Op naar de Titanic Brenno de Winter Holland Strikes Back 2016 www.hollandstrikesback.nl

1. Op naar de Titanic
Brenno de Winter
brenno@dewinter.com - 06-53536508

7. Veel voorkomende problemen
• 1120 - White Ship (Engeland) - aan
de grond gelopen - 300 doden - 20
jaar conflict over de troon
• 1274/1281 - Mongolische vloot -
storm (kamikaze) - 100.000+
doden
• 1694 - HMS Sussex (Engeland) -
storm - 498 doden - 2
overlevenden
• 1647 - Prinses Amelia - in slecht
weer aan de grond gelopen - 86
doden - 21 overlevenden
• 1703 - 13 schepen Engels kanaal -
storm - 1500+ doden

8. Bedrijf Aantal records
AOL 92 miljoen
LinkedIn 8 miljoen
Ebay 145 miljoen
Evernote 50 miljoen
Dropbox 30.000
CardSystem Solutions 40 miljoen
Adobe 36 miljoen
Yahoo 500 Miljoen

10. Nou die hebben het
wel geleerd….

13. Mapping from 2010 to 2013 Top 10
OWASP Top 10 – 2010 (old)
OWASP Top 10 – 2013
(New)
2010-A1 – Injection 2013-A1 – Injection
2010-A2 – Cross Site Scripting (XSS)
2013-A2 – Broken Authentication and Session
Management
2010-A3 – Broken Authentication and Session
Management
2013-A3 – Cross Site Scripting (XSS)
2010-A4 – Insecure Direct Object References 2013-A4 – Insecure Direct Object References
2010-A5 – Cross Site Request Forgery (CSRF) 2013-A5 – Security Misconfiguration
2010-A6 – Security Misconfiguration 2013-A6 – Sensitive Data Exposure
2010-A7 – Insecure Cryptographic Storage 2013-A7 – Missing Function Level Access Control
2010-A8 – Failure to Restrict URL Access 2013-A8 – Cross-Site Request Forgery (CSRF)
2010-A9 – Insufficient Transport Layer Protection 2013-A9 – Using Known Vulnerable Components (NEW)
2010-A10 – Unvalidated Redirects and Forwards (NEW) 2013-A10 – Unvalidated Redirects and Forwards
3 Primary Changes: ▪ Merged: 2010-A7 and 2010-A9 -> 2013-A6
▪ Added New 2013-A9: Using Known Vulnerable
Components
▪ 2010-A8 broadened to 2013-A7

15. Mapping from 2010 to 2013 Top 10
OWASP Top 10 – 2010 (old)
OWASP Top 10 – 2013
(New)
2010-A1 – Injection 2013-A1 – Injection
2010-A2 – Cross Site Scripting (XSS)
2013-A2 – Broken Authentication and Session
Management
2010-A3 – Broken Authentication and Session
Management
2013-A3 – Cross Site Scripting (XSS)
2010-A4 – Insecure Direct Object References 2013-A4 – Insecure Direct Object References
2010-A5 – Cross Site Request Forgery (CSRF) 2013-A5 – Security Misconfiguration
2010-A6 – Security Misconfiguration 2013-A6 – Sensitive Data Exposure
2010-A7 – Insecure Cryptographic Storage 2013-A7 – Missing Function Level Access Control
2010-A8 – Failure to Restrict URL Access 2013-A8 – Cross-Site Request Forgery (CSRF)
2010-A9 – Insufficient Transport Layer Protection 2013-A9 – Using Known Vulnerable Components (NEW)
2010-A10 – Unvalidated Redirects and Forwards (NEW) 2013-A10 – Unvalidated Redirects and Forwards
3 Primary Changes: ▪ Merged: 2010-A7 and 2010-A9 -> 2013-A6
▪ Added New 2013-A9: Using Known Vulnerable
Components
▪ 2010-A8 broadened to 2013-A7

16. Transformation
80%
Libraries But library use is
growing at a
staggering rate
20% Custom Code

18. SOLAS
• Safety of Life at Sea
• Aantal reddingsboten
• Reddingsmiddelen
• Continue radiowacht

20. Zo goed beveiligd
als een bank

21. Transparantie

26. • Digitale inbraak. Bij een digitale inbraak op de website www.ede.nl zijn mogelijk persoonsgegevens uit een database
ingezien en/of meegenomen.
• Onderzoek. Een gespecialiseerd bureau heeft forensisch onderzoek uitgevoerd naar de digitale inbraak. Zij hebben
geen aanwijzing kunnen vinden dat de database op de website www.ede.nl is geraadpleegd en/of de inhoud ervan is
meegenomen. Maar het bureau kan dit ook niet voor 100% uitsluiten. De volledige inhoud van het onderzoeksrapport
wordt niet naar buiten gebracht. De informatie in het rapport is hiervoor niet geschikt. Het rapport voldoet aan de
uitzonderingsregels van artikel 10 Wet openbaarheid van bestuur.
• Gevolgen. De hacker(s) heeft mogelijk toegang gehad tot de server en een database. De database bevatte gegevens
van burgers. Het gaat om naam, adres, woonplaats, e-mail adressen, mobiele telefoonnummers,
burgerservicenummers (BSN) en bankrekeningnummers. Daarnaast betreft het enkele e-mail adressen van onze
medewerkers en aanverwante bedrijven.
• Betrokkenen. De mogelijke gehackte gegevens waren ingevuld op het voormalig algemene contactformulier op
ede.nl. Van zo’n 3.700 burgers zijn gegevens mogelijk ingezien en/of meegenomen. Een klein gedeelte had hun
Burger Service Nummer of bankrekeningnummer ingevuld. Alle betrokken burgers worden persoonlijk geïnformeerd.
• Waar moeten betrokkenen op letten? Alle betrokkenen ontvangen persoonlijk bericht. We kunnen niet uitsluiten dat uw
gegevens uit de database zijn gehaald. Hiermee ontstaat het risico op identiteitsfraude. Informatie over
identiteitsfraude vindt u op de websites van politie en rijksoverheid.
• Maatregelen. Na constatering van de hack zijn er verschillende maatregelen genomen. Zo zijn bestanden verwijderd,
is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen.
• Digitale dienstverlening. De gegevens kwamen uit het voormalig algemene contactformulier op onze website. Het
gaat dus niet om informatie uit andere formulieren, zoals de melding woon- en leefomgeving, parkeervergunning,
verhuizing et cetera doorgeven.
• Doel van de aanval. De aanvallers willen resultaten in zoekmachines manipuleren. Het doel hiervan is bezoekers door
te leiden naar externe advertentiewebsites over afvallen en het lenen van geld. Dit in plaats van het doorverwijzen
naar de plek op deze website waar informatie staat waarnaar ze op zoek zijn. Dit soort aanvallen gebeuren vaak
vanuit Oost-Europa. Dat is ook hier het geval geweest.

27. Zo goed beveiligd
als een bank

28. Veel
hackers zijn
9-jaar oud

30. Niets blijft geheim
• 21 september 2016 - Bahama-Leaks
• April 2016 - Panama Papers
• April 2014 - Luxemburg-Leaks
• Juni 2013 - heden - Onthullingen Edward Snowden
• April 2013 - Offshore-Leaks
• 28 november 2010 - Cablegate
• 25 juli 2010 - Oorlogsdocumenten Irak
• 18 september 2008 - Mailbox Sarah Palin
• Februari 2008 - Witwas-praktijk Julius Baer
• Februari 2008 - Luxemburger Steueraffäre

35. Op naar de Titanic!