best practices

Whatsapp security dichttimmeren: stap voor stap (NL)

English version here: https://identityunderground.wordpress.com/2021/06/07/whatsapp-security-lockdown-step-by-step/

Gebruik je WhatsApp, of overweeg je om het te gebruiken (of ben je uitgenodigd door contacten)?

Dan kan de onderstaande checklist je stap-per-stap in detail uitleggen om

  • te evalueren of het de moeite waard is om WhatsApp te gebruiken, en
  • de beveiliging van je WhatsApp dicht te timmeren, om zo veilig mogelijk te blijven als je Whatsapp wil gebruiken.

Download dit article

At the end of this article, you can also find the download link for an offline version of this article.

Als je echt om privacy geeft en het is van het grootste belang…

Zoals hieronder uitgelegd, kun je WhatsApp zeker beveiligen, maar ze hebben nog steeds je gegevens en metadata en ze definiëren de regels waarmee WhatsApp de show uitvoert. En dat kan veranderen, wanneer ze maar willen.

En je moet weten dat WhatsApp eigendom is van en wordt beheerd door Facebook. En Facebook heeft al bewezen dat ze een echt slechte reputatie hebben als het gaat om privacy …

Als je echt niet wilt toegeven qua privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens… (zie einde van dit artikel).

Het is aan jou om te beslissen welk risico je wilt nemen. Als je het gebruik van WhatsApp en je privacy wilt afwegen tegen de best mogelijke beveiliging, lees dan verder.

Als je om privacy geeft en toch Whatsapp wilt gebruiken

End-to-end encryptie

Het goede nieuws is dat WhatsApp een end-to-end encryptie gebruikt.

En hoewel Facebook of andere partijen mogelijk niet meeluisteren met uw gesprekken, kunnen de contactgegevens, de metagegevens (de gegevens over uw gesprekken) worden onderschept en eigendom zijn van / worden beheerd door Facebook / WhatsApp.

Verder is het belangrijk om te weten dat encryptie NIET van toepassing is op de WhatsApp back-ups.

Zoals hieronder wordt uitgelegd, kunt u dus overwegen whatsApp-back-up uit te schakelen om uw gegevens te beschermen.

En als je er toch voor wilt kiezen om WhatsApp te gebruiken, kun je de privacy en beveiliging in alle lagen van de applicatie beter vergrendelen.

Algemene beveiligingsregels

Minimaliseer uw gegevens

Over het algemeen is het altijd slim om uw gegevens in de applicatie te minimaliseren.

  • Geef geen persoonsgegevens weg
  • houd uw profielgegevens tot het minimum dat nodig is

Ga naar het WhatsApp status tabblad (rechts naast chats)

This image has an empty alt attribute; its file name is whatsapp_settings1.png

en klik vervolgens op “Instellingen” (Settings)

This image has an empty alt attribute; its file name is whatsapp_personal-info-1.png

Ook, heel belangrijk, beperk het delen van persoonlijke gegevens, er is een specifieke set opties in het gedeelte Privacy.

  • uw profiel alleen delen met vertrouwde contactpersonen
  • De publicatie van
    • “laatst gezien” tijdstempel
    • profielfoto
    • status
    • groepen
    • live locatie

Stel voor elk van deze opties de juiste keuze in om delen uit te schakelen.

Kies “Alleen delen met…” (Only Share with…) > geen contactpersonen selecteren (of enkel een beperkte set vertrouwde contactpersonen)

This image has an empty alt attribute; its file name is whatsapp_status-privacy.png

Resultaat

This image has an empty alt attribute; its file name is whatsapp_settings_privacy.png

Zorg er ook voor dat u het “Vingerafdrukslot” (Fingerprint lock) inschakelt, indien beschikbaar op uw smartphone.

Koperstip: voor de volgende smartphoneaankoop moet u rekening houden met de beschikbaarheid van een vingerafdrukscanner op uw telefoon.

Houd de app up-to-date

Werk uw apps continu bij, incl. WhatsApp, naar de nieuwste versie, om ervoor te zorgen dat alle beveiligingsfouten of beveiligingsproblemen meteen worden opgelost.

De meeste beveiligingsinbreuken of hacks richten zich specifiek op verouderde software.

Hoe u uw WhatsApp-beveiliging kunt vergrendelen, de controlelijst

Zonder beveiligingsconfiguratie is het vrij eenvoudig om een WhatsApp-account te kapen, omdat de eerste registratie alleen is gebaseerd op mobiele nummerregistratie en / of sms (kort bericht).

Dit maakt de eerste WhatsApp-gebruiker extreem gevoelig voor accountovername. Wees niet het volgende slachtoffer en vergrendel WhatsApp vanaf het eerste gebruik.

This image has an empty alt attribute; its file name is whatsapp_settings_account-2.png

Whatsapp tweestapsverificatie (2FA) of multifactorauthenticatie (MFA) inschakelen

Allereerst moet je MFA inschakelen, het is een must.

Wanneer je 2FA / MFA inschakelt op de WhatsApp-instellingen, voorkom je dat iemand anders gewoon je telefoonnummer of WhatsApp-account kan overnemen.

Gebruik de sterke authenticatie van je telefoon

This image has an empty alt attribute; its file name is whatsapp_settings_2fa.png

E-mailadres registreren voor je account

This image has an empty alt attribute; its file name is whatsapp_settings_2fa_mail.png

Een pincode instellen

Houd er rekening mee dat de pincode in WhatsApp geen inlogmethode is, maar een herstel- / herinstallatiefunctie.

Meer info: https://faq.whatsapp.com/android/security-and-privacy/adding-a-password/?lang=en

Maar u kunt de smartphonebeveiliging gebruiken om toegang tot toepassingen in te schakelen.

Het wordt sterk aangeraden om 2FA of MFA (multifactorauthenticatie, zoals uitgelegd in eerdere paragrafen) in te schakelen.

This image has an empty alt attribute; its file name is whatsapp_settings_2fa_pin.png

Whatsapp-tweestaps- of multifactorauthenticatie inschakelen

Gebruik telefoon sterke authenticatie

Vingerafdruk

Binnen de privacy-instellingen vindt u de optie “Vingerafdrukvergrendeling” (als uw smartphone de vingerafdrukscanner aan boord heeft).

This image has an empty alt attribute; its file name is whatsapp_fingerprint.png

Ga naar Instellingen > Account > Privacy om de vingerafdrukvergrendeling in te schakelen

This image has an empty alt attribute; its file name is whatsapp_settings_privacy_fp.png

Selecteer vervolgens de laatste optie (Vingerafdrukvergrendeling)

In dit vingerafdrukvergrendelingsmenu kunt u de ontgrendeling inschakelen en de time-outperiode kiezen. Hou het kort.

(Misschien is “meteen”/”immediately” een beetje lastig, zet ‘m dan op 1 minuut bijvoorbeeld…)

This image has an empty alt attribute; its file name is whatsapp_privacy_fingerprint.png

De beveiligingsmeldingen inschakelen

In de account settings

This image has an empty alt attribute; its file name is whatsapp_settings_account.png

er is een beveiligingsoptie

This image has an empty alt attribute; its file name is whatsapp_settings_security.png

Zorg ervoor dat u de optie “Beveiligingsmeldingen weergeven” inschakelt.

Dit zorgt ervoor dat u meldingen ontvangt wanneer de beveiligingscode van uw contacten verandert.

De privacy-instellingen vergrendelen

Verwijder overbodige persoonsgegevens uit uw profiel

Er is niet veel informatie die u zelf aan uw profiel kunt toevoegen.

Houd het tot het strikte minimum, en ik stel ook voor om geen persoonlijke foto toe te voegen, maar eerder een algemene foto.

This image has an empty alt attribute; its file name is whatsapp_settings_account-1.png

Schakel in de privacyinstellingen alle publicatie van uw profielgegevens uit.

This image has an empty alt attribute; its file name is whatsapp_settings_privacy-1.png

Locatietracking stoppen

Een belangrijke optie in de vorige lijst is ook het uitschakelen van locatietracking (“Live locatie”).

Back-up uitschakelen

Hoewel WhatsApp end-to-end-codering gebruikt voor zijn berichten, wordt de codering niet gehandhaafd wanneer de gegevens in de back-up worden opgeslagen

Als u zich echt zorgen maakt over privacy en beveiliging, schakelt u de back-up uit.

Trouwens, als u het verlopen van het bericht activeert, is de back-up toch overbodig…

This image has an empty alt attribute; its file name is whatsapp_settings_account2.png

Select de “Chats” optie

This image has an empty alt attribute; its file name is whatsapp_chats.png

Kies in de chatoptie de optie “Chat back-up”

This image has an empty alt attribute; its file name is whatsapp_backup1.png

In de Google drive settings (tenminste voor Android devices), selecteer “Backup to Google Drive” en selecteer dan “Nooit/Never”.

This image has an empty alt attribute; its file name is whatsapp_backup.png

Berichtvervaltijd inschakelen (berichten verdwijnen)

Als u het verlopen van berichten wilt inschakelen, moet u dit instellen op accountniveau van uw contactpersoon of op groepsniveau

Er is geen algemene beveiligingsinstelling en u kunt deze ook niet instellen op berichtniveau.

Waarschuwing

Houd er rekening mee dat het verdwijnen van berichten in WhatsApp enkele problemen kan hebben: https://www.androidauthority.com/whatsapp-disappearing-messages-feature-1173692/

Op contactniveau

This image has an empty alt attribute; its file name is whatsapp_contact_group_setting.png

Berichtvervaltijd op groepsniveau inschakelen

You can set the same options on group level too.

It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.

Andere operationele beveiligingstaken

Verouderde leden uit groepen verwijderen

Het is heel belangrijk om groepen die u beheert te bewaken en overbodige leden zo snel mogelijk te verwijderen.

Zo voorkom je dat er gegevens ‘lekken’ naar deelnemers die die informatie niet nodig hebben.

Groepen verlaten die u niet meer gebruikt

Controleer groepen waarvan u lid bent en sluit deze groepen af/afsluit deze groepen als u ze niet meer nodig hebt, als u geen informatie meer wilt delen of als u niet wilt dat leden uw informatie/berichten zien.

This image has an empty alt attribute; its file name is whatsapp_leave-group.png

Zo voorkomt u dat u gegevens ‘lekt’ naar deelnemers om u te zien of te volgen.

Verzoek om toegang tot gegevens

Als je de informatie wilt controleren die WhatsApp over je weet, kun je een kopie van die infromation aanvragen

Ga naar je accountinstellingen

This image has an empty alt attribute; its file name is whatsapp_settings_requestinfo.png

En klik vervolgens op de optie “Informatie aanvragen”

Overweeg om andere tools te gebruiken, enkele alternatieven

Source:

Als je echt niet wilt toegeven aan privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens…

Referenties

Whatsapp

Jezelf beschermen tegen WhatsApp-hacks

Uw gestolen account herstellen

Andere bronnen – aanvullende referenties die je kan raadplegen

Download

Dit artikel in het Nederlands kan je in PDF downloaden via deze link:

https://identityunderground.files.wordpress.com/2021/06/whatsapp-security-lockdown-step-by-step-nl-v1.pdf

Whatsapp security lockdown step-by-step

(NL versie vind je hier: https://identityunderground.wordpress.com/2021/06/07/whatsapp-security-dichttimmeren-stap-voor-stapnl/)

Are you using WhatsApp, or considering (or invited to, by contacts)?

Then the checklist below should provide you with detailed steps to

  • consider if it’s worth using WhatsApp
  • lock down the security of your WhatsApp to keep as secure as possible

Download this article

At the end of this article, you can also find the download link for an offline version of this article.

If you really care about privacy and it’s paramount…

As explained below you surely can lockdown WhatsApp, but they still have your data and metadata and they define the rules by which WhatsApp runs the show. And that can change, whenever they want.

And you should know that WhatsApp is owned and managed by Facebook.
And Facebook already has proven to maintain a really bad reputation when it comes down to privacy…

If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data… (see end of this article).

It’s up to you to decide what risk you want to take. If you want to balance the use of WhatsApp and your privacy with the best possible security, continue to read.

If you care about privacy and still want to use Whatsapp

End-to-end encryption

The good news is, WhatsApp is using an end-to-end encryption.

And although Facebook or other parties might not listen in on your conversations, the contact data, the meta data (the data about your conversations) might be intercepted, and is owned/managed by Facebook/WhatsApp.

Furthermore it’s important to know that encryption DOES NOT apply to the WhatsApp backups.

So, as explained below, you might consider disabling WhatsApp backup to protect your data.

And if you still want to choose to use WhatsApp, better lock down the privacy and security in all layers of the application.

General security rules

Minimize your data

In general it’s always smart, to minimize your data in the application.

  • Don’t give away personal data
  • keep your profile data to the minimum needed

Go to the WhatsApp status tab

then click “Settings”

Also, very important, limit personal data sharing, there is a specific set of options in the Privacy section.

  • only share your profile with trusted contacts
  • Disable the publication of
    • “last seen” time stamp
    • profile photo
    • status
    • groups
    • live location

For each of these options set the right choice to disable sharing.

Choose “Only Share with…” > do not select any contacts (or a limited set of trusted contacts)

Result

Also make sure to enable the “Fingerprint lock” if available on your smartphone.

Buyers tip: for next smartphone purchase you must consider the availability of a fingerprint scanner on your phone.

Keep the app up to date

Continuously update your apps, incl. WhatsApp, to the latest version, to make sure that all security bugs or security issues are fixed right away.

Most of security breaches or hacks do specifically target outdated software.

How to lock down your WhatsApp security, the check list

Without security configuration it’s fairly easy to hijack a WhatsApp account, as the initial registration is only based on mobile number registration and/or SMS (short message).

This makes the initial WhatsApp user extremely sensitive to account take over. Don’t be the next victim, and lock down WhatsApp from the first use.

Enable Whatsapp Two-step (2FA) or multifactor authentication (MFA)

First of all you need to enable MFA, it’s a must.

When you enable 2FA/MFA on the WhatsApp settings, you avoid that someone else simply can take over your phone number or WhatsApp account.

Use phone strong authentication

Register email address to the account

Set a pin/password

Be aware that the PIN in WhatsApp is not a login method but a recovery/reinstallation feature.

More info: https://faq.whatsapp.com/android/security-and-privacy/adding-a-password/?lang=en

But you can use the smartphone security to enable application access security.

It’s strongly suggested to enable 2FA or MFA (multifactor authentication, as explained in previous paragraphs.

Enable Whatsapp Two-step or multifactor authentication

Use phone strong authentication

Finger print

Within the privacy settings, you can find the option “Fingerprint lock” (if your smartphone has the fingerprint scanner on board).

To enable the fingerprint lock, Go to Settings > Account > Privacy

Then select the last option (Fingerprint lock)

In this Fingerprint lock menu, you can enable the unlock and choose the time-out period. Keep it short.

(Maybe immediately is a bit inconvenient…)

Enable the security notifications

In the account settings

there is a security option

Make sure to enable the “Show Security notifications” option.

This will make sure you get notifications when the security code of your contacts change.

Lock down the privacy settings

Remove redundant personal data from your profile

There is not a lot of info you can add to your profile yourself.

Keep it to the strict minimum, and I also would suggest not to add a personal photo, but rather a general photo.

In the privacy settings, disable all publication of your profile data.

Stop location tracking

An important option in previous list is also to disable location tracking (“Live location”).

Disable backup

Although WhatsApp is using end-to-end encryption for it’s messaging, the encryption is not maintained when the data is stored in the backup

If you really are concerned about privacy and security, you disable the backup.

By the way, if you activate message expiration, the backup is redundant anyway…

Select the “Chats” option

In the chats option, choose the “Chat backup” option

In the Google drive settings (at least for Android devices), select “Backup to Google Drive” and then select “‘Never”.

Enable message expiration (disappearing messages)

To enable message expiration, you’ll need to set it on the account level of your contact or on group level

There is no general security setting, nor can you set it on the message level.

Warning

Please be aware that disappearing messages in WhatsApp might have some issues: https://www.androidauthority.com/whatsapp-disappearing-messages-feature-1173692/

On contact level

Enable message expiration on group level

You can set the same options on group level too.

It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.

Other operational security tasks

Remove obsolete members from groups

It’s quite important to monitor groups you manage and remove redundant members as soon as possible.

This way you avoid ‘leaking’ data to participants who do not need that information.

Leave groups you don’t use anymore

Monitor groups you are member of, and you should quit/exit these groups if you do not need them anymore, or you do not want to share information anymore, or if you don’t want members to see your information/messages.

This way you avoid ‘leaking’ data to participants to see you or track you.

Data access request

If you want to check the information that WhatsApp knows about you, you can request a copy of that infromation

Go to your account settings

And then click the “Request Information option”

Consider to use other tools, some alternatives

Source:

If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data…, like

Reference

Whatsapp

Protecting yourself from WhatsApp hacking

Recover your stolen account

Other sources – additional references you can check

Download

The current article is available for download here: https://identityunderground.files.wordpress.com/2021/06/whatsapp-security-lockdown-step-by-step.pdf

Note-to-self: MNM van KSZ (Minimale normen – Sociale Zekerheid)

Minimale Normen / Normes Minimales van de KSZ (Kruispuntbank van de Sociale Zekerheid) gebaseerd op de ISO27001/ISO27002

“De toepassing van de minimale normen informatieveiligheid en privacy is verplicht voor instellingen van sociale zekerheid overeenkomstig artikel 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid (KSZ). Bovendien moeten de minimale normen informatieveiligheid en privacy eveneens toegepast worden door alle organisaties die deel uitmaken van het netwerk van de sociale zekerheid overeenkomstig artikel 18 van deze wet. Tenslotte kan het sectoraal comité van de sociale zekerheid en van de gezondheid de naleving van de minimale normen informatieveiligheid en privacy ook opleggen aan andere instanties dan de hogervermelde.  ”

Bookmark:

(NL) https://www.ksz-bcss.fgov.be/nl/gegevensbescherming/informatieveiligheidsbeleid

(FR) https://www.ksz-bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation

(edit)

Opmerking: voor alle duidelijkheid, op zich zijn deze documenten geen nieuwigheid maar buiten de SZ zijn deze normen minder gekend… vandaar dat het toch nuttig is om ze bij te houden als geheugensteun en referentie. Je komt er sneller mee in contact als je denkt…

Note-to-self: logging policy considerations

Few days ago I got a question from a security officer for guidance on event and system logging.

What I can recommend: a good guideline and indication is this from OWASP.
You know OWASP is THE reference for software security …. with their OWASP top 10 etc.

Check this: https://owasp.org/www-project-cheat-sheets/cheatsheets/Logging_Cheat_Sheet

Another reference from NIST see below, very handy.

These are fairly complete in terms of guideline.

What you should pay special attention to from a policy point of view is

Special accounts

  •  Sensitive accounts
    • Highly priviliged accounts
    • Admin accounts
    • Service accounts
  • Sensitive systems
    • Domain controllers
    • Application servers
  • Sensitive data
    • HR data
    • Finance data
    • Legal data

Regarding the classification of accounts, check these:

For the users you also have to think carefully about events

  • Large volume of failed logons from sensitive users, may indicate
    • Attack
    • Denial of service
    • Hacking
  • Attack on the password database, large volumes of password change attempts …
    •  Smart password ‘testers’ will stay just below the blocking limit ..
  • Successful logons from special accounts at abnormal places or times
  • Changing the rights of sensitive accounts
    • Promotion of regular users to admins or other sensitive accounts in AD or central database

CLASSIFICATION

Make sure you have a data, user and system classification policy.
Define roles and / or categories.
Which objects are “not important”, “not sensitive”, sensitive, important, critical.
The protection must be tailored to the category type.

STORAGE

In addition, you should also write a policy on saving data.
This often poses a logistical problem with disk space.

If you know that sometimes attacks are only detected after 200-300 days, you should be able to do a forensic investigation in that period.
But that does not have to be on live data, if it is in backup, that is also good.

In terms of operational data you have to decide how much should be available immediately, for immediate consultation.
For example, that can be 1 month. (if the system can save so much)

BACKUP

Ensure that a backup can be guaranteed for a year (combination of full / differential and / or incremental backups or virtual snapshots …)
This is not a fixed period, but depending on risk management this may be more or less.

IMPORTANT: Time synchronization

Also make sure that you require NTP time synchronization, so that the clocks are exactly matched to each other on all systems.
Log analysis is impossible without correct timing.

SECURITY

Ensure that logs on source systems cannot be deleted by administrators.
Ensure that the logs following are shielded from system owners;
Ideally, you are obliged to store logs centrally (for example in a SIEM system).

Secure backups

Consider managed encryption of data and backups (not ransomware or malware).

Healthy logging and healthy backups

Make sure to test backups and restores!

Check the logs and backup for malware.

LOG CENTRALIZATION

Store logs centrally with sufficient storage capacity, security and backup.

LOG MANAGEMENT

A good management process and regular inspection must become mandatory.
Ensure monitoring for special events or special trends (sudden growth or sudden decrease or disappearance of logs)

Arrange forensic surveillance / detention if a burglary or data breach may need to be reported to the government / DPA / police.

The NIST documentation below provides useful hints and tips about the type of systems, routers, switches, firewalls, servers …

LEGISLATION

Take into account legislation such as GDPR or ePrivacy or others that impose your obligations (legal, judicial, international, fed gov, …)

EXPERIENCE

View and learn from past incidents and known use cases or accidents, which give a clear hint of what protect first.

PDCA – plan-do-check-act

Require a regular review of the policy and the rules, ensure that the guidelines are updated to the requirements and changing situations.

It is difficult if you find out after the facts that your log is not working properly.

Other references

And this is also a reference (NIST)

Using SPF to block mail account spoofing

Introduction

Did you ever got a mail from yourself, but you’re sure you did not send it?

This week I got that mail from a mail alias I’m using, so it’s actually not a native mailbox, but a mail forwarder address, which makes the claim that “the mailbox is hacked” pretty silly…

But if you got this message from a native mailbox, it does sound scary, isn’t it?

I already had some similar symptoms on other mail addresses in the same domain.

Symptoms

You get a mail from your own mail address… which is called mail spoofing.
And it looks like:

mailspoof

Spoofed mail message content

Hi!

As you may have noticed, I sent you an email from your account.
This means that I have full access to your account.

I’ve been watching you for a few months now.
The fact is that you were infected with malware through an adult site that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other device.
This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails and contacts on social networks.
I can also post access to all your e-mail correspondence and messengers that you use.

If you want to prevent this,
transfer the amount of $778 to my bitcoin address (if you do not know how to do this, write to Google: “Buy Bitcoin”).

My bitcoin address (BTC Wallet) is: 1GoWy5yMzh3XXBiYxLU9tKCBMgibpznGio

After receiving the payment, I will delete the video and you will never hear me again.
I give you 48 hours to pay.
I have a notice reading this letter, and the timer will work when you see this letter.

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the video will be immediately distributed.

Best regards!

Root cause

The DNS setting of your domain is missing SPF records, that counter mail spoofing (an unauthorized mail server, user or hacker sending mail as “you”)…

Troubleshooting

When looking at the mail properties it’s pretty difficult (if not impossible) to find out who actually has sent the mail….

Solution

Basic domain settings

Add an SPF record to your domain DNS settings.

To get started, look up your mail provider or hosting provider’s name + SFP.

FYI, I’m hosting my domains at one.com, they’ve got some straight forward advise to configure the DNS. For any other domain, at any other provider it’s similar.

Office 365

When you buy a domain, but host your mail on O365, there are some additional settings to configure. But Office 365 will explain.

The easy part, logon to your O365 tenant, and check your domain health (see video below)

For more info, check these documents:

References

SPF tooling

Other security options

See also

Hotmail/Outlook.com Solving Mass Mailing Delivery Issues

Short URL: Http://aka.ms/outlook.com/help

While SPF is the first step, you should also consider DMARC and DKIM.

Latest update: 2020-12-28

Note-to-self: (e)ID kaart als waarborg?

Updates

Update 2020-09-08: Links bijgewerkt met info nieuwe website GBA BE.

Update 2020-05-29: link toegevoegd naar advies van GBA (Gegevensbeschermingsautoriteit), over het gebruik van de identiteitskaart als waarborg en ook over het nemen van fotokopies van identiteitskaart.

Waarborg?

Hoewel je het in privé omstandigheden waarschijnlijk wat minder zal tegenkomen, zullen heel wat professionele collega’s (en zeker consultants en/of security specialisten) de situatie wel herkennen dat je bij het bezoek aan een organisatie door de receptionist of bewaker gevraagd wordt om je identiteitskaart af te geven in ruil voor een (tijdelijke) toegangsbadge. Bij het inleveren van die badge krijg je dan nadien je identiteitskaart (aka eID) terug, normaalgezien.

Naar aanleiding van een aantal weerkerende discussies die ik afgelopen tijd met verschillende klanten en collega’s had, over het gebruik van de (elektronische) identiteitskaart als onderpand of waarborg, ben ik bij het opzoekings-/onderzoekswerk een aantal interessante bronnen en referenties tegengekomen.

Die zijn relatief makkelijk te vinden, ware het niet dat de links van de vroegere ‘privacy commission” (NL/FR) niet meer correct doorverwijzen naar de Belgische GBA , waardoor heel veel oude publieke referenties jammer genoeg niet doorverwezen worden, maar stranden op een onbeschikbare pagina.

Bovendien heeft de vernieuwde website van de Gegegevensbeschermingsautoriteit er nog een schep bovenop gedaan, dus er is nog even werk om dit in de artikels aan te passen.

[Update]

Referentie materiaal

GBA dossier eID

https://www.gegevensbeschermingsautoriteit.be/professioneel/thema-s/eid

Praktische toepassingen met eID

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/praktische-toepassingen,

Dit bespreekt het gebruik van eID als getrouwheidskaart, lezen gegevens, gebruik certificaten, …

Het voorleggen van eId aan overheid of privé bedrijven

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/eid-voorleggen

Gebruik van eID gegevens (rijksregisternummer, foto, vingerafdruk)

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/eid-uitlezen

Dus ik hoop dat onderstaande info alvast interessant is en nuttig om te delen, al is het maar als geheugensteun voor toekomstige discussies [of om bepaalde discussies aan de receptie vanaf nu meteen kort te sluiten 🙂 ].

Wetgeving

Eerst en vooral, focus ik hier op de BELGISCHE eID en de Belgische wetgeving. Voor de buitenlandse identiteitskaarten is er wat meer opzoekingswerk nodig en wellicht is de wetgeving daar anders of heeft andere nuances in de toepassing…

De basis over het gebruik van de eID en het RRN/SSN (Rijksregisternummer, Social Security Number), vind je terug bij FOD Binnenlandse zaken.

Uiteraard vind je daar alle details in de wetgeving, maar hier voldoet de FAQ over de eID. Die vindt je hier: http://www.ibz.rrn.fgov.be/nl/faq/identiteitsdocumenten/eid/

Eerst en vooral, moet je een duidelijk verschil tussen

  1. het overhandigen van de ID als waarborg en
  2. het tonen van een identiteitskaart, en
  3. het gebruik van de RRN/SSN

Als je in de FAQ de “Historiek” sectie overslaat, kom je meteen op de kern van de zaak, die aan de basis ligt van alle antwoorden op de kernvraag en de tweede vraag.

“Moet ik verplicht mijn identiteitskaart bij me hebben?”

“Het KB (koninklijk besluit) van 25 maart 2003 betreffende de identiteitskaarten bepaalt dat iedere Belg vanaf de leeftijd van 15 jaar, zijn identiteitskaart steeds bij zich moet hebben . “

Meer info: http://www.ejustice.just.fgov.be/eli/besluit/2003/03/25/2003000227/justel

De volgende vraag in de FAQ is ook uitermate interessant als we de oorspronkelijke vraag willen beantwoorden.

“Mag men bij het onthaal van een openbaar gebouw een identiteitskaart vragen en bijhouden?

/../. Dit is het geval bij elk verzoek van de politie, in het kader van haar wettelijke en reglementaire opdrachten, alsmede bij elke vraag naar certificaten en uittreksels door gemeentelijke of door andere openbare diensten.

Over het algemeen sluiten deze bepalingen de mogelijkheid niet uit om naar de identiteitskaart te vragen bij het onthaal van een gebouw dat tot de openbare of privésfeer behoort. Het spreekt voor zich dat voornoemde bepalingen niet toelaten dat het onthaalpersoneel, bijvoorbeeld, de identiteitskaart langer bijhouden dan nodig om kennis te nemen van de identiteit .

Wat de verplichting betreft om zijn identiteitskaart voor te leggen (zonder dat deze bijgehouden wordt), bepaalt het koninklijk besluit van 25 maart 2003 dat de identiteitskaart voorgelegd moet worden “als de houder het bewijs van zijn identiteit dient te leveren”, dit wil zeggen dat dit beoordeeld moet worden in functie van het algemene principe dat geldt voor de bescherming van de persoonlijke levenssfeer, namelijk dat het doel waarvoor de voorlegging van de kaart wordt geëist, wettig, bepaald en expliciet moet zijn. Het feit om zich te moeten verzekeren van de identiteit van de bezoekers in het licht van het eigendomsrecht en van de noodzaak om de veiligheid van een gebouw te verzekeren, lijkt aan deze criteria te voldoen . Het is echter niet gerechtvaardigd om de identiteitskaart bij te houden tijdens de duur van het bezoek . Het feit om aan een derde te vragen om zijn identiteitskaart voor te leggen, moet bepaald worden door een wet, een besluit of een intern reglement.”

Op de website van Agoria staat ook een goed artikel met meer praktische uitleg van deze situatie. (artikel dd 23 april 2015)

Bron: https://www.agoria.be/nl/Mag-een-onderneming-de-identiteitskaart-van-bezoekers-controleren

“Volgens het KB van KB van 25 maart 2003 betreffende de identiteitskaarten mag de identiteitskaart enkel door daartoe bevoegde personen en enkel in welbepaalde gevallen gecontroleerd worden.

In een onderneming mogen alleen bewakingsfirma’s waaraan de beveiliging van het bedrijf wordt uitbesteed of interne bewakingsdiensten voorlegging van identiteitsdocumenten vragen. Ze mogen deze documenten enkel laten voorleggen gedurende de tijd die nodig is om de identiteit te controleren bij toegang tot niet-publiek toegankelijke plaatsen.

Hoewel het opvragen van de identiteitskaart niet geregeld wordt door de privacywet, is voorzichtigheid geboden wanneer men de informatie op de identiteitskaart leest, kopieert en in een bestand opneemt. Dat is immers een “verwerking van persoonsgegevens”. In dat geval moet de privacywet dus worden nageleefd (informatieverplichting, recht op inzage, verbetering, …).”

En dan komen ze tot de kern van de zaak

“De noodzaak om een persoon te identificeren betekent niet dat een kopie moet worden gemaakt van de identiteitskaart. Een visuele controle van de identiteitskaart volstaat.

De commissie stelt vast dat in sommige gevallen aan personen wordt gevraagd hun identiteitskaart als waarborg af te geven (bijvoorbeeld gedurende de tijd waarin een audiogids wordt gehuurd voor het bezoek aan een tentoonstelling). Die praktijk is niet aanvaardbaar aangezien de houder van de identiteitskaart hierdoor zijn wettelijke verplichting om zijn identiteitskaart bij zich te hebben niet kan nakomen.”

Voor alle duidelijkheid, de paragraaf daaronder verwijst nog naar de oude links van de Privacy commissie :

“In afwachting van toekomstige koninklijke besluiten heeft de Privacycommissie in een themadossier ‘De elektronische identiteitskaart en onze privacy’ op haar website een aantal aanbevelingen geformuleerd. 

Dit moet zijn: https://www.gegevensbeschermingsautoriteit.be/eid

Agoria verwijst dus naar het artikel van de Belgische privacy commissie, correctie: tegenwoordig de GBA of gegevensbeschermingsautoriteit, die dit topic dus al eerder aangekaart heeft.

De gegevensbeschermingsautoriteit bespreekt het onderwerp hier: https://www.gegevensbeschermingsautoriteit.be/eid.

En ook op de thema pagina van eID: https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid

Wetgeving

In de vernieuwde versie (2020) van de thema pagina staat ook meer uitleg over het (juiste) gebruik van de eID (onder sectie Praktische toepassingen), en heel speciek het gebruik als waarborg (“+ Inhouding van uw identiteitskaart als waarborg”)

“Uw identiteitskaart kan niet als borg worden ingehouden. Deze praktijk is niet aanvaardbaar, omdat u hierdoor in gebreke blijft met uw wettelijke verplichting om uw identiteitskaart bij zich te dragen. Deze praktijk brengt ook risico’s van identiteitsdiefstal met zich mee.

Het nemen van een kopie van uw identiteitskaart levert in deze omstandigheden ook problemen op met betrekking tot de verenigbaarheid met de AVG. Indien nodig kan alleen uw identificatie worden uitgevoerd door u te vragen uw identiteitskaart te tonen en alleen de relevante gegevens te noteren, namelijk uw naam, voornaam en het nummer van uw identiteitskaart.”

Die wijkt uiteraard niet af van de Belgische wetgeving op de identiteitskaart, maar ze voegen er wel nog een aantal interessante voorbeelden aan toe, in het licht van privacy en data protection…

Enkele voorbeelden van wat mag en niet mag:

  • een videotheekuitbater mag je identiteitskaart vragen wanneer je een dvd huurt. Stel dat iemand de dvd niet terugbrengt, dan kan hij die persoon contacteren;
  • wanneer je een verblijf in een hotel boekt, is de uitbater wettelijk verplicht om je te identificeren;
  • bij een bezoek aan een tentoonstelling moet je soms je identiteitskaart afgeven als waarborg voor de audiogids. Dit is onaanvaardbaar: niet alleen moet je je identiteitskaart op elk moment bij je hebben (ook tijdens je bezoek aan de tentoonstelling), maar je loopt ook nog eens het risico dat je elektronische handtekening en je pincode gestolen worden;”

Dus in het kort, de conclusie over het gebruik van de eID als waarborg is daarmee: nee, niet toegelaten.

Trouwens, ter info: als je de GBA website doorzoekt op ‘eid’ krijg je nog een hele hoop extra informatie, met bespreking van praktische situaties.

Zoek even op: https://www.gegevensbeschermingsautoriteit.be/search/site/eid

Het laatste voorbeeld dat de GBA in het voorgenoemde artikel geeft, verwijst naar een ander interessant onderwerp: het gebruik van het RRN/SSN nummer…

“Het rijksregisternummer dat op elke eID staat, mag enkel verwerkt worden als de verantwoordelijke voor de gegevensverwerking daartoe gemachtigd is door het Sectoraal comité van het Rijksregister. Meer informatie hierover is beschikbaar op de specifieke pagina over de machtigingsprocedure bij het Sectoraal comité van het Rijksregister . In het algemeen geldt wel dat een verantwoordelijke die geen taak van openbaar belang heeft, het rijksregisternummer niet zal mogen gebruiken”

De uitleg over de machtigingen staan nu op de website van IBZ

Waarmee we belanden bij het gebruik van het RRN (Rijksregisternummer) or “SSN (social security number)” in het Engels.

Dit is een onderwerp op zichzelf en het is niet m’n bedoeling de details te bespreken. Te meer ook omdat GDPR belangrijke bepalingen bevat hierover.

Kort door de bocht, in essentie (*):

“Het verwerken van het rijksregisternummer is bij wet verboden.”

… tenzij machtiging, volgens de wet (http://www.ejustice.just.fgov.be/eli/wet/2003/03/25/2003000234/justel):

  • “Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of
  • voor andere doeleinden dan die waarvoor die machtiging is verleend.”

En die machtigingen zijn onderworpen aan strikte regels en worden niet zomaar toegekend. Wat dus enige inventiviteit vergt om dit op te lossen in het operationeel gebruik voor identity and access management, IT Security of data protection voor burgers.

Meer info (*) kan je in dit interessant artikel (dd 26 feb 2018) vinden: https://gdpr.wolterskluwer.be/nl/nieuws/rijksregisternummer-en-privacy/.

Overzicht Referenties

Wetgeving

eID

bij GBA

Privacy:

Rijksregisternummer:

En ook:

Note-to-self: MVA Learning Path – Security for the Chief Security Officer (CSO)

From a LinkedIn connection (thx Jeff and congratz on the achievement) I received an interesting pointer to a set of courses on MVA, Microsoft Virtual Academy.

An MVA ‘learning path’ is a combination of learning courses.
Just recently MVA published the ‘Security for the Chief Security Officer (CSO)’ learning path.

Check it out at : https://mva.microsoft.com/learning-path/security-for-the-chief-security-officer-cso-21

It combines 6 courses (better make sure to access them from the learning path):

  1. How to Harden Your Enterprise in Today’s Threat Landscape
  2. Cybersecurity Reference Architecture
  3. Planning for a Security Incident
  4. Cloud Security from the Field
  5. Securing Privileged Access
  6. Introduction to Azure Security Center

BTW: have a look on the ‘security’ based content on Microsoft Virtual Academy, you’ll be surprised how much you can (continue to) learn.

See: https://mva.microsoft.com/search/SearchResults.aspx#!q=security

Last Updated: 2020-12-29

That alphabet of Security starts with I of “Identity”

It’s an understatement to say security is moving fast, it’s changing very rapidly and the pressure to keep up with it, increases too.

From various angles, people in IT (as in Information Technology), are under fire to keep the infrastructure secure. Cloud is getting mature, new features pop up every week.
It’s almost a contradiction, but also legislation is catching up to close the holes regarding the protection of people’s security and privacy.

In many cases, the first reaction of customers, management, ITPros, Developers, DevOps,… is to look for the ultimate and ideal tool that will help to plug the security hole.

But if you only focus on the tooling, you’ll discover rather sooner than later, it is not sufficient to get your security watertight.
One of the basic reasons is that tools can’t be implemented properly without involving people and processes. I don’t need to explain the PPT (people-proces-technology) or PPP (people-proces-products) triade, right?

Lots of security management approaches and certifications handle this triad (ISO27001, CISSP, … I’ll cover that another time.

(credits: smart picture of ITGovernance.co.uk)

Rather than diving into the search for a tool, you better take a step back and consider first.

What’s the primary function of security?
Protecting an item that you want to keep (safe), right?

[The reason (“why”) for keeping it safe = the CIA triad, Confidentiality, Integrity and Availability]

When you think about the processes (“how”) to secure  an asset (anything that is worth securing), there are 3 basics actions you need to define

  • authorization: what you can do with the asset (the CRUD stuff, create/read/update/delete)
  • identification: who needs the authorization?
  • authentication: the method to proof your identity (using passwords, passes, cards, 2FA, MFA, …)

This is essentially the foundation of my credo “no security without identity”

Just by interpreting the basic components of security, you directly hit the “PROCESS” part of the PPT triad.
Now, here’s were most technical people get into trouble… not knowing how to put this in practice.

But let me ask you a simple question: within the normal, usual businesses or companies, where does the identity process typically start?
Yes, correct, HR (Human Resources)

The second question: can you name at least 2 typical high-level HR processes (for people).
Answer: something like “hire” and “fire”, or synonyms like “onboarding/off-boarding”, “termination”, “end-of-life” (but that sounds pretty dramatic when talking about people…).

These 2 events announce the beginning and the end of a lifecycle, the identity lifecycle.
And to make it complete, you also need to define the life-in-between as people change over time.

BTW, just a small side step here: this does not apply to humans only, but any other asset in your environment has pretty much the same cycle and it does not matter if it’s considered “IT” or not… computer, certificates, smart cards, disks, tapes, … but also cars, documents, …

This idea to consider the lifecycle as universal, is a great approach to explain the “identity lifecycle” to non-techies that get involved in the identity lifecycle processes.

This is the common ground you can use to talk to HR people, business managers, Executive level, …

Now, if you look on the internet for pictures on identity lifecycle management, you’re smashed with a lot of complex schemas…

google_identitylifecycle

Many of results are variations of 3 essential processes

hire-change-fire1

Depending on your background you might name them differently, like:

1AA.png

For the sake of simplicity, when teaching IDM and security workshops I usually only keep the keywords “Hire”, “Change” and “Fire”.
Short and easy to remember for most people.

For your understanding, the circle approach  would assume you start over again after the “Fire” block, but that’s not always the case. The cycle might stop.
So, the approach below is easier to visualize for most people.

Clockwise:

  1. Starting the cycle at (1),
  2. updating the identity at (2),
  3. exiting the cycle at (3)

hire-change-fire2

As I mentioned, earlier, virtually any IT or asset related proces is basically working like this.

Now, let’s take it a step further… How does identity management control security?

A first thing to consider is the typical length of the hire-change-fire modules.

How many tasks/steps does it usually take to complete each of the 3 steps?
Keep the asset in mind and keep it simple…

Typical actions in a hire process:

  • signing contract
  • getting an network/AD account
  • getting an email address
  • getting building access
  • IT stuff (laptop, …)

Pretty straight forward…
How much time would it take, in simple cases to start working?  Hours if not days.

What about the change process? For example, you get promotion to team lead or head of department…

  • hand over your tasks to peers
  • get ramped up on new job
  • in some cases, there is segregation of duties, getting rid of existing rights permissions
  •  getting access to new environment
  • changing communications channels (notifications to stakeholders of change)

In reality, this usually takes a few weeks.

And what are the typical things your consider for the “fire” process?

  • informing stakeholders/customers
  • disabling the account
  • changing password
  • lock account
  • removing access
  • extracting documentation form personal storage
  • move documents to manager or team
  • handing over ownership
  • knowledge transfer
  • data backup/archiving
  • cleaning the mailbox
  • deleting the account (* not always allowed for various reasons)
  • sending legal / tax documents
  • and more…

As you can understand, this entire termination process might take months… In many situations the termination process must be executed in different steps, like:

  • Disabling the account till x+30 days (for example, revert in case the person gets a renewal)
  • Removing access on x+60 days
  • Kill mailbox on X+90
  • Remove the account on X+1y (or even: never)

In some cases accounts must be kept for legal reasons or tracking/cybersecurity reasons…

The further you go in the lifecycle, you need to combine more tasks, and tasks or decisions get more complex.

Overall you can distinguish 2 properties of these processes: duration and complexity. Both go up.

complexity

procesduration

Now, when considering security, why is this important?
Instead of discussing the impact of successful processes, it’s easier to find out what happens if it fails.

WHAT IF… (the process fails)??

Let’s run through the cycle again….

What if the “Hire” process fails?

  • you can’t access the building
  • you do not get an account
  • you can’t logon
  • you can’t access documents

Basically, on your first (few) day(s) you can’t work. Sorry!
But what’s the balance for security: just great, because the risk is nearly 0, except for a bad start and a bit of reputation damage..
At the end: you can’t do any harm, essentially.

In case of the “change” process, a larger part of the tasks and operations will impact the security posture.

When your “change” process fails,  for example

  • you can still access your old documents
  • you get more access (eg collecting access of your old and new role)
  • you start collection sensitive accesses over time
  • managers don’t know
  • user profiles get copied from existing colleagues in the same team (no ‘reset’ or the permissions before the new ones are assigned)

So for this second piece of the circle, the impact might be significant, over time.

But for the “end-of-life” the story is completely different, a failing “deprovisioning” scenario has major impact on the business and IT process

  • accounts stay active
  • accounts not being disabled
  • access not removed
  • active accounts not detected
  • account with highly privileged access still active
  • accounts being deleted too soon
  • unauthorized users that have access to critical resources
  • hackers go undetected for a long time, using sleeping accounts
  • hardware not returned,
  • data stolen,
  • over-use of budgets to software licenses that are not revoked
  • access badges allow unauthorized access to your building and environment
  • failure to ‘deprovision’ old hard disks properly expose your company data to interested (unauthorized) parties…
  • …,

It’s clear that a failing deprovisioning/end-of-life process has major impact on your enterprise security.

risk.png

And hackers or disgruntled employees like that.

Of course you can imagine the benefits of an efficient and effective end-of-life process. It’s the opposite.

Does that require you implement an automated identity management?
No.

That’s where ISO27001 and eg GDPR surprises a lot of people.

Once you’ve got the basic processes in place you can discuss tooling, not the other way around.

questforsecurity

You have
no security without managing your identity.

you want
no identity without security.

Did I mention  that I’ll be presenting more of this fun stuff on TechoRama 2017.
Check it out here: http://sched.co/9M94

I’m very proud to present a session on the ABC of identity: Maximizing security with 10 simple processes.

 

Note-to-self: Normalization of deviance in security: how broken practices become standard [must read]

If you would search the internet you’ll quickly find the original quote… “Normalization of deviance in software: how broken practices become standard”

All credits go to the original post: http://danluu.com/wat/

And to honor the truth completely, the hint was posted by Joe Richards at http://blog.joeware.net/2016/01/04/5683/
Joe has highlighted some important remarks in his blog post. But there is more…

What reasons do people or companies have NOT to implement best practices or ‘forget’ to implement them.
What easily becomes accepted as normal, why not speak up if you think something is wrong…

Just replace the ‘software’ in the article and title by ‘security’ …

Simply must read!
[Or actually, simply must implement, every day.]

Planning #FIM2010 Security & Best Practices

While supporting supporting FIM customers to assess their FIM environment and helping them to maintain their FIM configuration, 2 discussion topics are alltime favorites: FIM Security and FIM best practices.

For ease of use I’ve been collecting this information in some articles.
Below you’ll find the short links for ease of use:

As you might see, there is still a lot of room for improvement, so I invite you to update the article where you think information is missing.

When discussing a basic FIM setup (using FIM Sync and FIM Service + Portal) a common diagram being drawn is the one below.
It does not discuss the other FIM add-ons (like FIMCM, BHOLD or reporting) but still it’s a useful and very visual guidance for planning you security.

Main purpose is to explain that the initial security setup for your FIM

  • DOES require a collection of security accounts and groups to segregate duties (so installing FIM with one single account, used for all FIM functions and accounts is a very bad idea.)
  • ONLY needs 1 core administrator account with administrator access to the FIM server’s local security
  • DOES NOT require services or technical accounts with local or domain admin rights (except 1, the FIM Installer account)

FIM Security