NOS Radio 1 interview: ‘Brits defensiebedrijf verkoopt spionagesoftware’

Vanochtend was ik te gast in het NOS Radio 1 journaal:

“Een Britse defensieleverancier verkoopt via Denemarken geavanceerde spionagesoftware aan Afrika en het Midden-Oosten, concludeert de BBC op basis van onderzoek. Met die software kunnen landen hun bevolking nauwlettend in de gaten houden.

Vanochtend spraken we erover met Sijmen Ruwhof, hij is professioneel hacker. Hij legt uit hoe het werkt.

De verkoop van deze software is ook gevaarlijk voor Europese landen. We vroegen Europarlementariër Marietje Schaake van D66 hoe zij over dit soort handel denkt.”

Beluister het interview terug:

Posted in interview, radio, wiretapping | Leave a comment

(ICS)² Chapter NL debate about voting machines

The Dutch chapter of (ICS)² asked me to tell about how the Dutch voting process could be easily hacked for the last 26 years, because the Dutch government outsourced vote counting tasks to computers:

Afterwards we discussed if the voting process should be executed on paper completely in the future. As it seems, around 50% of the security professionals that attended the debate thinks voting machines are still a good idea:

Discussion topic: “We have to keep voting with red pencil and paper”. People on the left agree; on the right disagrees.

I think this outcome is quite shocking! All the hacking experts I know are against voting machines, so my hypothesis is that technical security experts are against, and more process oriented security professionals vote for voting machines.

We need to fix this hacking knowledge and experience gap in our community (!)

Posted in discussion, e-voting, presentation | Comments Off on (ICS)² Chapter NL debate about voting machines

NOS-interview over de gevaren van ransomware

Vandaag belde de NOS en vroeg wat de gevaren zijn van ransomware, en in het bijzonder het WannaCry-virus, dat dit weekend honderdduizenden computers op slot zette. Ze schreven het volgende stuk erover:

Posted in cyber crime, interview, ransomware | Comments Off on NOS-interview over de gevaren van ransomware

Interview op 3FM over het WannaCry-computervirus

Vanmorgen was ik te gast in de radio-uitzending van Domien bij 3FM wat ging over het wereldwijde WannaCry-computervirus wat dit weekend al honderdduizenden computers heeft gegijzeld en nog zeer actief is. Wat moet je doen en waar moet je op letten? Luister het terug via:

Posted in computer worm, cyber crime, interview, phishing, radio, ransomware | Comments Off on Interview op 3FM over het WannaCry-computervirus

FERM-interview over digitale dreigingen voor het MKB

FERM heeft me uitgebreid geïnterviewd over phishing en andere digitale dreigingen waar het MKB dagelijks mee te maken krijgt:

 

Posted in cyber crime, interview, security awareness | Comments Off on FERM-interview over digitale dreigingen voor het MKB

Swedish national radio interviewed me about cyber crime and election hacking

A correspondent from Swedish national radio traveled to The Netherlands to interview me about my research about how I could hack the Dutch elections that were held in March 2017:

As this radio show is presented in Swedish, a local friend of my there was so kind enough to make a transcript of the interview in English: Continue reading

Posted in cyber crime, e-voting, interview, radio, security awareness | Comments Off on Swedish national radio interviewed me about cyber crime and election hacking

Sputnik radio interviewed me about claim that Russia may have hacked the Brexit vote

Moscow based Sputnik Radio interviewed me about the news that Russia might have tried to hack the Brexit election:

Posted in e-voting, hacking, interview, radio | Comments Off on Sputnik radio interviewed me about claim that Russia may have hacked the Brexit vote

Gemeente Rotterdam slecht beveiligd

Mijn stukje in het 20:00 uur NOS-journaal van vandaag over de onveiligheid bij gemeente Rotterdam:

Posted in hacking, interview, media, password, security awareness | Comments Off on Gemeente Rotterdam slecht beveiligd

AFP: ‘Ditch computers to save democracy: ethical hacker’

See below for my in-depth interview to Jo Biddle from international news agency AFP:

Ditch computers to save democracy: ethical hacker

UTRECHT (NETHERLANDS) © ANP/AFP / by Jo Biddle
In an age of superfast computers and interconnected everything, the only sure way to protect the integrity of election results is to return to paper and pen.

That is the view of Sijmen Ruwhof, an ethical or “white hat” hacker, who last month revealed that the Dutch election’s commission computer software was riddled with vulnerabilities.

In a shock announcement just weeks before the March 15 elections — seen as a bellwether of the rise of far-right and populist parties across Europe — Dutch officials announced they were abandoning the computer system in use since 2009 to return to counting ballots by hand.

It was Ruwhof who discovered the problem. At the request of Dutch broadcaster RTL he spent just one evening examining the OSV software, developed for the Dutch government by a German company, via an online YouTube explanatory video, finding 25 weak points.

“It seemed to be completely insecure. I was quite shocked that we run our democracy, our election process based on very vulnerable software,” he told AFP. Continue reading

Posted in analysis, cyber terrorisme, cyber warfare, e-voting, hacking, interview | Comments Off on AFP: ‘Ditch computers to save democracy: ethical hacker’

BNR Nieuwsradio podcast: digitaal stemmen

Vandaag was ik uitgebreid (1 uur) te gast bij De Technoloog, een podcast van BNR Nieuwsradio:

Continue reading

Posted in e-voting, hacking, interview, podcast, radio | Comments Off on BNR Nieuwsradio podcast: digitaal stemmen

Cqure Quick Question: over (non)scoping bij pentests

Cqure nodigde me uit om te komen praten over de scoping van pentesten:

Cqure: “Sijmen Ruwhof van Secundity vertelt deze week in de Cqure Quick Question over (non) scoping bij pentests. Sijmen vertelt in deze video dat veel pentesten in Nederland van een zeer goed niveau zijn maar dat het verschil juist zit in een goede scoping, of een “non scoping” zoals Sijmen zelf noemt.”

Posted in hacking, interview, pentesting, scoping, security assessment | Comments Off on Cqure Quick Question: over (non)scoping bij pentests

NOS vroeg: “Hoe kun je nog veilig stemmen tegenwoordig?”

Vandaag was ik uitgenodigd door de NOS op 3 Tech podcast:

NOS: “Hoe kun je nog veilig stemmen tegenwoordig, zonder kans dat je gehackt wordt door het buitenland? Als je het nieuws hierover deze week hebt gevolgd zou je er moedeloos van kunnen worden. Ethisch hacker Sijmen Ruwhof ontdekte hoe lek het systeem is, en vertelt wat we kunnen doen om veilig te kiezen.”

Posted in e-voting, hacking, interview, radio | Comments Off on NOS vroeg: “Hoe kun je nog veilig stemmen tegenwoordig?”

Minister Plasterk: “Komende verkiezingen weer 100% handmatig”

Mijn onderzoek over de veiligheid van onze stemtelsoftware heeft vergaande impact gehad. Minister Plasterk heeft besloten dat de komende verkiezingen alle stemmen voor 100% handmatig geteld gaan worden:

Posted in e-voting, hacking | Comments Off on Minister Plasterk: “Komende verkiezingen weer 100% handmatig”

Interview bij BNR Nieuwsradio

Vandaag was ik te gast bij BNR Nieuwsradio (fast-forward naar 03:17 min):

BNR Nieuwsradio: “De software die wordt gebruikt om stemmen te tellen na de aankomende Tweede Kamerverkiezingen, is zo lek als een mandje. Dat liet RTL Nieuws afgelopen week zien. Hoe kan het dan wel? Dat vragen we aan hacker en beveiligingsconsultant Sijmen Ruwhof.”

Posted in e-voting, hacking, interview, radio | Comments Off on Interview bij BNR Nieuwsradio

Websites Nederlandse politieke partijen onvoldoende beveiligd

In de recente hack bij de Democratische Partij in de VS (toen Hillary Clinton presidentskandidate was), werden Clinton en haar partij in diskrediet gebracht doordat bijna twintig duizend interne mails van de partijtop op internet zijn geplaatst door WikiLeaks. Eerder publiceerde WikiLeaks meer dan dertig duizend mails van Hillary Clintons privé server. Door alle negatieve media-aandacht die op de hack volgde heeft Clinton mogelijk de presidentsverkiezing verloren van Donald Trump. Dit voorval heeft er voor gezorgd dat hacking breed in het nieuws is gekomen.

Amerikanen: “De Russen hacken ons”
De Amerikanen beschuldigen openlijk de Russen van de hack, maar hebben hiervoor nog geen adequaat bewijsmateriaal gegeven. Ze baseren hun beschuldiging op geheime inlichtingenbronnen maar willen deze niet met het publiek delen.

Nederland is ook gehackt tijdens het MH17-onderzoek. Als we de Amerikanen moeten geloven, werd dit ook door de Russen gedaan.

RTL Nieuws kon politici hacken
Voor RTL Nieuws was dit aanleiding om te kijken of Nederlandse politici ook gemakkelijk te hacken zijn. Via gelekte wachtwoorden van recent gehackte websites zoals LinkedIn, kon RTL Nieuws inloggen op social media accounts van een aantal prominente politici. Er volgde grote ophef die in de media breed werd uitgemeten waarna Tweede Kamer voorzitter Khadija Arib in een soort pavlovreactie direct verkondigde dat een team van deskundigen wordt ingezet om Kamerleden te ondersteunen en te adviseren bij het beveiligen van hun sociale media-accounts. Continue reading

Posted in e-voting, hacking, responsible disclosure, security assessment, security awareness, website security, zero day | 3 Comments

3FM vroeg hoe ik de verkiezing zou kunnen hacken

Domien van 3FM vroeg mij over hoe ik de verkiezing zou kunnen hacken:

Posted in e-voting, hacking, interview, radio | Comments Off on 3FM vroeg hoe ik de verkiezing zou kunnen hacken

How to hack the upcoming Dutch elections – and how hackers could have hacked all Dutch elections since 2009

As everybody has read in the newspapers, the recent American elections involved multiple and severe hacking attacks. Tens of thousands of confidential and private emails from Hillary Clinton and the Democratic National Committee (DNC) were leaked via WikiLeaks. It is thought by many that this helped Trump to win the election.

Journalists from Dutch TV station RTL contacted me last week and wanted to know whether the Dutch elections could be hacked. They had been tipped off that the current Dutch electoral software used weak cryptography in certain parts of its system (SHA1).

I was stunned and couldn’t believe what I had just heard. Are we still relying on computers for our voting process?

Continue reading

Posted in e-voting, hacking, responsible disclosure, security assessment, security awareness, zero day | 46 Comments

Hoe hackbaar zijn onze politieke partijen?

NOS’ Nieuws & Co vroeg mij hoe hackbaar onze politieke partijen zijn. In opdracht van de NOS deed ik een snelle steekproef en keek in naar hun websitebeveiliging. Luister het complete Radio 1 fragment terug op:

Update 13 januari 2017
De PVV heeft blijkbaar de radio-uitzending ook gehoord en biedt sinds vandaag de websites www.pvv.nl en www.geertwilders.nl aan met een beveiligde HTTPS-verbinding. Een goede eerste stap! Een beetje publiciteit helpt blijkbaar ;) Hopelijk pakken ze en de andere politieke partijen door om hun IT-infrastructuur verder te beveiligen tegen kwaadwillende hackers en vijandige overheden.

Posted in interview, radio, website security | Comments Off on Hoe hackbaar zijn onze politieke partijen?

Bedrijven houden lekken vaak voor zich

Het NRC heeft me geïnterviewd over datalekken en daar vandaag een uitgebreid achtergrondartikel over geschreven:

 

Posted in data leakage, interview | Comments Off on Bedrijven houden lekken vaak voor zich

Access to 250,000+ event tickets and personal details

In today’s episode of the insecure internet I present you the company Ticketscript. This event ticketing company provides tools and features to make selling tickets for events easier. According to their website:

“[..] Ticket buyers are your biggest asset. Why share your customers with anyone else? Stop sending your hard earned traffic to third party ticket selling websites and agents. [..] The secret to event success? Own your data 100%. [..]”

Well, it appears that their data got owned!

Let me tell you a story. Continue reading

Posted in data leakage, hacking, password, responsible disclosure, security vulnerability, website security | 23 Comments