You receive spam by SMS (or via email) in Belgium, you can report it online to the authorities!

A while ago I posted an article stating that there was no way to report SMS spam online in Belgium. Guess what, I was wrong!

First, I was wondering if it was really illegal to send unsollicited commercial message by SMS in Belgium. I found this really nice flyer from the federal public service of economy (http://economie.fgov.be/fr/binaries/spamming_brochure_fr_tcm326-31741.pdf) explaining that the global definition of spam applies also to SMS or chat systems.

In the flyer, there was a link to a page to report such kind of behaviour to the authorities. The document being a bit old (2005), the link was outdated but our friend Google found me the new one: https://pointdecontact.belgique.be/meldpunt/en/welcome

On this official website, you can report SMS Spam (or other similar illegal activities) using the « New complain » button and the  « SPAM from unidentified party » type of report.

I’m not sure it will be quite efficient to stop rapidly the Spam SMS from coming (most smartphone allow you to block senders for a while) but it will be the start of it. And if more and more people stat to report such behaviour, it will likely have an impact.

Notice you can also report spam or harassement coming from outside the country.

The scope is quite clear from the 1st page:

« Are you the victim of misleading practices, fraud or swindle? Or have your rights as a consumer or enterprise not been respected?
Then choose the scenario that matches your problem and follow the various steps to report your problem to the competent services.
You will always receive a reply in which we will try to provide an answer to your questions.
The competent services will analyse your report and may carry out an investigation. They do not take any action in your individual dispute, nor do they provide any information concerning the investigation. For your individual problem, we exclusively refer to the reply that will be sent to you »

Now you know what to do.

With the US judge ruling against Google, will GDPR force European companies to leave the cloud?

You may have heard that the US federal Judge Thomas Rueter has ruled against Google in their refusal to seize personal emails of one of their customer to the FBI based on the fact that these data were stored in an European Data Center.

While in 2016, in a case against Microsoft, a federal judge ruled that US investigators could not force the company to hand over emails stored on a server in Europe (Dublin in that specific case).

Of course, there is much more at stake here than just access to one customer’s email. There is billions of dollars at stake here. Most companies and individuals in Europe are moving their data to the cloud. The biggest cloud services suppliers in the world are American based companies (Amazon, IBM, Google and Microsoft representing together around 50% of the market) and a large number of European companies are outsourcing their services to these vendors. However, the GDPR (the European General Data Protection Regulation, see also Wikipedia for an overview) requires a strong protection of our personal data (including our emails). As US and EU aren’t totally aligned on this matter, most European companies requires their cloud providers to store and process their data in European Data Centers in order to guarantee the European regulation will be enforced.

And now, this new ruling might jeopardize all that (or at least be the start of it). If the sole fact of having an American based company as a supplier can allow US to bypass the GDPR, would European companies still be allowed to use them to store personal data? Would we see European companies and individuals leaving Gmail, Google apps, AWS, Outlook and other related US based services for European based and owned companies? It would be a big mess… and maybe a huge opportunity for some European challengers.

TO BE CONTINUED…

 

 

Will IoT kill us someday?

herzschrittmacher_auf_roentgenbildWhen you’re working in the security industry, being paranoid is kind of natural (or is it the other way around?). So, when you see how easy people, processes and technologies can be hacked, you become rapidly suspicious of anything. We all know bad things can happen and most of the time we try to mitigate the risks (without even thinking too much about it). Business as usual, so to speak. However, while I have a good idea of the risks our future is bringing to us (what makes me even less worried about my business’ future), it seems that most people don’t imagine how much danger Internet will bring to them. So here are some clues.

The new buzzword that has a lot of attention in the media lately is probably IoT: The Internet of things. According to the media, it’s IoT who allowed hackers to put websites like Amazon and Netflix on their knee for a few hours on October 21st. But that’s a mistake. Although IoT has led to some specific new technologies like Bluetooth 4.1 or ZigBee to accommodate the low consumption and the low cost requirement necessary to embed technologies in nearly all objects, it is probably a mistake to see IoT like something new or something different. As Bruce Schneier said recently in front of the US congress, we should not see this has objects with computers in it (and an Internet connection) but rather see it as computer that do things. A Tesla is a computer with wheels (and when you see how Tesla manage its updates and is manufacturing process, it is closer to the Software industry than to the car industry way of working), a smartphone is a computer with a microphone and a 4G connection, a connected fridge is a computer with an extra cooling system, and so on.

Bottom line, these connected objects are all computers and we must treat them like it. So, like for all computers when it comes to managing security, we should think about patch management, access control, hardening, change management, release management, network segregation, encryption, key management, user awareness and training and all these processes and best practices. Unfortunately, the issue is that most connected object manufacturers didn’t spend enough time and money in designing secure objects, easily upgradable, with strong and secure communication protocols. Consequently, the future is now… and we are not ready for it.

But what is our future? Let’s get a glimpse at it. In the tenth episode of the second season of “Homeland”, Nicholas Brody help terrorists to kill a political figure by giving them his pacemaker serial number, allowing them to hack it and induce a heart attack.

In another TV show, “Blacklist”, a computer genius triggers remotely the airbag of a car while driving, causing the car to crash and the death of its driver.

Is this Science-Fiction? Unfortunately, not anymore! Exploits on « smart » cars become more and more frequent. More recently, a British and a Belgian researcher have devised a wireless wounding attack on pacemakers (1). While the latter exploit need specific and rather costly hardware (3 to 4.000€), we are just one step away of having a ZigBee or BT 4.2 interface. Do you wanna kill someone with your smartphone? Don’t worry, you won’t have to wait too long.

At the same time, as other device with less deadly capabilities are spreading over the world, they provide a potential army of unsecure devices that can be used for Distributed Deny of Service attacks, like it was seen recently, but, why not, to perform parallel tasking, helping to brute force passwords, crack cryptographic keys or hide communication sources by bouncing thousand of times on these little soldiers that we provide to these hackers. Nice isn’t it? We purchase the devices that will be used against us in the near future. To be honest, for most people, including for a lot of security specialist, it is not easy to make the difference between a secure IP camera and an insecure one, simply because we don’t have time to test everything and there is no useful and relevant certification for that. So think about the number of « computers » you have at home: Your internet router, you tablet, your PC or your Mac, your smartphones, your videosurveillance camera, your printer, your TV box, your Bluray player, your « smart » TV, your alarm, your new « connected » fridge, your smart thermostat, the PSP of your kids, the IP doorbell and so on… Think about it, in your home alone, you may have more than 10 little future soldiers for the next hacker’s army. Android, iOS or IP cameras, they nearly all have exploitable vulnerabilities.

So, we have an army and we have soon legion of potential targets for the new kind of attack: DoL attacks (Denial of Life). Imagine ransomware targetting your pacemaker, large scale attack on cars to cause traffic jams or worse, new hitmans (version 3.0) changing the medication of patients in hospital, overdosing people. Just watch any episode of « Person of Interest », they were just a few inches away from the actual reality… and we are getting there.

It sounds crazy, isn’t it? As bruce Scheneier said, Internet is not that fun anymore. It’s not a game anymore. Things are getting serious and we should act accordingly. Not only at government level but also in industries and in the civilian world. We should ask our suppliers, our manufacturers to secure their devices, to make them safe AND easy to control.

To be continued…

For more details…

 

Ooops, they did it again! Was my password compromised, again?

Your probably read that 68 648 009 dropbox accounts have been recently compromised. In the past years, companies like Linkedin, Adobe, Tumblr, Fling or MySpace were hacked and it is likely that your credentials were stolen by hackers if you had an account on one of these sites. It’s even possible that your credentials (Name, email and passwords) have been published on the web.

If you don’t remember if you were one of the victims of any of these breach, there is a very useful website that allows you to check if your email address can be found in one of these leaked list of credentials: haveibeenpwned.com.

You just need to enter your email address and press enter. Then, you’ll know.

But, as you don’t always use the same password on all the sites you use and as you change them quite often, you’re probably safe!

Google (also) knows what you said last summer

After, Google knows what you did last summer, this summer, we will give you a little hint to discover (and it migh be creepy) all the things you said to your androïd phone or to your Google search (sometimes just by hitting the wrong button or by saying « OK Google »).

Yes, Googles likes to keep everything and also to share it with you (in case you would like to remeber all those stuff). You just have to go to My Activity on Google (https://myactivity.google.com/myactivity) to have te complete list of things you said to your phone (search this, call Bob, launch this application) and all the things that were heard by your microphone at the same time.

Privacy? At least now you know (a bit more about the cost of using free tools).

By the way, some hackers are using this function to hack your phone by including sounds in YouTube videos that will trigger the voice recognition function without being perceived as a command by a human. If you found something stange in the list, you’ll know.

You’ve been notified!

OK Google, close this page!

La séduction comme outil de hacking

Quel est le point commun entre James Bond et le premier hacker venu?

On peut en trouver quelques-uns mais le plus évident, c’est leur objectif commun: collecter de l’information! Car, bien qu’on semble parfois l’oublier, l’objectif premier d’un espion n’est pas de séduire toute la gente féminine et de tuer tous les mâles alpha armés qu’il rencontre mais bien de faire du renseignement. Et si les espions utilisent de plus en plus les services des hackers pour arriver à leurs fins, les hackers utilisent de plus en plus les techniques les plus anciennes des espions: la manipulation, l’ingénierie sociale, le chantage.

Kevin Mitnick, un ancien Hacker « repenti » après avoir fait quelques années de prison pour délit informatique, a d’ailleurs consacré quelques livres à la plus grande faiblesse des systèmes informatiques: l’humain. Il en a d’ailleurs fait son fond de commerce.

Ces techniques utilisées par les espions tout comme les terroristes (Le Manuel d’AL Quaeda trouvé à Manchester, dont vous pouvez trouver une traduction sur le site du US Department of Justice, mentionne aussi des techniques d’espionnage utilisant les êtres humains (HUMINT – Human Intelligence).

En soit, rien de nouveau sur le soleil. Bien que ces techniques soient utilisés depuis la nuit des temps, la plupart des responsables sécurité sous-évaluent constamment le risque. On peut imaginer que cela est dû au profil parfois plus technologiques de certains RSSI (ou CISO) ou à l’impression qu’ils ne peuvent pas y faire grand chose, à part coller des posters, faire des petites séances d’information et compartimenter l’information. Trop souvent on confond sécurité informatique et sécurité de l’information. N’oublions pas que l’information est ce que l’on cherche à protéger, ou du moins, celle qui a de la valeur. Les systèmes informatiques, bien que de plus en plus présents dans nos vies, n’ont pas l’apanage de l’information. Que ce soit sur papier, dans nos conversations ou dans nos têtes, l’information est insaisissable et donc, de facto, difficile à contenir et à protéger. De plus, l’information est généralement destinée, in fine, à être utilisée par un ou plusieurs êtres humains. L’élément humain est donc indissociable de la protection de l’information.

Mais je m’éloigne de mon sujet: La séduction comme outil de hacking. D’abord, pourquoi est-ce que je viens avec ce sujet particulièrement? Hier je lisais un Tweet parlant de SexyCyborg, une jeune « hackeuse » (ou du moins, elle prétend s’y intéresser) chinoise qui a imprimé des chaussures 3D lui permettant de cacher son matériel de hacking. Sur sa page Imgur, elle dit ceci: « So I got to thinking- if I had to do penetration testing on a corporate facility, how would I do it? Social engineering for one- I’m a natural honeypot » (Ma traduction: Je me suis mise à penser: si je dois faire des tests de pénétration dans une entreprise, comment vais-je faire? De l’ingénierie sociale pour commencer – je suis un pot-de-miel [Honeypot] naturel).

Pour bien comprendre, je reprend une photo de cette jeune personne qui n’hésite pas à mettre son physique en avant:

SexyCyborg

Elle ajoute ceci juste après: « I think there’s a reasonable chance that a guy might invite me back to their office after a few drinks in the neighborhood? » (Ma traduction: Je pense qu’il y a une probabilité raisonnable qu’un type m’invite à son bureau après avoir bu quelques verre [avec lui] dans les environs).

Sans juger de l’attirance de son physique ni de ses tenues, la psychologie sociale a plutôt tendance à lui donner raison. Si voulez manipuler quelqu’un, il est préférable d’être séduisant. Et si ce quelqu’un est un homme hétérosexuel (ce qui est souvent le cas dans l’IT), être une jolie femme aide grandement (qui s’en serait douté?). Avoir une poitrine opulente et mise en valeur, encore plus (vraiment?). Quelques minutes de discussions dans une atmosphère intime, un peu d’alcool et un décolleté plongeant pourraient donc bien venir à bout de vos systèmes de protection les plus coûteux.

En plus des sciences psychologiques, l’histoire de l’humanité et particulièrement de l’espionnage, nous rappelle combien la séduction est un outil fort utile et souvent fort efficace, pour obtenir des informations. Mata Hari n’a pas marqué son temps pour rien et plus récemment, l’affaire d’espionnage impliquant Anna Vasil’yevna Chapman, nous a montré que même à notre ère du tout digital, le charme féminin restait une arme de premier choix. Bien sûr, la même chose est vraie pour les hommes qui peuvent aussi utiliser leurs charmes. En hacking comme en espionnage, il n’y a pas plus de sexisme que d’inhibition: tout ce qui fonctionne est bon à prendre. Tout est une question de coût et de rentabilité.

Et si vous pensez que la tâche ne peut être si facile, demandez-vous s’il est vraiment compliqué de trouver une photos d’un des responsables de vos systèmes informatiques sur Linkedin ou n’importe quel autre réseau social. Une fois cela fait, est-il difficile de se poster près de la sortie de vos bureaux et de suivre cette personne, identifiable par sa photo (et éventuellement par son badge que la plupart des gens oublient d’enlever quand ils sortent de l’entreprise), jusqu’à un bar, son train, sa salle de sport, son domicile, ou l’endroit où il rencontre sa maîtresse. D’ailleurs, vu les statistiques dévoilées dans le récent hack du site Ashley Madisson, on ne peux que se demander si l’éventuelle présence d’un membre de votre personnel dans la liste des utilisateurs (vous pouvez vérifier sur Trustify, à vos risques et péril) ne pourrait pas aussi être utilisé comme moyen de chantage pour obtenir des faveurs. D’ailleurs, il n’est probablement même plus nécessaire de suivre vos employés depuis l’entreprise, utiliser les réseaux sociaux est plus rapide et moins dangereux pour les rencontrer et les séduire (et en apprendre plus à leur sujet).

Ce n’est pas sans raison que les personnes qui sont titulaires d’une accréditation sécurité auprès d’un gouvernement sont invités à ne pas le mentionner (histoire de ne pas se mettre une cible sur le dos) et d’éviter d’avoir des affaires extraconjugales pour diminuer son exposition à des tentatives de chantage.

Tout cela amène bien sûr plusieurs questions: La vie amoureuse des employés devient-elle potentiellement un problème de sécurité pour l’entreprise? Et de là, où le droit à la vie privée s’arrête quand cette même vie privée devient une menace claire pour la sécurité de l’entreprise? La proportionnalité de la réponse n’est jamais facile à trouver et la gestion de la sécurité sera toujours bien plus un problème humain qu’un problème technologique, ne pensez-vous pas?

Pour terminer, quelques petites suggestions de lecture (si vous ne les connaissiez pas déjà):

  • « Psychologie de la manipulation et de la soumission » de Nicolas Guéguen (2014)
  • « 100 petites expériences de psychologie de séduction : Pour mieux comprendre tous nos comportements amoureux » de Nicolas Guéguen (2007)
  • « Influence et manipulation : Comprendre et maîtriser les mécanismes et les techniques de persuasion » de Robert Cialdini (2004)

 

Des commentaires désobligeants dans le fichier client: une atteinte à la vie privée

En France, la CNIL (la Commission nationale informatique et libertés) vient d’être saisie par une cliente de la société Boulanger (Vente d’appareils électroménager et multimédia) qui, ayant demandé à consulté sa fiche client après une altercation avec une personne du service après-vente, à constaté la présence d’un commentaire déplaisant à son encontre.

La CNIL a donc demandé l’accès à la base de donnée client et a trouvé 5828 commentaires désobligeant (rien que ça – il y a peut-être aussi un problème d’attitude et de valeurs chez Boulanger) à l’encontre de ses clients. La société Boulanger à désormais trois mois pour effacer ces commentaires. Ce n’est pas la présence d’un champ libre pour mettre des commentaires qui est mise en cause mais la nature désobligeant du commentaire.

Voici une donnée privée qui n’est pas systématiquement considérée mais qui peut être bien moins rare qu’on ne veut bien le penser.

 

L’article du monde sur l’affaire: http://www.lemonde.fr/societe/article/2015/07/25/chez-boulanger-la-revanche-de-la-grosse-connasse_4698101_3224.html