Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 60, views: 16.808 •

De Amerikaanse ruimtevaartorganisatie NASA neemt maatregelen nadat voor de tweede keer in een jaar tijd een laptop met gevoelige gegevens van medewerkers is gestolen. Data op alle laptops met dergelijke informatie moet nog deze maand volledig worden versleuteld.

Eind vorige maand werd een laptop waarop privégegevens van een onbekend aantal NASA-medewerkers waren opgeslagen, gestolen, zo heeft de NASA eerder deze week bekendgemaakt. Hoewel de laptop met een wachtwoord was beveiligd, waren de gegevens onversleuteld opgeslagen. Het zou gaan om de gegevens van een 'groot aantal' NASA-medewerkers en contractors, personeel dat op contractbasis wordt ingehuurd.

Na de diefstal heeft de NASA aangekondigd de opslagschijven van alle laptops met privégegevens en andere gevoelige informatie nog voor 21 november volledig te gaan versleutelen. Een maand later moeten alle laptops, dus ook die waarop minder gevoelige data staat, zijn versleuteld, meldt Infoworld. Daarnaast krijgen getroffen medewerkers een verzekeringspolis die schade door eventuele identiteitsfraude moet vergoeden.

Het is niet de eerste keer dat NASA persoonlijke gegevens van medewerkers kwijtraakt: in maart werd een onversleutelde laptop met andere gevoelige gegevens van NASA-medewerkers gestolen. Daarbij ging het onder meer om sofinummers, telefoonnummers, geboortedata en andere privé-informatie. Die diefstal leidde al tot kritiek op de beperkte informatiebeveiliging bij de NASA. Het is onduidelijk waarom de NASA zo lang heeft gewacht met het implementeren van versleuteling.

Reacties (60)

Ik vraag me bij dit soort organisaties toch altijd af.... Waarom moet het eerst fout gaan voor men maatregelen neemt? Ik bedoel... kosten technisch lijkt het me geen probleem. Het budget zal wel gigantisch zijn

[Reactie gewijzigd door Xenophoben op 15 november 2012 11:24]

Geld speelt geen rol bij NASA? Mwah. Er wordt enorm bezuinigd op het ruimteprogramma van de VS/NASA. Ik ben het wel met je eens dat het weer eerst fout moet gaan voor men maatregelen neemt, maar dat is heel menselijk.

Een gevaarlijke kruising wordt ook pas veiliger gemaakt nadat er een paar zwaargewonden of doden zijn te betreuren. Daarvoor bewijst het uitblijven van ongelukken dat de kruising helemaal niet zo onveilig is 8)7 Beveiliging blijkt op dezelfde manier veilig te zijn totdat het gekraakt wordt. Mensen passen hun wachtwoord het liefst nooit aan en gebruiken alleen een langer wachtwoord met hoofdletters, bijzondere tekens en cijfers omdat het anders niet geaccepteerd wordt.
Precies dit. Bij mijn ex-werkgever (bedrijfje van toen nog 25 man) was alles altijd versleuteld en waren er stricte policies voor dit soort zaken.

Niet netjes van NASA.
Ik vraag me bij dit soort organisaties toch altijd af.... Waarom moet het eerst fout gaan voor men maatregelen neemt? Ik bedoel... kosten technisch lijkt het me geen probleem. Het budget zal wel gigantisch zijn
het budget is gigantisch, voor ruimtevaart, niet voor IT, dat is een groot verschil. En zelfs binnen 'IT' als verzamelnaam heb je enorme budgetaire verschillen. De mensen die boordcomputers ontwikkelen voor satelieten en ruimteschepen hebben een budget wat vele malen groter is dan wat de IT club krijgt voor dit soort oplossingen.

Je hebt best grote kans dat de IT club van NASA dit al een aantal keer heeft aangegeven, maar dat er niets mee gedaan is vanwege krimpende budgetten.
Het moet ook niet veel kosten. Bitlocker zit standaard in windows 7.
Bij ons op kantoor zijn alle laptops met bitlocker versleuteld
Het moet ook niet veel kosten. Bitlocker zit standaard in windows 7.
Bij ons op kantoor zijn alle laptops met bitlocker versleuteld
Veel organisaties, zeker de hele grote - en NASA is groot - zijn nog niet eens begonnen met migreren van XP naar Windows 7.

Daarnaast willen ze ook zaken als bitlocker heel goed kunnen testen, en is het tevens mogelijk data Bitlocker niet voldoet aan de eisen die gesteld worden aan encryptie. (volgens mij heeft de NSA bitlocker alleen goedgekeurd voor de laagste classificaties)
Dan is het altijd nog beter dan geen encryptie lijkt me?
Truecrypt is anders gewoon een gratis alternatief. En nog cross-platform ook.
Alleen in windows 7 ultimate, meeste bedrijven draaien op professional.
Ook Windows 7 Enterprise ondersteunt Bitlocker.

[Reactie gewijzigd door xistor op 15 november 2012 12:15]

Maar bitlocker is niet goed genoeg natuurlijk.

Toen ik een keer vergeten was de usb stick erin te steken, toen vroeg bitlocker om de unlockkey. Helaas tikte ik dat foutief in. ik maakte een fout in de 46e digit,
verwisselde 46e met 47e digit. Dat wist bitlocker me te melden, zonder dat de usb stick erin zat :)

Het soort van dief dat specifiek uit is op dit soort laptops met communicatie, vaak skype en msn met andere personeelsleden - waarbij de communicatie niet belangrijk is maar met name te weten WIE communiceert met WIE.

Dat soort dieven knallen dwars door bitlocker heen, want die heeft in de implementatie gewoon bewuste bugs die effectief het simpel maken om te kraken.
Toen ik een keer vergeten was de usb stick erin te steken, toen vroeg bitlocker om de unlockkey. Helaas tikte ik dat foutief in. ik maakte een fout in de 46e digit,
verwisselde 46e met 47e digit. Dat wist bitlocker me te melden, zonder dat de usb stick erin zat :)
Ik heb HEEL veel moeite om dit bovenstaande stukje tekst te geloven. Mijn laptop is encrypted met BitLocker, ik heb zonet mijn recovery key geëxporteerd en de procedure die je hierboven beschreef uitgevoerd: krijg een foutmelding dat de recovery key incorrect is...
Het soort van dief dat specifiek uit is op dit soort laptops met communicatie, vaak skype en msn met andere personeelsleden - waarbij de communicatie niet belangrijk is maar met name te weten WIE communiceert met WIE.

Dat soort dieven knallen dwars door bitlocker heen, want die heeft in de implementatie gewoon bewuste bugs die effectief het simpel maken om te kraken.
"Knallen dwars door BL heen": welke bewuste bugs die praktisch exploiteerbaar zijn?

Het enige "praktische onveilige" van BitLocker is dat met de huidige vooruitgang in rekenkracht 128-bits snel niet meer afdoende gaat zijn...

Maw en met alle respect komt je post nu een beetje over als FUD. Ik hoor graag je argumenten of weerwoord hierop...
mensen die een boordcomputer ontwikkelen , werken niet voor nasa, maar op hun zelf.
nasa is niks meer dan de sleutel tussen de aarde en de ruimte. en ter ondersteuning van.
de satteliet is van de wettenschappers, en nasa is de taxi centrale
Het budget van NASA is juist enorm afgekapt vergeleken met vroeger. Maar inderdaad, het is niet iets dat nou veel zou hoeven kosten denk ik ...

Wel netjes dat de getroffen medewerkers een verzekeringspolis krijgen. Maar goed, dat doet NASA natuurlijk ook gewoon om hunzelf uit het vuur te houden.
Het ligt eraan wat je precies onder 'kosten' verstaat. Een product hoeft in termen van geld niet veel te 'kosten' (bijvoorbeeld TrueCrypt is zelfs gratis) maar het uitwerken van een projectplan 'kost' een hoop tijd, vooral voor organisaties van deze omvang. Daarnaast wil je dit natuurlijk uitvoerig testen, wat ook weer tijd 'kost'. En vervolgens wil je dit 'in het groot' gaan uitrollen, wat niet alleen tijd van het uitrolteam 'kost' maar ook nog eens van de gebruikers zelf. En er moet een team klaarstaan om ondersteuning te bieden voor de laptops waarop er iets misgegaan is, wat ook weer tijd kost.

En zo kan ik me voorstellen dat er nog wel meer 'kosten' verbonden zijn aan een dergelijk traject, al dan niet meteen kosten in de zin van dollars.

Neemt overigens niet weg dat het me verbaast dat ze niet al jaren geleden begonnen zijn met encrypten van alle laptops.

[Reactie gewijzigd door tERRiON op 15 november 2012 13:10]

Kernprobleem is dat gewone laptops, wat voor soort publieke encryptie je ook gebruikt. Men hackt daar dwars doorheen natuurlijk.

Om een voorbeeld te geven. Zelfs als men de zaak niet digitaal weet te kraken,
dan zit in zo'n laptops RAM en de pagefile nog wel de decryptiesleutel natuurlijk.

Je moet wel zoveel keer die ram wissen voor het echt weg is.

Dan krijgen ze groot aantal bits kado bij truecrypt en bitlocker. Dus het effectieve kraken kan vrij snel door zeg een i7. Een supercomputer is echt niet nodig hoor.

Veilige implementaties en veilige laptops, dat is enorm prijzig.
Elk onderdeeltje is al snel 5000 dollar per stuk.

Dan heb je iets veiligs natuurlijk. Dat kan geen organisatie betalen voor de chitchatter op laptops en msn en skype, tussen de medewerkers, over wie het met wie doet en wie waar met vakantie gaat en waar welke medewerker woont.
Met full disk encryption heb je ook de pagefile(s) encrypted. E.e.a. is zo in te stellen dat bij de 'sleep mode' sleutels en overige gegevens uit RAM worden gewist.

http://www.truecrypt.org/docs/?s=hibernation-file
To prevent the issues described above, encrypt the system partition/drive (for information on how to do so, see the chapter System Encryption) and make sure that the hibernation file is located on one the partitions within the key scope of system encryption (which it typically is, by default), for example, on the partition where Windows is installed. When the computer hibernates, data will be encrypted on the fly before they are written to the hibernation file.
Om gegevens uit RAM te halen nadat de spanning eraf is, zul je wel snel moeten zijn; bijvoorbeeld door een 'cold boot attack' of bevriezing van de modules:

http://en.wikipedia.org/wiki/Cold_boot_attack
Het is natuurlijk lastig voor zo'n groot bedrijf om echt alles waterdicht te maken, er is altijd wel een 'laksere' medewerker die het werk van 100 voorzichtige mensen compenseert.
Het is natuurlijk lastig voor zo'n groot bedrijf om echt alles waterdicht te maken, er is altijd wel een 'laksere' medewerker die het werk van 100 voorzichtige mensen compenseert.
Het is de ultieme balans zoeken tussen veiligheid en werkbaarheid. Echter is geen full-disk encryptie toepassen op laptops een teken van nalatigheid. Wanneer een veiligheidsincident volledig buiten de macht ligt van een medewerker (een laptop kan altijd gestolen worden, ze zijn immers mobiel en onder gevaar van eigen leven is het gewoon verstandig om zoiets te overhandigen) dan moeten er wel voldoende veiligheidsmaatregelen aanwezig zijn om toegang tot gegevens op de laptop onpraktisch of onmogelijk te maken voor de zichtbare toekomst.

[Reactie gewijzigd door The Zep Man op 15 november 2012 11:32]

Ik vraag me af waarom NASA dit zo in het nieuws brengt. Mochten de laptops met gevoelige informatie in opdracht gestolen zijn kan je dit misschien beter in het geheim doorvoeren. Nu bestaat de kans dat er geprobeerd wordt binnenkort nog een aantal laptops te stelen.
Ik vraag me af waarom NASA dit zo in het nieuws brengt. Mochten de laptops met gevoelige informatie in opdracht gestolen zijn kan je dit misschien beter in het geheim doorvoeren. Nu bestaat de kans dat er geprobeerd wordt binnenkort nog een aantal laptops te stelen.
Misschien is dat precies wat ze willen. Een false flag operatie.
Het gaat hier niet om vertrouwelijke informatie die kwijt is geraakt van het type hoe dit of dat systeem in elkaar zit.

We praten hier over informatie over collega's. Wie wanneer jarig is etc.

Daar is natuurlijk nooit budget voor en zal er ook niet zijn.

Dat beveiligen is ondoenlijk.
False flag gaat misschien wat ver, er zal best een echte laptop zonder complot gestolen zijn. Maar de timing van dit persbericht kan toch politiek gemotiveerd zijn.

"Gefeliciteerd meneer Obama, met uw overwinning. Zeg, over die budgetten.."
NASA is voor een Amerikaanse overheidsinstelling verdacht open over zaken. Stamt waarschijnlijk uit dat ze in de basis wetenschappers zijn.
Ik heb bende NASA figuren op mijn chat. Gros claimt dit en dat te weten over GPS en trajectories.

Als je ze dan vraagt stuk voor stuk hoe je de snelheid van een auto bepaalt mbv GPS, dan gaan ze hakkelen en weten ze 't niet.

Ik gok ongeveer 90% van de medewerkers van NASA zijn geen wetenschappers maar andere overheidsdiensten. Dit op grond van mijn waarneming.
Zo gek is dat niet. Ik denk dat je de gemiddelde zuster/broeder, uroloog of oogarts ook niets moet vragen over het verwijderen van een hersentumor. Toch zullen ze er allemaal van overtuigd zijn dat ze er meer vanaf weten dan de onwetende burger waar ze jou voor aan zien.
Waterdicht?
En vervolgens heb je dan die mensen die het password op een briefje bij de laptop doen :+
Tja, wanneer het kalf verdronken is dempt men de put. Dit moet natuurlijk vooraf al ingebakken worden. Niet alleen op hardwaregebied maar door de hele organisatie.
Ohja, test vooral vooraf de pakketten goed. Er zijn wat issues met een bekend pakket dat niet goed doet wat het zou moeten doen. Meer wil ik er nu niet over kwijt.
Nee het is geen FUD (sowieso, kijk even naar positie). Om eerlijk te zijn heb de reactie 4x herschreven alvorens te posten. Maar mocht je serieus bezig zijn om data te encrypten kijk dan even met een editor na of het goed is gebeurd. Weet je toch al iets. En hou de securitybulletins over dit onderwerp komende weken even in de gaten.
Dan hebben ze de beveiliging slecht geregeld. Tegenwoordig is het eenvoudig om encrypte HD's te gebruiken i.c.m. persoonsgebonden certificaten op een chipje/pasje. Kleine moeite met groot plezier.
Maar werkt dat ook op een zes jaar oude laptop zonder paslezer, die nog op XP draait?

NASA heeft dan een high-tech imago, de administratie is haast legendarisch ouderwets, verouderd en bureaucratisch.
waarom een pas lezer, en niet gewoon een usb stickje met een user cert, en er zijn nog veel meer mogelijkheden...
Ze hebben al laptops dus zo ver lopen ze ook weer niet achter ;).
Ik hoop dat ze ook willen investeren in SSDs. Een 2.5" HDD met full-disk encryption is werkelijk niet vooruit te branden..
Dat hangt helemaal van je encryptie en CPU af. In de Intel Core i5 en hoger zit hardware matige AES en/decryptie. En daarmee is het snelheidsverlies (indien de encryptie software hardware matige en/decryptie ondersteund!) bijna te verwaarlozen.
Daarnaast, mocht je geen hardwarematige en/decryptie hebben, dan is de schijf niet het probleem maar de CPU. Dus zal een SSD ook niet veel helpen.
Zo matig is die crypto niet hoor.
Klein probleem: full disk encryption op een SSD is enkel effectief als het onmiddellijk na installatie van het OS wordt toegepast. Als er reeds gevoelige, onbeveiligde data op staat is de kans zeer groot dat die informatie op verschillende plaatsen aanwezig is op de schijf door o.a. wear leveling en trim. Die files zijn natuurlijk niet meer zichtbaar omdat dat vlagje op nul staat, maar de informatie is er fysisch nog steeds.

Meer info:
http://www.truecrypt.org/docs/?s=trim-operation
http://www.truecrypt.org/docs/?s=wear-leveling

[Reactie gewijzigd door TheBlackbird op 15 november 2012 13:05]

Bij dit soort dieven helpt truecrypt niet.

Truecrypt werkt prima tegen de gemiddelde crimineel. Het werkt niet als het in handen valt van bijvoorbeeld de FSB of Iran.
Zo? En waar baseer je je dan op?

TrueCrypt is compleet opensource, dus makkelijk te controleren wat er allemaal gebeurt en het is al vaak aangehaald dat in de code geen achterdeurtje is...

Het enige nadeel van TrueCrypt is dat het niet centraal te beheren is... BitLocker wel...
Waarom hebben ze dat besluit niet genomen nadat de eerste laptop was gestolen? Je mag toch denken dat ze bij NASA ook wel weten dat een: "laat je laptop nooit onbeheerd achter"-policy nog in geen één orgnisatie heeft gewerkt...
Als ik jouw laptop-tas op je schoot zie liggen in de trein en ik pak die en ren meteen de trein uit op het allerlaatste moment. Hoe kan jij er dan iets aan doen?

De eerste seconden ben je gewoon half verlamd van de schrik. Als ik het goed time is de deur dicht en sta jij zonder laptop in de trein.

Dit gebeurd regelt in landen met metro's die herrie maken als de deur dicht gaat en als je door de deur gaat die die tijd niet wordt verlengt.
Je weet hoe dat werkt in grote organisaties:
- Er wordt een laptop gestolen met gevoelige info.
- Er wordt een crisisoverleg belegd, waarin wordt besloten dat een projectgroep zich moet buigen hoe groot het risico is.
- Na een paar keer twee-wekelijks overleg is duidelijk dat het risico groot is en dat ook het risico op herhaling groot is.
- In het maandelijkse directieoverleg (of afdelingshoofdenoverleg) wordt het resultaat besproken en wordt besloten dat een projectgroep zich moet buigen over wat er tegen het risico is te doen.
- Na een paar keer twee-wekelijks overleg is duidelijk dat het risico het beste is te beperken door laptops met gevoelige informatie te versleutelen. Ze stellen zelfs een methode voor.
- In het maandelijkse directieoverleg (of afdelingshoofdenoverleg) wordt het resultaat besproken en wordt besloten dat het voorstel wordt overgenomen. De ICT-afdeling krijgt opdracht om dat te implementeren.
- De ICT-afdeling constateert dat de voorgestelde methode soft- en hardware nodig heeft die generaties jonger is dan wat er binnen het bedrijf gebruikt wordt,
- Etc., etc., etc.

Tegen de tijd dat er iets gaat gebeuren, ben je zo een paar maanden verder. (Zelfs wanneer de hele procedure iets minder overdreven verloopt dan ik hierboven weergeef.)
Hoe wil je een laptop met wat foto's van collega's beveiligen tegen de FSB of Iran?

Dat lukt je niet onder de $100k.
Eens, tenzij het risico dermate is dat er meteen aan de noodrem getrokken wordt en er à la minuut actie op ondernomen dient te worden.
Bovengeschreven scenario ken ik maar al te goed, en dan duurt het inderdaad vrij lang. Ik ken echter ook een situatie waarbij vanuit crisisberaad een paar stappen in dit hele proces wel werden overgeslagen, prioriteit urgent meekreeg en wel snel opgelost kon worden.
Blijkbaar vond NASA de urgentie dus niet dusdanig dat ze snel aan de bel moesten trekken.
Een andere vraag is waarom deze informatie op die laptop stond?

Als het echt gevoelige informatie is, kan het dan niet beter centraal staan in sharepoint (of andere document systeem), waar ze de rechten op de documenten kunnen controleren en waarop ze kunnen auditen wie welk document opvraagt / aanpast?

Als ze remote toegankelijk moeten zijn, bestaat er altijd nog vpn.
foto's van feestjes. wat adressen van collega's.

Sommigen hebben gewoon iets meer van dat soort data op hun laptop staan.
Kennelijk is zo'n soort laptop dit keer gestolen.

Dus in plaats van dat FSB enorme moeite moet doen voor die informatie, hebben ze nu een schat aan informatie waarmee ze vanalles kunnen verifieren gaan op een efficiente manier.

Die wordt natuurlijk verkocht, dus het hele midden oosten en Perzie heeft dat ook binnen een dag.
Die supercomputers en die Harvard-mensen hebben net zoveel te maken met hoe de personeelsadministratie georganiseerd is, als dat ze te maken hebben met hoe de WC's schoongemaakt worden.
(Voor beiden geldt dat het wel moet gebeuren, maar het liefst zonder dat ze er door lastig gevallen worden en zo goedkoop mogelijk.)
Het maken van en truecrypt container is toch niet zo moeilijk en bovendien gratis, kan je tenslotte nog zelf bepalen wat voor encryptie methode je gaat gebruiken, het volledig encrypteren van de harde schijf heb ik hiermee nog niet geprobeerd maar met mijn ubunu machine welke wel een gecrypteerde schijf heeft duurt het opstarten niet noemenswaardig langer, een beetje ict medewerker vind het toch ook leuk om wat extra te doen bij nasa blijkbaar niet?
een beetje ict medewerker vind het toch ook leuk om wat extra te doen bij nasa blijkbaar niet
De ICT-medewerker bij NASA zal, net als alle ICT-medewerkers bij dergelijke overheidsorganisaties, al voor 50 tot 60 uur werk in een 40 uurige werkweek moeten proppen en zit niet te wachten op extra werk. Helemaal niet wanneer hij daar duizenden laptops met verschillende configuraties voor moet bewerken en daarbij de medewerking van duizenden medewerkers nodig heeft. (Ik betwijfel of het maken van een truecrypt container volledig geautomatiseerd via een netwerkverbinding kan verlopen, zonder gebruikersinput.)
truecrypt is toch nutteloos als beveiliging tegen de FSB of Iran.

Een normale crimineel pleegt daar geen diefstal - risico gepakt te worden veel te groot.

Ze willen de foto's hebben van feestjes en bijeenkomsten zodat ze een N(A)SA smoelenboek kunnen bouwen. Een H&R laptop met wat adressen erop is natuurlijk een enorm gewild item.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013