Komende verkiezingen wederom ongezien te hacken

Posted on March 7, 2019 by Sijmen Ruwhof

Op 20 maart 2019 zijn gelijktijdig de Provinciale Staten en Waterschapsverkiezingen. De uitslagen van de Provinciale Staten verkiezingen worden op enig moment tussen 22 en 27 maart bekendgemaakt door de provincies.

Nu twee jaar later na aangetoond te hebben hoe onze verkiezingen gehackt kunnen worden sinds 2009, is óók dit jaar het weer mogelijk om ongezien met de uitslag te frauderen. Gemeenten nemen niet de moeite om de door de onveilige en verouderde optelsoftware berekende verkiezingsuitslag na te rekenen.

Optelsoftware zit vol met beveiligingslekken
In 2017 vond ik tientallen beveiligingslekken in de optelsoftware, wat door meerdere beveilingsonderzoekers bevestigd werd. De Kiesraad heeft cyber-security bedrijf Fox-IT in 2017 gevraagd de optelsoftware te onderzoeken. Fox-IT rapporteerde dat de verkiezingsuitslag gemakkelijk zou kunnen worden gemanipuleerd. Vorig jaar vond ik zelf nog 47 beveiligingslekken in de optelsoftware en processen eromheen. De beveiliging is dit jaar weliswaar iets opgeschroefd, maar volstrekt onvoldoende gezien het huidige dreigingslandschap.

Kiesraad: optelsoftware voldoet niet meer
De Kiesraad is inmiddels wel bewust van de problemen, maar heeft geen directe oplossing voor handen. Dat staat in hun net gepubliceerde jaarverslag over 2018 (pdf). De Kiesraad stelt daarin dat de bijna tien jaar oude optelsoftware (OSV):

  • “[..] mede door veranderende inzichten over beïnvloeding van verkiezingen door statelijke actoren aan vervanging toe is. Het beveiligings- en software-concept waarop de OSV-programma’s is gebaseerd, moet dan ook worden herzien. [..]”

Minister Ollongren heeft aangekondigd te streven naar ontwikkeling van nieuwe software in 2021. De Kiesraad stelt daarbij de kanttekening:

  • “[..] dat de Kiesraad die nieuwe programmatuur graag al eerder had willen hebben, is het van het grootste belang snel de hiervoor benodigde stappen te zetten. Dat kan de Kiesraad niet alleen. [..]”

Geen compenserende maatregelen
Volgens de Kiesraad en minister Ollongren zullen we het tot die tijd maar met die onveilige optelsoftware moeten doen. Er worden geen compenserende maatregelen genomen.

Oplossing: handmatig stemtotalen optellen
De oplossing ligt voorhanden: gemeentes zullen alle stemtotalen op partijniveau handmatig bij elkaar moeten optellen en deze uitkomst vergelijken met wat de optelsoftware heeft berekend. Zo kan er niet meer gehackt worden, en controleert de software ook of handmatig correct is opgeteld.

In Duitslands vertrouwt men optelsoftware niet om de definitieve uitslag op te baseren. Daar wordt het alleen gebruikt om de voorlopige uitslag te berekenen.

Er is gelukkig nog tijd om alles goed in goede banen te regelen voor komende verkiezingen. De Tweede Kamer moet dan wel snel ingrijpen en minister Ollongren erop aanspreken.

Zelf verkiezingsuitslag narekenen
Tot die tijd kunnen bezorgde burgers en politici sinds dit jaar zelf de processen-verbaal (N10 en N11) downloaden van gemeentesites en controleren of de optelsoftware (OSV) niet gehackt is.

Continue reading

Posted in critical infrastructure, election hacking, security assessment | Comments Off on Komende verkiezingen wederom ongezien te hacken

Nieuwsuur: Huawei geeft in Brussel toegang tot zijn broncode

Posted on March 5, 2019 by Sijmen Ruwhof
Huawei geeft sinds vandaag toegang tot zijn broncode in een speciaal ingericht transparantiecetrum in Brussel. Of zorgen nu weg zijn is de vraag. Westerse landen stellen zichzelf momenteel de vraag of ze wel willen dat een bedrijf, dat uiteindelijk moet luisteren naar de Chinese overheid, zo diep in het belangrijkste mobiele netwerk zit.

De NOS kwam vandaag bij me langs met de vraag of dit voldoende transparantie en zekerheid biedt om Huawei nu wel te vertrouwen:

Posted in cyber warfare, espionage, interview, mobile phone, telecom, tv | Comments Off on Nieuwsuur: Huawei geeft in Brussel toegang tot zijn broncode

NOS Stories: Luisteren advertenties je mobiele telefoon af?

Posted on February 28, 2019 by Sijmen Ruwhof

NOS Stories besteedde deze week aandacht aan online advertenties op je smartphone. Deze kunnen soms perfect getimed en gericht zijn. Hoe werkt dit en wordt je microfoon continu afgeluisterd? NOS Stories zocht het uit en vroeg me om met een experiment mee te helpen:

Posted in advertising, demonstration, Google, mobile phone, privacy, smart devices, tv, wiretapping | Comments Off on NOS Stories: Luisteren advertenties je mobiele telefoon af?

BNR radio-interview: Weer onveilige verkiezingen

Posted on February 27, 2019 by Sijmen Ruwhof

Vandaag was ik te gast op BNR Nieuwsradio om te praten over de onveiligheid van de verkiezingen die er over drie weken zijn. Oók dit jaar wordt er weer door de Kiesraad en de gemeenten volledig vertrouwd op de optelsoftware (OSV) om de verkiezingsuitslag te berekenen:

Posted in e-voting, election hacking, interview, radio | Comments Off on BNR radio-interview: Weer onveilige verkiezingen

Twinkle Magazine: Zes tips om je webshop tegen hackers te beschermen

Posted on February 6, 2019 by Sijmen Ruwhof

Hoe kun je als online retailer je shop en klanten het best beschermen tegen digitale aanvallen? E-commerce magazine Twinkle stelde me deze vraag en schreef het volgende:

Continue reading
Posted in interview, magazine, security advice, website security | Comments Off on Twinkle Magazine: Zes tips om je webshop tegen hackers te beschermen

BNR radio-interview: Biometrische authenticatie

Posted on January 23, 2019 by Sijmen Ruwhof

Vingerafdrukscanners en gezichtsherkenning: het wordt op steeds meer smartphones en laptops gebruikt. Maar over de veiligheid van biometrische authenticatie wordt steeds vaker getwijfeld. Vandaag was ik te gast bij BNR Digitaal om over de actuele ontwikkelingen te praten:

Posted in biometrics, interview, mobile phone, multi-factor authentication, password, radio | Comments Off on BNR radio-interview: Biometrische authenticatie

Cyber Democracy evenement

Posted on January 6, 2019 by Sijmen Ruwhof

Op Safer Internet Day, 5 februari 2019, organiseert het Liaisonbureau van het Europees Parlement in Nederland samen met de Europese Commissie Vertegenwoordiging in Nederland het evenement Cyber Democracy. Tijdens deze avond wordt er gekeken naar Europees en Nederlands beleid op het gebied van cyber security en naar best practices van Europese landen op het gebied van (digitale) stemsystemen.

Samen met een blockchain-bedrijf en een onderzoeker ben ik gevraagd deel te nemen aan een paneldiscussie over hoe digitaal stemmen er in 2030 uit zou kunnen komen te zien.

Update Februari 5, 2019: The panel dicussion in which I participated

Het programma ziet er als volgt uit:

Continue reading

Posted in critical infrastructure, cyber security, discussion, e-voting, election hacking, presentation | Comments Off on Cyber Democracy evenement

FunX radio: 06-nummers overnemen via sim-swapping

Posted on December 11, 2018 by Sijmen Ruwhof

Dit weekend berichtte RTL Nieuws dat dit jaar honderden Nederlanders slachtoffer geworden zijn van sim-swapping. Via deze steeds populairder wordende aanval kan een hacker een telefoonnummer van iemand overnemen. Telefoonnummers zijn tegenwoordig gekoppeld via tweestapsverificatie via SMS-berichten aan veel belangrijke online accounts, zoals sociale media, WhatsApp, betaaldiensten en DigiD. 

Fernando van FunX radio belde me vanochtend op en vroeg me hoe deze hackaanval precies werkt en wat de gevaren zijn:

Posted in cyber crime, hacking, identity theft, interview, mobile phone, multi-factor authentication, radio | Comments Off on FunX radio: 06-nummers overnemen via sim-swapping

Keynote: Cyber Security – Wordt het veiliger of onveiliger?

Posted on November 8, 2018 by Sijmen Ruwhof

Vandaag mocht ik een keynote presentatie geven op het VNSG Young Professional evenement over de staat van cyber security. Hoorden we vroeger deze term alleen als hackers een groot netwerk plat legden, tegenwoordig is het regelmatig in het nieuws. Cyber security is belangrijk en gaat ons in de ICT-branche en daarbuiten allemaal aan.

Maar wat is het nou eigenlijk? Waar staan we met cyber security? Wat gebeurt er allemaal? En: wat gaat er mis? Wat kunnen hackers?

Posted in banking, computer worm, critical infrastructure, cyber crime, cyber security, cyber warfare, data leakage, hacking, presentation, SAP, security awareness | Comments Off on Keynote: Cyber Security – Wordt het veiliger of onveiliger?

VEH: Hoe maak je je huis digitaal veilig?

Posted on October 17, 2018 by Sijmen Ruwhof

Deze maand besteedt Vereniging Eigen Huis aandacht aan cyber security. Samen met hun geef ik onder onderstaande video tips over hoe je je huis digitaal veilig kunt maken:

Posted in internet of things, security advice, security awareness, smart devices, tv | Comments Off on VEH: Hoe maak je je huis digitaal veilig?

Via de koelkast komen hackers binnen

Posted on October 11, 2018 by Sijmen Ruwhof

Deze maand heeft het magazine van Vereniging Eigen Huis aandacht besteed aan de gevaren van slimme apparaten in huishoudens, waaraan ik ook meegewerkt heb:

Continue reading

Posted in article, hacking, internet of things, interview, magazine, security advice, security awareness, smart devices | Comments Off on Via de koelkast komen hackers binnen

NOS: WiFi-hackapparatuur die Russische spionnen waarschijnlijk gebruikten

Posted on October 4, 2018 by Sijmen Ruwhof

Vandaag heeft de Militaire Inlichtingen- en Veiligheidsdienst bekend gemaakt dat de Russische inlichtingendienst geprobeerd heeft de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag te hacken via WiFi.

De NOS was benieuwd naar het soort hackapparatuur dat de Russen waarschijnlijk gebruikten en vroegen me om een demonstratie te geven:

Posted in demonstration, hacking, interview, WiFi | Comments Off on NOS: WiFi-hackapparatuur die Russische spionnen waarschijnlijk gebruikten

Automation tools needs to be tuned to risk scenarios

Posted on September 12, 2018 by Sijmen Ruwhof

Juniper Networks released an e-book about security automation and analytics, in which I also participated:

From Sijmen Ruwhof’s perspective, the complexity of today’s IT environments has made an ethical hacker’s job easier than ever. “I break into systems for my customers, with permission of course,” he says. “I report on all the security vulnerabilities I find and advise customers in how they can protect themselves against hackers.” In his view, there are two essential parts of a cybersecurity strategy. One is monitoring, detection, and remediation. The other is vulnerability testing. This is true whether you are trying to repair a breach that has already occurred or prevent one from occurring in the future. “You need to see what’s going on, analyze traffic, and look for discrepancies with normal traffic,” Ruwhof explains. “You also need to search for vulnerabilities. Vulnerability testing finds and closes holes. Monitoring detects exploits of holes that have not been found.” He emphasizes that these two go hand in hand. Some tools even allow you to feed security testing results directly into your security-monitoring solution so that you can correlate vulnerabilities to actual monitored traffic and network activity. For instance, if a security alert indicates a file server may be under attack, and this correlates with a vulnerability identified by the testing tool, chaining these two together enables much faster insight and response, and fewer false alarms. Automation plays an essential role when processing data from multiple tools and sources. It enables systems to identify important data while eliminating redundant information much more quickly than humans. Using a security information and event management (SIEM) product to consolidate and correlate data from various testing and monitoring tools requires analytics, machine learning, and automation, but it takes a lot of effort to properly configure security automation tools properly. Make a road map of what you want to automate. Then see what security products… reduce time to process these. Continue reading

Posted in analysis, anti-virus, automation, cyber security, interview, security monitoring | Comments Off on Automation tools needs to be tuned to risk scenarios

Wat moet je doen als je per ongeluk kinderporno tegenkomt?

Posted on July 11, 2018 by Sijmen Ruwhof

Vandaag is een nieuwe podcast uitgekomen over de verspreiding en aanpak van kinderporno op internet.

Het aantal meldingen van online kindermisbruik is in de afgelopen vier jaar met 800% toegenomen. 36% van alle kinderpornosites wereldwijd wordt gehost vanuit Nederland en vorige maand haalde de politie nog een groot kinderpornonetwerk offline. We weten dat het strafbaar is, maar wat moet je eigenlijk doen als je het per ongeluk online tegenkomt?

Reden voor Bastiaan Meijer van Podbast om hierover te praten met Sander de Gruijl van het Expertisebureau Online KindermisbruikDaniël Verlaan van RTL Nieuws en ondergetekende.

Posted in child porn, interview, radio | Comments Off on Wat moet je doen als je per ongeluk kinderporno tegenkomt?

Kassa XL – Het Digitale Doolhof

Posted on June 2, 2018 by Sijmen Ruwhof

Tv-programma Kassa heeft op 2 juni 2018 een uitgebreide uitzending gemaakt over Het Digitale Doolhof:

  • “In Kassa XL Het Digitale Doolhof zien we dat iedereen, hoog of laag opgeleid, rijk of arm, in de problemen kan komen door de digitale samenleving. Het is niet de vraag of maar wanneer dat gebeurt. [..]”

Kassa XL vroeg me hoe het er voor staat op internet qua veiligheid en privacy. IT is zo complex geworden dat men daar helemaal geen zicht meer op heeft. Het internet is nu een soort wilde westen waar opsporingsdiensten weinig grip op hebben. Hoe kan dit? en wat moeten we doen?

Continue reading

Posted in cyber crime, cyber security, hacking, interview, law enforcement, privacy, tv | Comments Off on Kassa XL – Het Digitale Doolhof

Kassa: Bescherm je identiteit en privacy online

Posted on May 28, 2018 by Sijmen Ruwhof

Tv-programma Kassa vroeg me hoe ik zelf mijn identiteit online bescherm en wat voor tips ik voor anderen heb:

Continue reading

Posted in cyber crime, cyber security, identity theft, interview, privacy, security awareness, security management, tv | Comments Off on Kassa: Bescherm je identiteit en privacy online

De Dakhaas: De onveiligheid van het internet

Posted on May 19, 2018 by Sijmen Ruwhof

Het magazine De Dakhaas vroeg me hoe de toekomst eruit gaat zien op het internet:

Continue reading

Posted in cyber crime, cyber terrorisme, cyber warfare, interview | Comments Off on De Dakhaas: De onveiligheid van het internet

Kaspersky anti-virus wordt uitgefaseerd binnen de Nederlandse overheid

Posted on May 15, 2018 by Sijmen Ruwhof

Kaspersky anti-virus wordt uitgefaseerd binnen de Nederlandse overheid. Minister Grapperhaus van Justitie en Veiligheid neemt deze voorzorgsmaatregel in het kader van nationale veiligheid. Russische inlichtingendiensten zouden Kaspersky kunnen dwingen om mee te werken aan digitale spionage in andere landen.

Bas van Werven van BNR Nieuwsradio belde me op met de vraag of we Kaspersky software nog wel kunnen vertrouwen:

Ook het Algemeen Dagblad en de NOS belde me vandaag op over deze kwestie en besteedde aandacht aan het nieuws:

  1. AD.nl: ‘Burgers hoeven niet te vrezen voor antivirussoftware Kaspersky’
  2. NOS.nl: ‘Virusscanner biedt veiligheid, maar is ook een wapen’
Posted in anti-virus, interview, radio | Comments Off on Kaspersky anti-virus wordt uitgefaseerd binnen de Nederlandse overheid

Kontant: How fake dating sites with fake profiles operate

Posted on May 1, 2018 by Sijmen Ruwhof

Danish investigative Tv program Kontant is researching who’s behind fake dating sites on the Danish market. They traveled to The Netherlands to meet with the research team from De Monitor who also did their research.

As I did the technical analysis behind the two Tv items from De Monitor about fake dating sites, the asked me to show them the how this world of fake dating sites work. I showed them how easy it is to start our own fake dating site within hours:


Continue reading

Posted in demonstration, fake profiles, interview, tv | Comments Off on Kontant: How fake dating sites with fake profiles operate

De Monitor: De verantwoordelijke achter 45 datingsites met nepprofielen

Posted on April 17, 2018 by Sijmen Ruwhof

Op verzoek van De Monitor heb ik uitgezocht wie er achter een imperium van 45 datingsites zit die vol staan met nepprofielen. Vanavond was hun tweede uitzending:

  • “Wie is er verantwoordelijk voor datingsites met nepprofielen? Sites waar je betaalt om te chatten met vrouwen die niet bestaan. Het zijn vaak eenzame ouderen die erin trappen. Ze betalen veel geld voor het versturen van berichtjes, maar tot een echt afspraakje komt het nooit. Is dit oplichting? En zo ja, wie is daar verantwoordelijk voor? Ondernemers achter de websites hebben al jaren vrij spel en blijken bovendien niet gemakkelijk te traceren.”

Continue reading

Posted in fake profiles, online dating, tv | Comments Off on De Monitor: De verantwoordelijke achter 45 datingsites met nepprofielen