Hack the Hague 2021 Responsible Disclosure

Op 27 september 2021 heeft de gemeente Den Haag samen met Cybersprint het evenement Hack the Hague georganiseerd. Hackers van over de hele wereld konden zich inschrijven en onder gecontroleerde omstandigheden de beveiliging van verschillende systemen testen zodat de gemeente en de leveranciers van de gemeente de beveiliging kunnen verbeteren. Dat zorgt voor goede PR voor de gemeente, lost de (meeste) gemelde beveiligingsproblemen op, laat de gemeente en de leveranciers oefenen met het snel oplossen van problemen en is voor de hackers een leuk evenement met een kans op prijzen....

November 5, 2021 · 10 min · Floor Terra

Zolder Interview

May 12, 2020 · 0 min · Floor Terra

Een goed gesprek

Zoals verschenen op Alert Online. Het is 4 uur en het rapport waar je zo lang aan hebt zitten werken is bijna af. Je moet het alleen nog even langs je collega sturen zodat hij nog een laatste keer alles kan doorlezen om de laatste foutjes er uit te halen. Je maakt een nieuw mailtje aan, voegt het rapport als bijlage toe en klikt op verzenden. Tijd voor een kopje koffie....

November 19, 2012 · 3 min · Floor Terra

Hacker Dilemma

Met enige regelmaat beland ik in een discussie waarin ik probeer uit te leggen dat er gevallen zijn waarin hacken wel illegaal is, maar niet meteen onethisch. Dat kunnen hele leuke filosofische discussies zijn, maar het kan heel verhelderend zijn om jezelf daadwerkelijk in zo’n dilemma te plaatsen. Dat is dus precies wat ik gedaan heb. Ik heb bewust de naam van de leverancier weggelaten. Op Twitter lees ik de tweets van @ntisec met veel plezier....

October 4, 2012 · 3 min · Floor Terra

Ongevraagd advies aan de ING

Op 13 juni 2012 komt Webwereld met een bericht dat een hacker een bankgegevens van een miljoen klanten van de ING gestolen zou hebben. Dit blijkt een grote fout geweest te zijn van het ANP waar ik de oorzaak nog niet van weet. Dat is heel lullig voor de ING en de ING komt snel met een persbericht om dit recht te zetten. Toch denk ik dat de ING veel fout heeft gedaan....

June 14, 2012 · 3 min · Floor Terra

Drie keer kloppen

Wie kent het nog: De “Drie keer kloppen”-campagne van Nederlandse Vereniging van Banken (NVB) om klanten bewust te maken van beveiliging bij internetbankieren? In tv-spotjes, websites en tijdschriften werden mensen bewust gemaakt van het feit dat ze zelf deels verantwoordelijk zijn voor de veiligheid van hun online bankverkeer. Daarbij werden drie punten gegeven die je als gebruiker moest controleren of ze wel kloppen. Als eerste moet je de beveiliging van je computer nalopen: heb je alle updates geïnstalleerd, heb je antivirus, etc....

March 21, 2012 · 5 min · Floor Terra

Authentication tokens gone wrong

Here is another blog about Plimus. It seems like they don’t want to communicate or fix security issues instead they continue building new features. It’s a shame that a company that handles money as a primary business doesn’t have security as a top priority. This blogpost is about a feature that I have warned Plimus about, but haven’t been able to test because a Plimus employee actively refused to give me access to this feature, even after the engineer in charge for security asked me explicitly to test and report more security problems....

March 9, 2012 · 2 min · Floor Terra

Howto crack plimus "MD5hex encryption"

It’s been a while since I have reported a few security bugs to Plimus. It took a few blogposts explaining the issues publicly before I got in contact with an engineer. I understand that making backwards incompatible changes to your customer facing API’s is not a trivial task, however the way Plimus handles these issues is just terrible. One engineer asks me for more feedback while in the same mail thread another Plimus employee demands proof I’m PCI certified and wants to know what applications I’m going to build before I get access to the test API of Plimus....

February 24, 2012 · 2 min · Floor Terra

SCADA

Iedereen die een beetje handig is met computers en al wat jaartjes meeloopt op het internet kent ze wel: default wachtwoorden op routers. Als je op een netwerk zit en je met je webbrowser naar het IP-adres van de router surft (meestal http://192.168.1.1/ ) kom je op de beheerpagina van je router. Soms hoef je niet in te loggen; meestal volstaat een standaard login (username=admin password=admin). Dat is natuurlijk erg grappig; je kan ongevraagd met de instellingen rommelen van de mensen waar je op bezoek bent....

January 31, 2012 · 4 min · Floor Terra

Verantwoordelijk voor beveiliging

Een tijdje geleden is mij de mobiele applicatie voor internetbankieren van de ING opgevallen. Door de combinatie van de gevoeligheid van mobiele platforms (In dit geval Android, maar het issue is niet Android specifiek.) en het ontbreken van TAN-codes als tweede factor voor de authenticatie zag ik een aanvalsvector waarvoor ik niet zag hoe daar tegen verdedigd zou worden. De lek zou ernstig zijn omdat er zonder je medeweten saldo van je rekening afgeschreven zou kunnen worden en dat op grote schaal bij gebruikers van deze mobiele app....

January 15, 2012 · 5 min · Floor Terra