Kennissessie over hacking gegeven bij Cqure

Posted on 17-03-2016 by Sijmen Ruwhof

Vandaag een kennissessie over hacking gegeven bij Cqure. Erg leuk om te doen!

cqure 1 cqure 2

Posted in interview | Comments Off on Kennissessie over hacking gegeven bij Cqure

Beveiliging van klantgegevens kan fikse strop voorkomen

Posted on 27-02-2016 by Sijmen Ruwhof

Het blad Vastgoed interviewde mij voor hun februari oplage:

Vastgoed Magazine: 'Beveiligings van klantgegevens kan fikse strop voorkomen', aldus Sijmen Ruwhof

Posted in interview | Comments Off on Beveiliging van klantgegevens kan fikse strop voorkomen

Interview door Financieel Dagblad over privacy

Posted on 27-02-2016 by Sijmen Ruwhof

Het Financieel Dagblad heeft mij van de week geïnterviewd over privacy en dat stuk is vandaag te lezen in de krant en tevens ook online:

Continue reading
Posted in interview, privacy | Comments Off on Interview door Financieel Dagblad over privacy

Afluisteren via een elektronische SIM-kaart

Posted on 22-02-2016 by Sijmen Ruwhof

De traditionele SIM-kaart gaat vervangen worden door een digitale variant: de e-SIM. Een e-SIM heeft wat betreft software-updates veel beveiligingsvoordelen, maar geeft overheden ook een nieuwe manier om ons in de gaten te houden.

De e-SIM stelt (vooralsnog) smartphone-gebruikers vanaf juni in staat om van provider te veranderen zonder de SIM-kaart uit de telefoon te halen. Dit is een mooie feature, maar zeker een ontwikkeling die we in de gaten moeten houden. Continue reading

Posted in interview, privacy | Comments Off on Afluisteren via een elektronische SIM-kaart

Online banking security

Posted on 20-01-2016 by Sijmen Ruwhof

Checkmarx interviewed me for their article ‘All You Wanted To Know About Online Banking Security’:

Continue reading
Posted in interview, online banking | Comments Off on Online banking security

NOS: “Wat vind je van de nieuwe hackersserie Mr. Robot?”

Posted on 20-01-2016 by Sijmen Ruwhof

Benieuwd wat ik van de nieuwe hackersserie Mr. Robot vind? De NOS vroeg het mij en schreef het volgende artikel erover:

‘Eindelijk een goede serie over hacken op tv’
Rondom hacken hangt nog altijd een zekere mystiek. Een relatief klein groepje mensen, dat steeds verder groeit, is in een toenemende mate in staat om de maatschappij te ontwrichten. Hackers komen regelmatig in het nieuws en dat levert inspiratie op bij film- en tv-serie-makers.

Voor makers blijft het wel lastig om die verhaallijnen realistisch te houden. Het moet immers ook spannend zijn maar ook begrijpelijk blijven voor het grote publiek. Vanavond start op de Nederlandse televisie een nieuwe serie, Mr. Robot. De serie scoorde goed in de Verenigde Staten en ontving zelfs een Golden Globe. Volgens kenners slagen de makers er in om een realistisch beeld te geven van hoe hackers te werk gaan.

De serie draait om Elliot Alderson (gespeeld door Rami Malek), een jongen die niet goed is in het maken van contact. Overdag werkt hij voor een groot bedrijf als computerexpert, maar ‘s nachts is hij een hacker. In de serie wordt hij gerekruteerd door de anarchistische ’Mr. Robot’ (gespeeld door Christian Slater) met als doel om het grote bedrijf Evil Corp te saboteren.

In Mr. Robot is gekozen voor een afwijkende vertelvorm. Waar je bij veel series als een ‘vlieg op de muur’ meekijkt, bekijk je deze serie vanuit het perspectief van Alderson. Daardoor heb je veel sneller door wat voor gecompliceerd karakter hij is.

“Het laat hacking op een heel realistische manier zien”, antwoordt freelance beveiligingsadviseur Sijmen Ruwhof op de vraag wat de serie zo populair maakt. “Ze hebben alle Hollywood-achtige effecten weggelaten, wat heel goed is geweest. In plaats van hacken proberen te visualiseren met allerlei 3D-effecten, laten ze zien hoe het daadwerkelijk is: werken met lijstjes en code.”

Continue reading
Posted in hacking, interview | Comments Off on NOS: “Wat vind je van de nieuwe hackersserie Mr. Robot?”

Inbreken in de NOS-studio?

Posted on 29-12-2015 by Sijmen Ruwhof

Dit keer is een hacker het wel gelukt om in de juiste NOS-studio te komen 😉

nos

Posted in nos | Comments Off on Inbreken in de NOS-studio?

Lock Me Down podcast: Cyber security for developers

Posted on 28-12-2015 by Sijmen Ruwhof

Max McCarty from Lock Me Down podcast interviewed me for an hour (view the show notes) and we talked about web security and how software developers can improve it:

Posted in podcast, radio, security awareness, software development, website security | 1 Comment

Zo slordig gaan bedrijven met persoonsgegevens van hun klanten om

Posted on 11-12-2015 by Sijmen Ruwhof

Nieuwssite Z24 had een interview met mij en schreef het volgende artikel:

Continue reading
Posted in interview, security awareness | 5 Comments

BNR: Wachtwoordlek bij Phone House en Media Markt

Posted on 08-12-2015 by Sijmen Ruwhof

Vanmiddag had BNR Nieuwsradio mij uitgenodigd in hun radioprogramma over het wachtwoordlek dat ik gevonden had bij Phone House en Media Markt. De uitzending is online terug te beluisteren:

bnr

Posted in bnr nieuwsradio, interview, radio | Comments Off on BNR: Wachtwoordlek bij Phone House en Media Markt

Epic failure of Phone House & Dutch telecom providers to protect personal data: How I could access 12+ million records #phonehousegate

Posted on 08-12-2015 by Sijmen Ruwhof

On September 11, 2015 I visited MediaMarkt in Utrecht Hoog Catherijne, a well-known electronics shop in The Netherlands. Since summer 2014, the biggest independent Dutch phone retail company Phone House also operates (white labeled) from within MediaMarkt locations as a store-in-a-store concept. I had a few questions about my phone subscription so I talked to a Phone House employee. We were discussing the new Samsung Galaxy S6 Edge phone and I was thinking about buying one.

Somewhere in the conversation the service & sales guy asked me what I did for a living so I told him I earned my money as a freelancer by hacking (with authorization) into computer systems of businesses and writing security reports about it. He thought that was cool so we talked a few more minutes about this subject. I even told him I had noticed some months ago that one of his MediaMarkt colleagues had written a password on a post-it and attached it onto a computer monitor near a cash desk, in plain sight where any customer could see it :

tn_20151003_171315(0) v3 Naamloos

As you can see, the password to unlock MediaMarkt computers was media321. A very strong one!

We both laughed about how irresponsible and naive that was.

The conversation continued about my desire for a new phone and about all associated kinds of subscriptions I could choose of. After about ten minutes I made up my mind and ordered a new phone and a new subscription. I’m still in shock about what happened next! Continue reading

Posted in data leakage, privacy, responsible disclosure, security assessment | 419 Comments

Scanning an enterprise organisation for the critical Java deserialization vulnerability

Posted on 14-11-2015 by Sijmen Ruwhof

On November 6, security researchers of FoxGlove Security released five zero day exploits for WebSphere, WebLogic, JBoss, Jenkins and OpenNMS. These software products are used everywhere in enterprise organizations and with the published exploits remote malicious code can be unauthenticated executed.

The underlying vulnerability was known for years but it was vague and believed to be hard to exploit. That situation changed when Chris Frohoff (@frohoff) and Gabriel Lawrence (@gebl) published in January of an exploit generator for it in their talk on AppSecCali . Their generator didn’t get much attention on the internet. FoxGlove didn’t find the original (underlying) vulnerability, but they did find vulnerable products and wrote exploits for it. They call the vulnerability “the most underrated, underhyped vulnerability of “. When I read about FoxGlobe’s research on Twitter on November 8, , my guts told me immediately that this was something big. Continue reading

Posted in analysis, security vulnerability, zero day | 25 Comments

How I could hack internet bank accounts of Danish largest bank in a few minutes

Posted on 04-10-2015 by Sijmen Ruwhof

In August I visited the Chaos Communication Camp near Berlin. Once every four years this great and world’s greatest hacker festival is organized. I spoke with a couple of cool Danish hackers there and we talked about internet security and eventually about the security of Danish banks. Seemed like quite a lot of Danish bank have terrible HTTPS connection security (scoring a F on Qualys SSL Labs). That’s a bad sign and my gut feeling was telling me that this wouldn’t be the only security vulnerability they would have.

So I opened up the web site of Danske Bank, one of those bank sites. I clicked thru the site and was curious to see how the HTML code looked like, so opened the code of the customer login screen of the banking environment. I scrolled thru the code to get a grasp of the technology used. Then my eye caught JavaScript comments that seemed to contain internal server information. Not just a few variables, but quite a lot of confidential data actually (!). It was in URL encoded format, so I decoded it right away. Really wondering what kind of secrets it contained.

When I decoded it, I was shocked. Is this happening for real? I was less than a minute on their web site. This is just the HTML code of the login screen, one of the most visited pages of Danske Bank’s web site. I never heard of this bank, but my new friends told me it was the biggest bank in Denmark. Continue reading

Posted in responsible disclosure, website security | 183 Comments

Full disclosure: multiple critical security vulnerabilities (including a backdoor!) in PHP File Manager

Posted on 27-07-2015 by Sijmen Ruwhof

In July 2010 I was looking for a web based file manager that I could use on my own web server. After some research I found the PHP File Manager from Revived Wire Media. A basic, but good looking web based file manager for just $ 5. I bought it and installed it on a test server to see how it worked and if it was safe.

After looking at it, I did some shocking findings which I’ll disclose in this article. This commercial off the shelf software product contains several critical security vulnerabilities that can be easily unauthenticated remotely exploited. On top of that, it even includes a poorly secured backdoor, leaving this web based file manager completely open.

I’ve contacted Revived Wire Media three times but got no response of them, so I’m going full disclosure.

At this moment, confidential files can be be easily downloaded from Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oxford, Hilton, T-Mobile, CBS, 3M and also a couple of banks and quite a lot of other companies (lesser known to me).

One company in America that uses the file manager is active in youth care and provides mental health and substance abuse services. It has 250 mental health professionals who are probably sharing all kinds of very confidential patient information via PHP File Manager.

Continue reading

Posted in php security, responsible disclosure, security assessment | 36 Comments

M-FILES radio: ‘Rest In Privacy’

Posted on 18-07-2015 by Sijmen Ruwhof

Deze week was ik te gast in de radioshow van M-FILES wat ging over online privacy. Vanaf 22:12 minuten is mijn bijdrage te horen:

Posted in hacking, podcast, privacy, radio, security awareness | Comments Off on M-FILES radio: ‘Rest In Privacy’