Friday, April 6, 2018

Someone stole my password!

The populair Dutch on-line news site posted an article on their site yesterday with the headline "Search engine with millions of Dutch passwords appeared on-line" The article talks about the search tool which can be used to check for any account compromised and published on-line. Since data breaches are sometimes many years old, the information returned doesn't necessarily reflect the current status of the account. However, if a search for your account returns a hit, you should enter it on to find out more detailed information. If you didn't get a hit, you can still check to see whether your account is listed.

Such breaches sadly aren't a new phenomenon, but the publication of the search tool got a lot of media attention, which in fact is a good thing, since it raises awareness and shows that anybody can become a victim of a data breach.

So, now you've searched for your Naturalis account and you got a hit. What does this mean and what should you do?
First of all, it's not likely that your actual Naturalis credentials were stolen. You probably used your account name on a different service or platform, such as LinkedIn or Adobe, of which it is known they suffered massive data breaches in the past.

Secondly, since we employ two-factor authentication in the form of Google's 2-step verification at Naturalis, the stolen account and password combination is useless, because only you have access to the second factor to actually gain access to your account. There isn't really much you can do to prevent your account from being leaked, but you can seriously limit the risk of the account being accessed by an unauthorized individual.

This is what you should always do. 
If you haven't already done so recently (less than 90 days ago), change your password. The most important defense is the already mentioned two-factor authentication. Many large social media platforms, such as LinkedIn and Twitter offer the option to activate this. Do it!

Secondly don't reuse account-password combinations. Consider using a password manager such as LastPass and don't forget to secure it with a second factor. You can add it to the Google Authenticator app. Alternatively LastPass offers their own authenticator app.

If you have any questions or something you want to share, please contact me!

Have a good weekend and be safe!

Robert van Geenen | Information Security Officer

Friday, December 15, 2017

Watching streaming content online sometimes comes at a cost

Watch online content for free? Here's what it could cost you.

Can't wait for the latest episode of your favorite television series to become available through NetFlix or HBO? Or simply don't want to pay to watch the latest action hero movie? Perhaps the game of your sports team or Formula One race isn't broadcast live by your cable provider?

Chances are you'll turn to a stream provided for free. Aren't you the lucky one! Just the stuff you wanted to watch and no need to pull your credit card. Well, perhaps you should think twice. No such thing as a free lunch, and if it seems to good to be true, it probably is.

By viewing the stream you risk opening up a direct path to inject malicious programs straight into your computer, tablet or phone.

Pirates pay money to hackers and websites that offer illegal streams. Dozens of free streams pop-up when a major game starts. In return, pirates get the opportunity to install bits of malware, dangerous software, on viewers' computers / tablets / phones to these streams. With that, they can later rob your bank account, abuse your credit card or even worse: use your account for other illegal activities. Or even worse: lock your computer with ransomware.

A while back, our IT Infra team which monitors for anomalies in network traffic traced sources back to computers which were used to watch a cycling match provided by a malicious source displaying very suspect behavior. Luckily in this case the user was warned to terminate the stream before any damage could be done.

So, stay away from illegal streams and don't become a victim of cyber crime.

Have a good weekend and be safe!

Robert van Geenen | Information Security Officer

Friday, October 6, 2017

mobile device security

Vandaag werd ik getipt voor dit artikel op De smartphone van de stafchef van de VS president, bleek al maanden lang gehacked te zijn. Het artikel gaat helaas niet dieper in op de details, maar het dient wel als een voorbeeld voor het feit, dat we ons bewust moeten zijn van de noodzaak om veilig met onze apparaten om te gaan. Om hierbij te helpen, zet ik een aantal zaken op een rijtje, die iedereen eenvoudig zelf kan doen doen om onnodig risico uit de weg te gaan. Het zijn simpele aanpassingen van de instelling, die je makkelijk zelf kan uitvoeren. Hier zijn ze:

1. Beveilig de ontgrendeling

Een groot deel van de smartphones en tablets is met een simpele veeg over het scherm te ontgrendelen. Bij veel andere toestellen is een eenvoudig af te kijken toegangscode van slechts 4 cijfers ingesteld. Deze lage drempel maakt ze erg aantrekkelijk van dieven die vervolgens vrijwel ongehinderd toegang hebben tot je persoonlijke gegevens.
Heb je een toestel dat voorzien van is van biometrische beveiliging - zoals een vingerafdrukscanner of gezichtsherkenning – schakel dit onderdeel dan in. Gebruik in alle andere gevallen een toegangscode van minimaal 8 cijfers/letters of een ingewikkeld patroon. Ontgrendelen is net als pinnen: zorg ervoor dat anderen niet kunnen meekijken.

2. Versleutel de opslag

Op de nieuwste generatie mobiele apparaten wordt data standaard versleuteld opgeslagen. Hiermee zijn de gegevens op het interne geheugen of geheugenkaartjes voor criminelen vrijwel onleesbaar. Daarnaast is het vaak mogelijk om in te stellen dat gegevens op het toestel na een aantal verkeerde ontgrendelingspogingen automatisch worden gewist. Check welke mogelijkheden je toestel heeft en zorg ervoor dat je data beveiligd is.

3. Maak automatisch backups

Bij Android kunnen automatisch backups worden gemaakt naar Google Drive, onder iOS gebeurt dit naar iCloud en bij Windows Phone is hiervoor OneDrive het medium bij uitstek. En zaken als foto’s, documenten en video’s kunnen eventueel ook automatisch naar deze cloudopslagdiensten worden gebackupped. Controleer of jouw mobiele apparaat standaard periodiek backups maakt. Hiermee voorkom je dataverlies bij diefstal of ongeluk en kunt je, wanneer je een nieuw toestel aanschaft, weer snel verder.

4. Schakel zoeken, vergrendelen en wissen op afstand in

Een smartphone of tablet verliezen is erg genoeg maar je zult je pas echt zorgen maken wanneer je deze niet meer kunt terugvinden. Gelukkig is het in veel gevallen mogelijk om via de webbrowser op afstand een toestel te lokaliseren en deze eventueel te vergrendelen of te wissen. In sommige gevallen dien je daarvoor eerst een aantal zaken in te stellen.

5. Installeer updates en patches (onmiddellijk)

Zorg er niet alleen voor dat je mobiele apparaat liefst dagelijks checkt of er nieuwe updates of patches beschikbaar zijn, maar installeer deze ook onmiddellijk wanneer dit inderdaad het geval is. Het afgelopen jaar werd een record aantal kwetsbaarheden in mobiele besturingssystemen en apps gevonden. Het feit dat je mobiele apparaat een aantal minuten niet is te gebruiken wanneer de software wordt bijgewerkt is een kleine prijs vergeleken met de risico’s die je loopt wanneer je het updaten uitstelt. Uit cijfers blijkt telkens dat gebruikers die hun toestel niet hebben bijgewerkt vaker slachtoffer zijn van malware, ransomware en datadiefstal.

Robert van Geenen | Information Security Officer

Friday, January 6, 2017

File Access Anytime Anywhere

Happy New Year! And may it be safe one. Today marks the publication of my first blog post in English. Since Naturalis is an international institute with many colleagues who haven't quite mastered the finesses of the Dutch language and can't make too much sense of the automatic machine translation Google has to offer, I hope they will find the topics I share through this information security (#infosec) blog useful. So please, by all means, leave a comment, they're always greatly appreciated!

In this installment I'd like to draw some attention to the many advantages cloud storage, such as Google Drive has brought us. It ensures us safe access to important information across a myriad of on-line connected devices, such as notebooks, desktops, tablets and phones. And the best thing of all, since we can directly access the storage location, there's no need to copy files to portable drive media such as USB flash drives. Safety and confidentiality is greatly increased by using Google's Multi Factor Authentication (MFA) 2-step Verification and securing your device with a password, a PIN or other form of protection.

Over the last year there has been increased focus on the need for awareness with regard to the topic of the protection of sensitive private data. On January first of last year (2016), the The Dutch Data Protection Authority was installed as the Dutch Data Protection Act became effective. EU legislation governing the protection of privacy is being prepared and will become effective on May 6th of next year (2018).

In order to comply with stricter rules and serious legal enforcement (The DPA can issue fines of up to € 820,000.00) it would be prudent not to use any portable device to store sensitive data. This advice is not limited to portable drive media such as hard drives and flash drives, but really to any portable device including laptops, tablets and phones.

It's good to note, that Google Drive complies with recently adopted Privacy Shield Framework after the Court of Justice of the EU ruled the so-called Safe Harbor directive of the EC did not ensure a level of protection mandated by law. Also Google Drive as offered through your Naturalis Google account offers storage of up to 2PB (!) (1 petabyte = 1,000 terabyte or TB). So you probably won't run out of storage space any time soon.

Have a good weekend and be safe!

Robert van Geenen | Information Security Officer

Wednesday, December 21, 2016

Pas op voor Wangiri telefoon fraude

Wangiri fraude

Stel je voor, je wordt gebeld door een onbekend buitenlands nummer, je belt het nummer terug en plots krijg je een factuur van je telefoonmaatschappij met een torenhoog bedrag erop wat je moet betalen.

Hoe werkt het

Wangiri fraude wordt dit ook wel genoemd. Internationale groepen criminelen bellen naar je mobiel vanuit het buitenland. Je hebt geen idee wie je gebeld heeft en uit nieuwsgierigheid bel je terug. Wanneer je terugbelt krijg je of een bandje of kiestoon te horen, pas na een aantal seconde heb je door dat er niemand op gaat nemen en zo lopen de kosten op. Ook kan het zijn dat de wangiri fraudeurs piepjes nabootsen zodat je denkt dat je opgehangen hebt. In werkelijkheid hang je nog een lange tijd aan de lijn met een ver buitenland.


Volgens de Fraudehelpdesk is het aantal wangiri fraudeurs dit jaar flink gestegen.

Blokkeer het nummer!

Het is voor fraudeurs erg makkelijk is om met software naar honderdduizenden nummers te bellen. Deze nummers halen ze van internetsites en het kost ze niets. Voor degene die terugbelt rekenen ze de kosten van een servicenummer waarvan de kosten zelf kunnen worden bepaald.

Voor providers is het lastig om dit soort fraude helemaal te voorkomen. De fraudeurs gebruiken steeds weer nieuwe nummers en ze kunnen niet alle nummers blokkeren voor uitgaande gesprekken. Word je gebeld door zo’n buitenlands nummer bel dan je provider en geef het nummer door, zodat zij deze kunnen blokkeren. Daarnaast is het heel belangrijk dat je niet terugbelt, want alleen dan worden er kosten gemaakt.
Je kan er ook voor kiezen om zelf onbekende nummers te blokkeren op je telefoon. Hieronder geven we je de links voor de verschillende telefoons:

Robert van Geenen | Information Security Officer

Thursday, November 10, 2016

Google Security Checkup

Het leven van de Information Security Officer ging deze week over de Google Beveiligingscheck, de Google Security Checkup.

Deze is namelijk ontzettend makkelijk zelf uit te voeren en binnen een paar minuten gedaan. Je kan op een aantal onderdelen controleren, zoals:
  • Bekijken met welke apparaten er is ingelogd op je account
  • Een apparaat verwijderen uit je account
  • Beveiligingsmeldingen beheren
  • Controleren op verdachte activiteit

Om gelijk aan de slag te gaan met de beveiligingscheck, klik op deze link:

En als je dan tóch bezig bent, stel ook meteen je 2-step verification in. De meeste simpele en effectieve bescherming tegen o.a. phishing en besmetting door cryptolockers!

Bezoek ook de Information Security campagne op N=Info!

Mocht je nog andere vragen hebben dan mag je mij altijd een mailtje sturen, als je een security incident ziet kun je deze melden bij Support, zodat ik daar actie op kan ondernemen indien nodig.

Robert van Geenen | Information Security Officer

Friday, July 8, 2016

Ik ga op reis en neem mee...

Het leven van de Information Security Officer ging deze week over openbare WiFi netwerken, ook wel Public HotSpots genaamd.  Soms zijn ze gratis en soms moet je er voor betalen. O.a. de NS biedt het gratis aan in de trein. Het vakantie seizoen is aangebroken en veel mensen zullen onderweg en op de vakantie bestemming gebruik maken van de aangeboden publieke netwerken. De vertrouwelijkheid van je gegevens wordt niet altijd even goed beschermd op deze netwerken.

Het is bijvoorbeeld goed te weten, dat deze netwerken ook door criminelen kunnen worden gebruikt om vertrouwelijke gegevens te achterhalen. Je kunt daarom beter terughoudend zijn in het gebruik van deze netwerken om bijvoorbeeld financiële transacties op door te voeren. 

Veel onderzoeks- en onderwijsinstellingen, waaronder ook Naturalis bieden toegang tot EduRoam aan. EduRoam biedt beveiligde WiFi toegang aan tot internet. Wanneer je dit hebt ingesteld op je smartphone, zal je automatisch toegang krijgen tot internet, wanneer je in de buurt bent van een access point dat EduRoam aanbiedt, zoals ik onlangs zelf in de binnenstad van Leuven kon ervaren. 

Op de site van kun je nalezen hoe je veilig omgaat met publiek wifi op je smartphone en nog veel meer nuttige tips nalezen.

Ik wens iedereen alvast een veilige, fijne vakantie!

Bezoek ook de Information Security campagne op N=Info!

Mocht je nog andere vragen hebben dan mag je mij altijd een mailtje sturen, als je een security incident ziet kun je deze melden bij Support, zodat ik daar actie op kan ondernemen indien nodig.

Robert van Geenen | Information Security Officer