context

  • Know your business (what)
  • Know your organization (organigram)
  • Make an inventory of processes and interfaces
  • Assign business ownership
    • For each process
    • For each asset

Know the processes

  • Know the data flow 
  • Know your sources (IN)
  • Know the data processing
  • Know your receivers (OUT)

Know the data in the processes

  • Categorize your data – data types
    • Enterprise data
    • PII / Personal data (GDPR !)
    • Other ?

Categorization (define data classes)

  • Sensitivity = linked to business impact
  • Ask the owner : “What if data is …”
    • unavailable, 
    • changed,
    • destroyed,
    • leaked,
    • accessed unauthorized, illegally, unlawfully,
  • Categorize your data sensitivity
    • Enterprise data, for example
    • Unclassified, Official, Restricted, Confidential, Secret, Top Secret (NATO) 
    • Public, Company internal, Confidential, Strictly confidential  
    • TLP RED, TLP Amber, TLB Green, TLP White (public)

Classification (apply the labels)

  • Responsibility of owner
  • Label all data
  • Label containers if you can’t label the data
    • Folder or File share
    • Database
    • mailbox 
    •  …

Mind the lifecycle

  • Get started
  • Keep going
  • Start over again
  • Think about security when
    • creating new processes
    • changing processes
    • removing processes
    • recheck on a regular schedule (even when nothing changes)

Mind the business and legal requirements

  • Accountability & Responsibility 
  • Reporting & audit requirements (SOC I-II, …)
  • Incident management requirements
  • Data breach requirements (GDPR)
  • Subject rights 

Consequences of data management failure

  • Financial loss
  • Business loss
  • Reputation loss 
  • Contract SLA violation
  • Regulatory violations
  • Fines
  • Prosecution
  • Personal accountability

Think about

  • Direct and indirect impact
  • Short term and long term impact
  • How long can you survive a total breakdown?

TAKEAWAYS

  • Manage enterprise data like personal data
  • Keep the categories simple (<7)
  • 3 TLP (RedAmberGreen) + 2 categories (public + highly critical)
  • Define and maintain ownership
  • Involve everyone
  • Evangelize internal & external stakeholders (incl. customers…)
  • Lead by example

Use business best practices

  • Use standards and frameworks
  • ISO (international)
  • NIST (US)
  • ENISA (EU)
  • COBIT (ISACA)

Classification and labeling

  • Force labeling
  • Aim to classify everything
  • Start with new data first
  • Update labels when you change documents
  • Set a default label for archived data that doesn’t change
  • DO NOT set “public” as default

Think about the support processes

  • Incident management (ISO 27035 & NIST)
  • Data breach management (GDPR & other …)
  • Business continuity (ISO22301)
  • Disaster recovery

Questions

How to identify regulations you should follow?

  • know and analyse the services you’re offering,
  • where is your data stored?
  • what kind of data you have (enterprise data, personal data, financial, …)
  • identify the local, national, regional, international regulations of sector legislations that apply to your business (check partners/competition, sector representatives, …)

Is there difference in regulation for small or large business?

  • very limited impact of size of company…
  • very likely some impact on financial and tax reporting,
  • some legislation only apply in large scale operations (eg GDPR only requires a DPO for certain type of operations, …)

Best place to start for SME/SMB?

Webinar recording by Hexnode

Hexnode webinar

Presentations

Full color

Black/White print

Note-to-self: PCI-DSS update 4 published

The #pcidss standard has been updated to v4, free to download.

Very handy and useful guidance, linked to #ISO27001, and also useful outside the payment card industry…

Full information page – PCI-DSS Resource hub

https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub

PCI-DSS document library

https://www.pcisecuritystandards.org/document_library

Direct download of the #pcidssv4 pdf:

https://www.pcisecuritystandards.org/documents/PCI-DSS-v4_0.pdf

#ICYMI, check these online fully accessible + freely downloadable ISO standards, relevant for information security, privacy & data protection

#ICYMI, In case you missed it.

Online freely accessible ISO standards

In the midst of the #COVID19 corona pandemic, the ISO (International Organization for Standardization) has unlocked free reading access to a bunch of relevant standards, including

  • ISO 22301:2019, Security and resilience – Business continuity management systems –Requirements
  • ISO 22316:2017, Security and resilience – Organizational resilience – Principles and attributes
  • ISO 22320:2018, Security and resilience – Emergency management – Guidelines for incident management
  • ISO 31000:2018, Risk management – Guidelines
  • ISO 13485:2016, Medical devices — Quality management systems – Requirements for regulatory purposes

The general access page with all online, fully accessible standards can be found here: https://www.iso.org/covid19.

Important note:

  • these standards are available online, but not downloadable (for legitimate downloads you need to purchase your copy in the ISO shop or with your national standards organisation)
  • there is no guarantee for continued free access once the Covid pandemic is over, if ever. That’s the sole discretion of the ISO, of course.

Freely downloadable ISO standards

Next to the (temporary) free online access, there is also a set of standards you can download for free, no payment required.
See here: https://standards.iso.org/ittf/PubliclyAvailableStandards/

Short url to bookmark: https://ffwd2.me/FreeISO.

Check the interesting ISO standards (from the information security point of view) below

ISO27000 (Information security)

The ISO27001 vocabulary

ISO/IEC 27000:2018
EN – FR
5thInformation technology — Security techniques — Information security management systems — Overview and vocabularyISO/IEC JTC 1/SC 27

Privacy Framework (ISO29100)

ISO/IEC 29100:2011
EN – FR
1stInformation technology — Security techniques — Privacy frameworkISO/IEC JTC 1/SC 27

Cloud Computing Reference architecture

SO/IEC 17788:2014
EN
1stInformation technology — Cloud computing — Overview and vocabularyISO/IEC JTC 1/SC 38
ISO/IEC 17789:2014
EN
1stInformation technology — Cloud computing — Reference architectureISO/IEC JTC 1/SC 38

Cloud computing vocabulary

ISO/IEC 22123-1:2021
EN
1stInformation technology — Cloud computing — Part 1: VocabularyISO/IEC JTC 1/SC 38

Cloud computing policy development

ISO/IEC TR 22678:2019
EN
1stInformation technology — Cloud computing — Guidance for policy developmentISO/IEC JTC 1/SC 38

Cloud Computing SLAs

ISO/IEC 19086-1:2016
EN
1stInformation technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and conceptsISO/IEC JTC 1/SC 38
ISO/IEC 19086-2:2018
EN
1stCloud computing — Service level agreement (SLA) framework — Part 2: Metric modelISO/IEC JTC 1/SC 38

Common Criteria (ISO 15408)

ISO/IEC 15408-1:2009
EN – FR
3rdInformation technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general modelISO/IEC JTC 1/SC 27
ISO/IEC 15408-2:2008
EN – FR
3rdInformation technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional componentsISO/IEC JTC 1/SC 27
ISO/IEC 15408-3:2008
EN – FR
3rdInformation technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance componentsISO/IEC JTC 1/SC 27

Identity management

ISO/IEC 24760-1:2019
EN – FR
2ndIT Security and Privacy — A framework for identity management — Part 1: Terminology and conceptsISO/IEC JTC 1/SC 27