De OV-chipkaart, meerdere miljarden en voor altijd gekraakt

Wat de Hack?! Kerstspecial 2021

2021 was weer een bewogen jaar in de wereld van cybersecurity! Zoals altijd maken we de stand op en blikken we onder het genot van een paar biertjes terug op het jaar in de kerstspecial. Voor de podcast hebben we ook nog wat eindjes die aan elkaar moeten worden geknoopt, zoals het cyberwoord van het jaar! Doe met ons mee, pak een drankje en ga er even goed voor zitten. We gaan er helaas weer eventjes uit, maar we zien jullie graag weer terug in het nieuwe jaar!

S2E7: Ransomware - grote bedragen voor grote bedrijven

Het is al een lange tijd een veelvoorkomend onderwerp in het nieuws - bedrijven worden digitaal gegijzeld en maken in veel gevallen geld over naar aanvallers om de schade te beperken. Soms heeft deze criminaliteit zelfs directe impact op de samenleving - denk aan de lege kaasschappen bij Albert Heijn een paar maanden geleden. Pim Takkenberg heeft vanuit cybersecuritybedrijf Northwave bijna dagelijks te maken met dit soort situaties. Zijn team komt binnen als digitale brandweer, bekijkt de schade, beoordeelt of er betaald moet gaan worden, onderhandelt met de aanvallers, zorgt dat ze zo snel mogelijk uit het netwerk worden geweerd, en brengt het getroffen bedrijf zo snel mogelijk weer in de lucht. We lopen met hem door dit proces heen, vanuit het perspectief van de aanvaller, dat van zijn team en het getroffen bedrijf, en we zijn benieuwd naar technische en ethische aspecten die bij dit werk komen kijken. Bekijk de ransomware-killchain op https://www.youtube.com/watch?v=Vbevr8uYwbY

S2E6: Cybercrime in beeld - de tasjesdief wordt cybercrimineel

Vandaag praten we met documentairemaker Anthony van der Meer, bekend van Bait en Rats & Slaves. Als geen ander kent hij het wereldje van internetcriminaliteit gericht op consumenten. We zijn benieuwd naar deze wereld en het verhaal achter zijn documentaires. In het proces ontdekken we allerlei vormen van cybercrime die we nog niet kenden, en groeit ons begrip van de organisatie erachter - een geoliede machine van criminelen met elk een eigen specialisme. Zoals altijd kijken we ook naar de toekomst - hoe gaat deze wereld zich ontwikkelen en zitten er nieuwe documentaires in de pijplijn? Wil je niet ten prooi vallen aan deze vormen van internetoplichting? Kijk naar Rats & Slaves en Bait!

S2E5: Red Teaming - één foutje en het is gedaan

Hoe houden we digitale aanvallers buiten de poort? Het antwoord op deze vraag is tweeledig, en daarom maken we twee episodes. In de tweede van de serie hebben we het over red teaming, de aanvallende kant in de wereld van cybersecurity, en praten we met Cas van Cooten, red teamer bij Deloitte. Cas valt voor zijn werk bedrijven aan en probeert de zwakke plekken in hun beveiliging in kaart te brengen. Dit gaat een stuk verder dan de gemiddelde beveiligingstest. Want hoe wordt je niet gedetecteerd door het blue team? Hoe ontwijk je de neergelegde 'landmijnen'? Als red teamer hoef je maar één foutje te maken en dan is het klaar. Hoe zou jij met deze spanning om gaan? Luisteren dus!

S2E4: Blue Teaming - verdediging is geen koud kunstje

Hoe houden we digitale aanvallers buiten de poort? Het antwoord op deze vraag is tweeledig, en daarom maken we twee episodes. In de eerste van de serie hebben we het over blue teaming, de verdedigende kant in de wereld van cybersecurity, en praten we met Olaf Hartong, Defensive Specialist bij Falcon Force. Olaf heeft in zijn carrière veel ervaring opgedaan met de 'blauwe kant' en adviseert bedrijven over hun digitale verdedigingslinie. Bouw je net als Trump een hele hoge muur aan de rand van je gebied? Of is het beter om een veld vol met landmijnen te leggen? Is het wel zo dat aanvallers maar één foutje in de verdediging hoeven te vinden om hun doel te bereiken? En wie zitten er eigenlijk dag en nacht klaar om aanvallers op te sporen? We slaan ook nog kort de brug naar de aflevering van volgende week, de aanvallende kant, en wie vroeger vroeger heeft opgelet op school weet dat je door rood en blauw te mengen paars krijgt. Volg je het nog? Luisteren dus!

S2E3: ISIDOOR - de grootste cybercrisisoefening van Nederland

Wat gebeurt er als de Nederlandse vitale infrastructuur digitaal onder vuur wordt genomen? Wellicht heb je er nog nooit over nagedacht, maar achter de schermen bij het Nationaal Cyber Security Centrum is dit een belangrijk onderwerp. Omdat alles goed is gegaan heb je waarschijnlijk niets gemerkt, maar begin juni vond de grootste cybercrisisoefening van Nederland plaats: ISIDOOR. In een scenario ontwikkeld door het NCSC probeerden ruim 90 organisaties met in totaal meer dan 1500 medewerkers een digitale crisis te beheersen. In deze podcast praten we met Kees Verkade en Michiel Oosterwijk van het NCSC over de oefening. We zijn benieuwd hoe zij zich op de oefening voorbereiden, hoe de deelnemers met de fictieve crisis omgaan, en we doen een poging om een beeld te krijgen van de staat van de digitale beveiliging van de vitale infrastructuur in Nederland. Meer informatie over ISIDOOR

S2E2: Digitaal forensisch onderzoek - ook een verbrande telefoon bevat nog informatie

We zijn weer terug met de tweede aflevering van de Wat de Hack?! Podcast! We spreken met Mattijs Ugen en Ginger Geneste; twee digitaal forensisch onderzoekers van het NFI - het Nederlands Forensisch Instituut. Hoe doen ze onderzoek? Wat zijn daarbij de dilemma's? En is het mogelijk om een totaal vernielde telefoon nog te kunnen uitlezen? Je hoort het allemaal in deze aflevering en we trekken natuurlijk weer een letterlijk blik met interessante vragen open. We sluiten af met een nieuw cyberwoord van de maand en een leuke tip! Wil je meer leren over het NFI? Op Github delen ze open source tools: https://github.com/NetherlandsForensicInstitute De tip van Ginger - "The Problem with Time & Timezones" van Computerphile: https://www.youtube.com/watch?v=-5wpm-gesOY

S2E1: Open Source Intelligence - op onderzoek in de diepste krochten van het internet

Het heeft even geduurd, maar de Wat de Hack?! Podcast is terug van weggeweest! Deze maand spreken we Nico Dekens, ook wel bekend als de Dutch OSINT Guy, en we trekken letterlijk een blik met vragen open. Wat is open source intelligence, hoe wordt het in de praktijk gebruikt, hoe zorg je ervoor dat je digitale voetafdruk zo klein mogelijk blijft en durft hij zichzelf door te laten lichten? We sluiten af met een nieuw cyberwoord van de maand en onze OSINT-tips! Wil je meer leren over OSINT? Kijk op osintcurio.us! Oefen je OSINT-skills op GeoGuessr: geoguessr.com

Trailer: Wat de Hack?!

Maak je klaar voor jouw maandelijkste portie cyber. Dit is seizoen 2 van de Wat de Hack?! podcast!

Wat de Hack?! Winterspecial 2020

Na 15 afleveringen is het tijd om de stand op te maken. In deze winterspecial blikken we terug op cybersecurity in 2020! Voor het eerst in de geschiedenis van deze podcast zijn we niet digitaal, maar (op gepaste afstand) fysiek bij elkaar. Pak een lekker drankje terwijl je luistert naar het cyberwoord van het jaar, de beste hacks en onze goede voornemens. We gaan er helaas eventjes uit, maar we zien jullie graag weer terug in het nieuwe jaar op zondag 21 maart! Lees meer over onveilige WiFi in de trein op https://decorrespondent.nl/3166/de-wifi-in-de-trein-is-volstrekt-onveilig-en-de-ns-doet-er-niets-aan/97373496-af07ccc1

Hunted: Achtervolgd door digitale rechercheurs

Deze week bespreken we het televisieprogramma Hunted op NPO3. Hoe gaat dit precies in zijn werk? Wie zitten hier achter en hoe worden de voortvluchtigen opgespoord? Wij namen de digitale recherchemiddelen onder de loep met Martijn Hoogesteger; digitaal rechercheur uit het team van Hunted. Hoe heeft hij dit aangepakt? Daarnaast maken we de winnaar van onze give-away bekend, leggen we een onderwerp in 30 seconden uit en maken we het cyberwoord van de maand bekend. Hunted: https://www.npo3.nl/hunted Download je google data: https://takeout.google.com

Techjournalist Daniël Verlaan weet jouw wachtwoord

Na een korte pauze zijn we terug van weggeweest! Normaal behandelen wij de actualiteit in deze podcast, maar voor de verandering halen we het nieuws zelf in onze digitale studio. Daniël Verlaan is techjournalist bij RTL en zijn nieuwe boek 'Ik weet je wachtwoord' is bijna niet aan te slepen. Wij zijn enorm benieuwd naar het verhaal achter het boek, naar zijn werk en naar de keuzes die hij in de loop der jaren heeft gemaakt. Waar liggen de grenzen voor een journalist, hoe sla je de brug naar de duistere wereld van internetcriminelen en is Daniël niet bang zelf gehackt te worden? Waarborg je digitale privacy met https://www.fixjeprivacy.nl!

Statelijke actoren: spioneren de Russen via je smartphone?

De MIVD-baas luidt de noodklok: haal je telefoon van tafel in de vergaderruimte, want het risico op spionage is aanwezig. Voor velen van ons komt die dreiging uit de lucht vallen. Is dat terecht en moet je je zorgen maken? We praten met Rickey Gevers, Cyber Security Expert bij Bitdefender. Vanuit zijn werk heeft hij veel ervaring met spionagegroepen uit Rusland en hij geeft ons een antwoord op alle vragen die hieruit ontstaan. Jasper, Olaf en Diederik praten na, kiezen het cyberwoord van de maand oktober en leggen een relevant en moeilijk begrip in 30 seconden uit. Lees het rapport van Microsoft op https://blogs.microsoft.com/on-the-issues/2020/09/29/microsoft-digital-defense-report-cyber-threats/ Test je digitale skills op https://www.crimediggers.nl/!

Smarthome-beveiliging: valt jouw bureaulamp de banken aan?

De gemiddelde luisteraar van deze podcast heeft er al 4: smarthome-gadgets! We interviewen Emile Nijssen, oprichter van Athom, het bedrijf achter een bekende smarthomehub van Nederlandse bodem genaamd Homey. Hoe wordt er omgegaan met beveiliging in een apparaat dat alles in je huis aan elkaar (en het internet) knoopt? Hoe kijkt iemand, die duizenden smarthome-gadgets in zijn handen heeft gehad, aan tegen de beveiliging van het slimme huis? En welke lessen moet jij daar als luisteraar uit trekken? Die vragen beantwoorden we in deze podcast. Daarbovenop krijgt ook Jasper nog een lastige vraag die hij in 30 seconden mag beantwoorden en behandelen we onze cyberfrustraties. Relevante XKCD: https://xkcd.com/538/ Gebruik bij het uitzoeken van nieuwe smarthome-gadgets https://smarthomedb.com of https://tweakers.net/pricewatch!

NFC in identiteitsbewijzen: de derde kant van het pasje

De Belgische overheid kondigt aan vingerafdrukken op te slaan in identiteitsbewijzen. Hoe werkt dit precies, gebeurt dit wel veilig en hoe gaan we hier in Europa mee om? Maarten Wegdam is CEO en co-founder van ReadID, een bedrijf dat software ontwikkelt die helpt bij het uitlezen van identiteitsbewijzen vanuit telefoons. Hij legt uit hoe het bedrijf tot stand kwam, hoe de techniek precies werkt, waarom dit de veiligheid vergroot, en noemt een verrassend groot aantal toepassingen voor deze technologie. Jasper, Olaf en Diederik praten na over de technologie, kiezen een nieuw cyberwoord van de maand en leggen een relevant begript in 30 seconden uit in lekentaal. Stap in de schoenen van een contactonderzoeker op: http://app.nos.nl/op3/wieheefthet/

De CoronaMelder: zou ik die ook moeten installeren?

We praten deze week met Ralph Moonen van Secura over het security advies over de CoronaMelder. Ralph heeft met zijn team een 'deep dive' gedaan in de CoronaMelder app en daarbij gelukkig niets ernstigs gevonden. Kunnen we nu concluderen dat de CoronaMelder veilig is om te installeren? We leggen uit hoe het werkt en waarom het veilig is. Ook leer je in deze episode over hoe een 'security assessment' wordt gedaan en duiken we kort in de wereld van hacken van de jaren 80. Daarnaast leert Jasper je in 30 seconden iets over risico management en laten we ons weer lekker uit over de frustraties van de week. Test jezelf op: https://phishingquiz.withgoogle.com/ Bekijk het volledige rapport van Secura op: https://lnkd.in/dnZ2TtB

Apps en privacy: onder de motorkap van TikTok

We praten deze week met Sanne Maasakkers over mobiele apps, privacy, permissies en alles wat er tussenin zit. Sanne heeft onderzoek gedaan naar de app TikTok van ByteDance en deze app dient als een goed kader voor verdere discussie over dit onderwerp. Ben je als gebruiker overgeleverd aan het beleid van de apps die je gebruikt of kun je nog wat invloed uitoefenen op het waarborgen van je eigen privacy? Olaf trekt aan het kortste eind en legt in 30 seconden uit hoe het decompileren van apps werkt, en we kiezen het cyberwoord van de maand augustus! Voor de eerste Wat de Hack?! winactie heeft Olaf een souvenirtje in Duitsland achtergelaten. Zijn drone is gratis af te halen op 54°35'06.1"N 13°36'49.4"E. Vergeet je klimgerei niet!

Lekke Wifiboosters: is je koelkast nog wel veilig?

Ziggo heeft op alle media laten weten: Verander je wachtwoord van onze Wifibooster. Het is niet de eerste keer dat een internetprovider met een soortgelijk bericht komt. Wat gebeurt er precies? Hoe zit het eigenlijk met beveiliging van je Wifi thuis? En waarom is het zo belangrijk om dit goed te regelen? Diederik en Jasper bespreken hun ideeën en geven hun ongezouten mening. Daarnaast bespreken we onze frustraties en leggen we iets uit in 30 seconden. En oh ja - Olaf is een weekje op vakantie! https://ctftime.org/ https://securitycheckli.st/

Twitter-hack: de menselijke factor in beveiliging

Afgelopen woensdag verschenen plotseling vreemde tweets op accounts van (hele) bekende personen. Hackers leken elk willekeurig Twitter-account volledig over te kunnen nemen en deden dat ook nog eens met kwade bedoelingen. Hoe kon dit gebeuren? Terwijl Twitter bezig is met onderzoek speculeren Diederik, Olaf en Jasper over de details rondom de 'hack' met alle informatie die Twitter tot nu toe heeft prijsgegeven. Ook presenteren we een nieuw cyberwoord van de maand en leggen een cyberterm uit in 30 seconden. https://www.cybersecurityalliantie.nl/initiatieven-en-resultaten/documenten/publicaties/2019/09/30/cybersecurity-woordenboek

Draadloze autodiefstal met relay attacks

De laatste jaren verdwijnen er plotseling auto's van de oprit. Door hardware te gebruiken waarmee de afstand tussen sleutel en auto wordt vergroot, een zogenaamde relay-aanval, kunnen dieven zonder braakschade met de auto wegrijden. Een schrikbarend makkelijke aanval, en zelfs nog van toepassing op veel auto's die nu van de band rollen. We interviewen Henk van Vliet, certificatiemanager bij Kiwa-SCM en expert op het gebied van autodiefstallen en vragen hem over zijn ervaringen met de methode en de impact ervan. Daarnaast delen we onze cyberfrustraties en leggen we een nieuw begrip in 30 seconden uit! https://coronadashboard.reichsoverheid.nl/

Hackwedstrijden: van nul tot hacker

Hoe word je een hacker? Deze week vindt een grote hackwedstrijd voor het onderwijs plaats, namelijk Challenge the Cyber. Jasper en Olaf zitten in de organisatie en Diederik is deelnemer, dus een uitgelezen kans om dit onderwerp aan te snijden. Wat doen hackers precies op zo'n wedstrijd en hoe ziet dit eruit vanuit de organiserende kant? Kan dit een rol hebben binnen het onderwijs en de carrière van toekomstige hackers? We praten erover en interviewen Cedric van Bockhaven, Chris van 't Hof en Ron Mélotte, met ieder hun eigen perspectief op de wedstrijd. Het cyberwoord van de maand wordt aangekondigd en we leggen een ingewikkelde term in 30 seconden uit. En tot slot, voor al uw betrouwbare securitynieuws: security.nl!

De OV-chipkaart, meerdere miljarden en voor altijd gekraakt

Er valt natuurlijk te twisten over de veiligheid van de ouderwetse papieren kaartjes, maar de OV-chipkaart is niet bepaald beter. Onderzoekers uit Nijmegen wisten beide versies van de kaart in respectievelijk 2009 en 2015 te kraken, en recent bleek dat dat in de praktijk tot misbruik leidt. We praten met Carlo Meijer, PhD-kandidaat aan de Radboud Universiteit en de man achter de meest recente OV-chipkaarthack. Is de huidige situatie het resultaat van een simpele kosten-batenanalyse of had TLS dit niet kunnen bedenken toen de kaart werd ingevoerd? Opnieuw delen we onze cybersecurityfrustraties en leggen we een nieuw begrip in 30 seconden uit. Check de betrouwbaarheid van webshops via https://www.politie.nl/aangifte-of-melding-doen/controleer-handelspartij.html

Proctoring, een dilemma tussen fraude en privacyschending?

Proctoring, wat de hack is dat? In deze episode spreken we een oude bekende van de Universiteit Twente, een ware thuiswedstrijd. We nemen de privacyproblemen van anti-spieksoftware onder de loep en bespreken het dilemma met universitair docent Pieter-Tjerk de Boer. Kiest de universiteit voor een digitale surveillanceoplossing, of wordt een beroep gedaan op vertrouwen? Als laatste koppen we nog even het cybersecuritywoord van de maand erin en leggen we in 30 seconden een digitaal begrip in hapklare taal uit. Check je internetsnelheid op fast.com! Wil jij de vraag beantwoorden of heb je opmerkingen naar aanleiding van deze aflevering, mail dan naar [email protected]!

Zero clicks en je telefoon is gehackt

Een speciale aanval, waartegen je je als gebruiker niet heel goed kunt wapenen, wordt in het nieuws vaak als zero-click aangemerkt. Recent werd er eentje gepubliceerd, van toepassing op Samsung-telefoons. Met het sturen van enkele tientallen MMS'jes wist een aanvaller de telefoon volledig over te nemen. Waarom is dit mogelijk en moet je je als telefoonbezitter nu zorgen gaan maken? Diederik, Jasper en Olaf kijken naar de achterliggende techniek en leggen in klinkklare taal uit wat hier aan de hand is. Ook onze vaste rubrieken krijgen weer de nodige aandacht. Check hoe normaal je bent op hoenormaalbenik.nl. Wil je de vraag beantwoorden of heb je opmerkingen naar aanleiding van deze aflevering, mail dan naar [email protected]!

Spoofing met telefoonnummers: wie heb ik aan de lijn?

Er heerst een wapenwedloop tussen banken en cybercriminelen. Een van de nieuwste trucs: het spoofen van telefoonnummers van de bank, om slachtoffers te doen geloven dat daadwerkelijk vanuit de bank wordt gebeld en ze over te halen vertrouwelijke informatie op te geven. We bekijken hoe deze techniek werkt, en waarom het lastig is om dit te voorkomen. Naast het nomineren van het cybersecuritywoord van de maand, hebben we het weer over onze digitale irritaties en leggen we binnen 30 seconden een digitaal begrip in hapklare taal uit.

Zoom-bombing en het kiezen van het sterkste wachtwoord

De coronacrisis heeft ons allemaal in no-time geforceerd om ons te begeven in een volledig digitale wereld. Een aantal videoconferencing-apps zijn in die wereld gegroeid als kool, en staan daarmee opeens in de spotlight op het gebied van cybersecurity. We praten over een nieuw begrip in de securitywereld: zoom-bombing. De discussie leidt naar het maken van veilige wachtwoorden en het gebruik van wachtwoordmanagers, en hoewel je het niet zou denken, zijn die laatste twee heel erg relevant aan het eerdergenoemde begrip. Zoals altijd blikken we terug op onze irritaties en proberen we binnen 30 seconden een digitaal begrip in hapklare taal uit te leggen.