Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties

De Amerikaanse ruimtevaartorganisatie NASA neemt maatregelen nadat voor de tweede keer in een jaar tijd een laptop met gevoelige gegevens van medewerkers is gestolen. Data op alle laptops met dergelijke informatie moet nog deze maand volledig worden versleuteld.

Eind vorige maand werd een laptop waarop privégegevens van een onbekend aantal NASA-medewerkers waren opgeslagen, gestolen, zo heeft de NASA eerder deze week bekendgemaakt. Hoewel de laptop met een wachtwoord was beveiligd, waren de gegevens onversleuteld opgeslagen. Het zou gaan om de gegevens van een 'groot aantal' NASA-medewerkers en contractors, personeel dat op contractbasis wordt ingehuurd.

Na de diefstal heeft de NASA aangekondigd de opslagschijven van alle laptops met privégegevens en andere gevoelige informatie nog voor 21 november volledig te gaan versleutelen. Een maand later moeten alle laptops, dus ook die waarop minder gevoelige data staat, zijn versleuteld, meldt Infoworld. Daarnaast krijgen getroffen medewerkers een verzekeringspolis die schade door eventuele identiteitsfraude moet vergoeden.

Het is niet de eerste keer dat NASA persoonlijke gegevens van medewerkers kwijtraakt: in maart werd een onversleutelde laptop met andere gevoelige gegevens van NASA-medewerkers gestolen. Daarbij ging het onder meer om sofinummers, telefoonnummers, geboortedata en andere privé-informatie. Die diefstal leidde al tot kritiek op de beperkte informatiebeveiliging bij de NASA. Het is onduidelijk waarom de NASA zo lang heeft gewacht met het implementeren van versleuteling.

Reacties (60)

Reactiefilter:-160057+143+27+31
Moderatie-faq Wijzig weergave
Tja, er zijn inderdaad prima oplossingen zoals TrueCrypt. Echter, dat is pas de halve oplossing. Het niet laten rondslingeren van USB sticks bijvoorbeeld hoort bij de rest van de oplossing.

Vaak wordt er binnen een bedrijf aan 1 of andere vorm van versleuteling gedaan. Gebruikers hebben op een gegeven moment geen zin om een lang raar wachtwoord in te typen en gebruiken liever een generieke inlognaam. Dit moet goed worden gedocumenteerd.

Een ander probleem is de gebruiker die vanaf een laptop met TrueCrypt, of Linux versleuteling allerlei zaken kopieert naar cloud, eigen laptop, telefoon, sd kaartje in laptop enzovoort. Ook hier gaat het mis.

Het instellen van versleuteling is dus slechts het begin. Daarnaast moet er worden vastgelegd hoe die informatie vervolgens gedeeld moet worden en wie de verantwoordelijkheid heeft als dit niet op een correcte manier wordt gedaan.
Veel hangt in dit geval inderdaad af van de gebruiker, iets dat met goede afspraken in principe wel afgevangen kan worden. Gebruikers die niet met een "lang raar wachtwoord" willen werken hebben wat dat aangaat een lesje prioritering nodig want veiligheid van bedrijfsdata moet natuurlijk altijd boven "gemak" komen.
Zo heb ik bij een organisatie gewerkt die laptops standaard had beveiligd met Safeguard en via policies was alleen het gebruik van een bepaald type encrypted usb-sticks mogelijk (door de organisatie geleverd). Daarmee vang je toch wel een groot deel van de problemen af.
En als laatste: laat de gebruiker een document ondertekenen waarbij verklaard wordt de laptop niet voor privé-gebruik in te mogen zetten want dat is vragen om problemen (door oa. door jou genoemde redenen).
Gebruikers die niet met een "lang raar wachtwoord" willen werken hebben wat dat aangaat een lesje prioritering nodig want veiligheid van bedrijfsdata moet natuurlijk altijd boven "gemak" komen.
Daar gaat het dus fout! Beveiliging die gemak ondergeschikt maakt wordt omzeild en is dus inherent onveilig.
Een 'lang raar wachtwoord' wordt vergeten of makkelijk verkeerd ingevoerd (helemaal wanneer het alleen als sterretjes op het scherm verschijnt). Een 'lang raar wachtwoord' vraagt er om om opgeschreven te worden, of maakt de ICT-servicedesk gek met verzoeken om een nieuw wachtwoord (omdat het oude vergeten is) of om een geblokkeerd wachtwoord vrij te geven (te vaak verkeerd ingevoerd).
Misschien dat je er in een omgeving met een hoog ICT/ tweaker gehalte mee weg kunt komen om gemak ondergeschikt te maken. In een normale werkomgeving moet, MOET, MOET het gemak van de gebruiker voorop staan wil beveiliging effectief zijn.

Ik werk in een organisatie waar ik niet alleen bij de PC in moet loggen, maar ook bij de meeste systemen die ik gebruik.
Wanneer ik hier bij een willekeurig bureau de lade opentrek is de kans erg groot dat daar een briefje met wachtwoorden ligt. Natuurlijk is dat tegen de regels. Maar dat is de enige manier waarop een groot deel van mijn collega’s kan werken zonder dat permanent de ICT-servicedesk wordt verstop met verzoeken voor nieuwe wachtwoorden.
Er wordt al jaren gesproken over single sign-on, maar het enige dat daar tot nu toe uitgekomen is, is dat ik niet meer in mijn e-mailprogramma hoef in te loggen.
Mooi betoog en ik kan op zich je ervaring delen voor wat betreft gemakkelijke gebruikers, maar wat ik daarbij ook gemerkt heb is dat het beheer er net zo makkelijk over denkt en er dus op die manier NOOIT prioriteit aan gegeven zal worden (totdat de shit de fan raakt en dan is het al vaak "mosterd na de maaltijd").

Het idee is de gebruiker er verantwoordelijk voor te maken, het gaat in veel gevallen om "werk" dat dreigt verloren te gaan en zelfs degene met 20 postits onder z'n toetsenbord heeft een hekel aan dingen dubbel doen.
Daarnaast: heb je ook ervaring met audits die organisaties hun afdelingen opleggen om juist op dit soort gedrag aan te kunnen spreken?
Truus de administratrice met haar briefje onder je toetsenbord hoeft niet meteen naar de security officer doorgestuurd te worden, maar de beveiliger die datzelfde doet is duidelijk niet helemaal uitgelegd wat veiligheid nou precies inhoudt en dat weegt in dat geval wel wat zwaarder.

Als laatste oplossing zijn er altijd nog dingen als Keypass waar de gebruiker al z'n wachtwoorden netjes kan beheren en toch maar max. 3 passwords hoeft te "onthouden".

Wat ik uit jouw post lees (en uit eigen ervaring heb meegemaakt) is dat het als voldongen feit wordt gezien dat het gros van de gebruikers hier niet aan wil/kan, maar met zo'n denkwijze veranderd er natuurlijk nooit iets!
Cybersecurity is belangrijker dan ooit, daar moeten medewerkers zich van bewust zijn en daar zijn "wij" als ICT'ers mede-verantwoordelijk voor!!
Het staat buiten kijf dat een beveiliger die zijn wachtwoord op een post-it onder zijn toetsenbord heeft geplakt meteen door zijn collega's naar buiten geëscorteerd mag worden, omdat hij geen idee heeft wat zijn taak inhoudt.

ICT-ers moeten niet alleen de'doorsnee medewerkers van een bedrijf bewust maken van het belang van beveiliging. Ze moeten vooral niet denken dat het probleem opgelost is wanneer ze de 20 beschikbare systemen met verschillende wachtwoorden hebben beveiligd.

Beveiliging werkt pas wanneer het ook voor Truus van de administratie eenvoudig is zonder spiekbriefje.
foto's van collega's?
Adres waar hij naar toe verhuist is?

Nee joh - dat is geen geheime informatie.

Kennelijk is er echter HEEL VEEL van dit soort informatie nu buit gemaakt bij N(A)SA.

Dit is daily business in Nederland - die Yanks vinden het heel wat dat dat nu ook bij hen een keer gebeurt kennelijk.
Een sofinummer, geboortedatum en een adres is alles dat je in de VS nodig hebt om iemands identiteit te stelen. Dan kun je op die gestolen identiteit enorme schulden maken en die persoon diep in de ellende brengen.

Daarom zijn personeelsgegevens in de VS zo gewild bij criminelen.

In Nederland zou het vooral een imagoprobleem van de betreffende organisatie zijn, omdat de mogelijke gevolgen veel beperkter zijn. (In Nederland moet je je voor de meeste geldzaken kunnen legitimeren met een door de overheid uitgegeven legitimatiebewijs. In de VS hebben de meeste mensen alleen een makkelijk na te maken rijbewijs.)
Een andere vraag is waarom deze informatie op die laptop stond?

Als het echt gevoelige informatie is, kan het dan niet beter centraal staan in sharepoint (of andere document systeem), waar ze de rechten op de documenten kunnen controleren en waarop ze kunnen auditen wie welk document opvraagt / aanpast?

Als ze remote toegankelijk moeten zijn, bestaat er altijd nog vpn.
foto's van feestjes. wat adressen van collega's.

Sommigen hebben gewoon iets meer van dat soort data op hun laptop staan.
Kennelijk is zo'n soort laptop dit keer gestolen.

Dus in plaats van dat FSB enorme moeite moet doen voor die informatie, hebben ze nu een schat aan informatie waarmee ze vanalles kunnen verifieren gaan op een efficiente manier.

Die wordt natuurlijk verkocht, dus het hele midden oosten en Perzie heeft dat ook binnen een dag.
Ik vraag me bij dit soort organisaties toch altijd af.... Waarom moet het eerst fout gaan voor men maatregelen neemt? Ik bedoel... kosten technisch lijkt het me geen probleem. Het budget zal wel gigantisch zijn

[Reactie gewijzigd door Xenophoben op 15 november 2012 11:24]

Geld speelt geen rol bij NASA? Mwah. Er wordt enorm bezuinigd op het ruimteprogramma van de VS/NASA. Ik ben het wel met je eens dat het weer eerst fout moet gaan voor men maatregelen neemt, maar dat is heel menselijk.

Een gevaarlijke kruising wordt ook pas veiliger gemaakt nadat er een paar zwaargewonden of doden zijn te betreuren. Daarvoor bewijst het uitblijven van ongelukken dat de kruising helemaal niet zo onveilig is 8)7 Beveiliging blijkt op dezelfde manier veilig te zijn totdat het gekraakt wordt. Mensen passen hun wachtwoord het liefst nooit aan en gebruiken alleen een langer wachtwoord met hoofdletters, bijzondere tekens en cijfers omdat het anders niet geaccepteerd wordt.
Ik vraag me bij dit soort organisaties toch altijd af.... Waarom moet het eerst fout gaan voor men maatregelen neemt? Ik bedoel... kosten technisch lijkt het me geen probleem. Het budget zal wel gigantisch zijn
het budget is gigantisch, voor ruimtevaart, niet voor IT, dat is een groot verschil. En zelfs binnen 'IT' als verzamelnaam heb je enorme budgetaire verschillen. De mensen die boordcomputers ontwikkelen voor satelieten en ruimteschepen hebben een budget wat vele malen groter is dan wat de IT club krijgt voor dit soort oplossingen.

Je hebt best grote kans dat de IT club van NASA dit al een aantal keer heeft aangegeven, maar dat er niets mee gedaan is vanwege krimpende budgetten.
mensen die een boordcomputer ontwikkelen , werken niet voor nasa, maar op hun zelf.
nasa is niks meer dan de sleutel tussen de aarde en de ruimte. en ter ondersteuning van.
de satteliet is van de wettenschappers, en nasa is de taxi centrale
Het moet ook niet veel kosten. Bitlocker zit standaard in windows 7.
Bij ons op kantoor zijn alle laptops met bitlocker versleuteld
Het moet ook niet veel kosten. Bitlocker zit standaard in windows 7.
Bij ons op kantoor zijn alle laptops met bitlocker versleuteld
Veel organisaties, zeker de hele grote - en NASA is groot - zijn nog niet eens begonnen met migreren van XP naar Windows 7.

Daarnaast willen ze ook zaken als bitlocker heel goed kunnen testen, en is het tevens mogelijk data Bitlocker niet voldoet aan de eisen die gesteld worden aan encryptie. (volgens mij heeft de NSA bitlocker alleen goedgekeurd voor de laagste classificaties)
Dan is het altijd nog beter dan geen encryptie lijkt me?
Truecrypt is anders gewoon een gratis alternatief. En nog cross-platform ook.
Alleen in windows 7 ultimate, meeste bedrijven draaien op professional.
Ook Windows 7 Enterprise ondersteunt Bitlocker.

[Reactie gewijzigd door xistor op 15 november 2012 12:15]

Maar bitlocker is niet goed genoeg natuurlijk.

Toen ik een keer vergeten was de usb stick erin te steken, toen vroeg bitlocker om de unlockkey. Helaas tikte ik dat foutief in. ik maakte een fout in de 46e digit,
verwisselde 46e met 47e digit. Dat wist bitlocker me te melden, zonder dat de usb stick erin zat :)

Het soort van dief dat specifiek uit is op dit soort laptops met communicatie, vaak skype en msn met andere personeelsleden - waarbij de communicatie niet belangrijk is maar met name te weten WIE communiceert met WIE.

Dat soort dieven knallen dwars door bitlocker heen, want die heeft in de implementatie gewoon bewuste bugs die effectief het simpel maken om te kraken.
Toen ik een keer vergeten was de usb stick erin te steken, toen vroeg bitlocker om de unlockkey. Helaas tikte ik dat foutief in. ik maakte een fout in de 46e digit,
verwisselde 46e met 47e digit. Dat wist bitlocker me te melden, zonder dat de usb stick erin zat :)
Ik heb HEEL veel moeite om dit bovenstaande stukje tekst te geloven. Mijn laptop is encrypted met BitLocker, ik heb zonet mijn recovery key geëxporteerd en de procedure die je hierboven beschreef uitgevoerd: krijg een foutmelding dat de recovery key incorrect is...
Het soort van dief dat specifiek uit is op dit soort laptops met communicatie, vaak skype en msn met andere personeelsleden - waarbij de communicatie niet belangrijk is maar met name te weten WIE communiceert met WIE.

Dat soort dieven knallen dwars door bitlocker heen, want die heeft in de implementatie gewoon bewuste bugs die effectief het simpel maken om te kraken.
"Knallen dwars door BL heen": welke bewuste bugs die praktisch exploiteerbaar zijn?

Het enige "praktische onveilige" van BitLocker is dat met de huidige vooruitgang in rekenkracht 128-bits snel niet meer afdoende gaat zijn...

Maw en met alle respect komt je post nu een beetje over als FUD. Ik hoor graag je argumenten of weerwoord hierop...
Het budget van NASA is juist enorm afgekapt vergeleken met vroeger. Maar inderdaad, het is niet iets dat nou veel zou hoeven kosten denk ik ...

Wel netjes dat de getroffen medewerkers een verzekeringspolis krijgen. Maar goed, dat doet NASA natuurlijk ook gewoon om hunzelf uit het vuur te houden.
Het ligt eraan wat je precies onder 'kosten' verstaat. Een product hoeft in termen van geld niet veel te 'kosten' (bijvoorbeeld TrueCrypt is zelfs gratis) maar het uitwerken van een projectplan 'kost' een hoop tijd, vooral voor organisaties van deze omvang. Daarnaast wil je dit natuurlijk uitvoerig testen, wat ook weer tijd 'kost'. En vervolgens wil je dit 'in het groot' gaan uitrollen, wat niet alleen tijd van het uitrolteam 'kost' maar ook nog eens van de gebruikers zelf. En er moet een team klaarstaan om ondersteuning te bieden voor de laptops waarop er iets misgegaan is, wat ook weer tijd kost.

En zo kan ik me voorstellen dat er nog wel meer 'kosten' verbonden zijn aan een dergelijk traject, al dan niet meteen kosten in de zin van dollars.

Neemt overigens niet weg dat het me verbaast dat ze niet al jaren geleden begonnen zijn met encrypten van alle laptops.

[Reactie gewijzigd door tERRiON op 15 november 2012 13:10]

Kernprobleem is dat gewone laptops, wat voor soort publieke encryptie je ook gebruikt. Men hackt daar dwars doorheen natuurlijk.

Om een voorbeeld te geven. Zelfs als men de zaak niet digitaal weet te kraken,
dan zit in zo'n laptops RAM en de pagefile nog wel de decryptiesleutel natuurlijk.

Je moet wel zoveel keer die ram wissen voor het echt weg is.

Dan krijgen ze groot aantal bits kado bij truecrypt en bitlocker. Dus het effectieve kraken kan vrij snel door zeg een i7. Een supercomputer is echt niet nodig hoor.

Veilige implementaties en veilige laptops, dat is enorm prijzig.
Elk onderdeeltje is al snel 5000 dollar per stuk.

Dan heb je iets veiligs natuurlijk. Dat kan geen organisatie betalen voor de chitchatter op laptops en msn en skype, tussen de medewerkers, over wie het met wie doet en wie waar met vakantie gaat en waar welke medewerker woont.
Met full disk encryption heb je ook de pagefile(s) encrypted. E.e.a. is zo in te stellen dat bij de 'sleep mode' sleutels en overige gegevens uit RAM worden gewist.

http://www.truecrypt.org/docs/?s=hibernation-file
To prevent the issues described above, encrypt the system partition/drive (for information on how to do so, see the chapter System Encryption) and make sure that the hibernation file is located on one the partitions within the key scope of system encryption (which it typically is, by default), for example, on the partition where Windows is installed. When the computer hibernates, data will be encrypted on the fly before they are written to the hibernation file.
Om gegevens uit RAM te halen nadat de spanning eraf is, zul je wel snel moeten zijn; bijvoorbeeld door een 'cold boot attack' of bevriezing van de modules:

http://en.wikipedia.org/wiki/Cold_boot_attack
Precies dit. Bij mijn ex-werkgever (bedrijfje van toen nog 25 man) was alles altijd versleuteld en waren er stricte policies voor dit soort zaken.

Niet netjes van NASA.
Het is natuurlijk lastig voor zo'n groot bedrijf om echt alles waterdicht te maken, er is altijd wel een 'laksere' medewerker die het werk van 100 voorzichtige mensen compenseert.
Ik vraag me af waarom NASA dit zo in het nieuws brengt. Mochten de laptops met gevoelige informatie in opdracht gestolen zijn kan je dit misschien beter in het geheim doorvoeren. Nu bestaat de kans dat er geprobeerd wordt binnenkort nog een aantal laptops te stelen.
Ik vraag me af waarom NASA dit zo in het nieuws brengt. Mochten de laptops met gevoelige informatie in opdracht gestolen zijn kan je dit misschien beter in het geheim doorvoeren. Nu bestaat de kans dat er geprobeerd wordt binnenkort nog een aantal laptops te stelen.
Misschien is dat precies wat ze willen. Een false flag operatie.
Het gaat hier niet om vertrouwelijke informatie die kwijt is geraakt van het type hoe dit of dat systeem in elkaar zit.

We praten hier over informatie over collega's. Wie wanneer jarig is etc.

Daar is natuurlijk nooit budget voor en zal er ook niet zijn.

Dat beveiligen is ondoenlijk.
False flag gaat misschien wat ver, er zal best een echte laptop zonder complot gestolen zijn. Maar de timing van dit persbericht kan toch politiek gemotiveerd zijn.

"Gefeliciteerd meneer Obama, met uw overwinning. Zeg, over die budgetten.."
NASA is voor een Amerikaanse overheidsinstelling verdacht open over zaken. Stamt waarschijnlijk uit dat ze in de basis wetenschappers zijn.
Ik heb bende NASA figuren op mijn chat. Gros claimt dit en dat te weten over GPS en trajectories.

Als je ze dan vraagt stuk voor stuk hoe je de snelheid van een auto bepaalt mbv GPS, dan gaan ze hakkelen en weten ze 't niet.

Ik gok ongeveer 90% van de medewerkers van NASA zijn geen wetenschappers maar andere overheidsdiensten. Dit op grond van mijn waarneming.
Zo gek is dat niet. Ik denk dat je de gemiddelde zuster/broeder, uroloog of oogarts ook niets moet vragen over het verwijderen van een hersentumor. Toch zullen ze er allemaal van overtuigd zijn dat ze er meer vanaf weten dan de onwetende burger waar ze jou voor aan zien.
Het is natuurlijk lastig voor zo'n groot bedrijf om echt alles waterdicht te maken, er is altijd wel een 'laksere' medewerker die het werk van 100 voorzichtige mensen compenseert.
Het is de ultieme balans zoeken tussen veiligheid en werkbaarheid. Echter is geen full-disk encryptie toepassen op laptops een teken van nalatigheid. Wanneer een veiligheidsincident volledig buiten de macht ligt van een medewerker (een laptop kan altijd gestolen worden, ze zijn immers mobiel en onder gevaar van eigen leven is het gewoon verstandig om zoiets te overhandigen) dan moeten er wel voldoende veiligheidsmaatregelen aanwezig zijn om toegang tot gegevens op de laptop onpraktisch of onmogelijk te maken voor de zichtbare toekomst.

[Reactie gewijzigd door The Zep Man op 15 november 2012 11:32]

Waterdicht?
En vervolgens heb je dan die mensen die het password op een briefje bij de laptop doen :+
Waarom hebben ze dat besluit niet genomen nadat de eerste laptop was gestolen? Je mag toch denken dat ze bij NASA ook wel weten dat een: "laat je laptop nooit onbeheerd achter"-policy nog in geen één orgnisatie heeft gewerkt...
Als ik jouw laptop-tas op je schoot zie liggen in de trein en ik pak die en ren meteen de trein uit op het allerlaatste moment. Hoe kan jij er dan iets aan doen?

De eerste seconden ben je gewoon half verlamd van de schrik. Als ik het goed time is de deur dicht en sta jij zonder laptop in de trein.

Dit gebeurd regelt in landen met metro's die herrie maken als de deur dicht gaat en als je door de deur gaat die die tijd niet wordt verlengt.
Je weet hoe dat werkt in grote organisaties:
- Er wordt een laptop gestolen met gevoelige info.
- Er wordt een crisisoverleg belegd, waarin wordt besloten dat een projectgroep zich moet buigen hoe groot het risico is.
- Na een paar keer twee-wekelijks overleg is duidelijk dat het risico groot is en dat ook het risico op herhaling groot is.
- In het maandelijkse directieoverleg (of afdelingshoofdenoverleg) wordt het resultaat besproken en wordt besloten dat een projectgroep zich moet buigen over wat er tegen het risico is te doen.
- Na een paar keer twee-wekelijks overleg is duidelijk dat het risico het beste is te beperken door laptops met gevoelige informatie te versleutelen. Ze stellen zelfs een methode voor.
- In het maandelijkse directieoverleg (of afdelingshoofdenoverleg) wordt het resultaat besproken en wordt besloten dat het voorstel wordt overgenomen. De ICT-afdeling krijgt opdracht om dat te implementeren.
- De ICT-afdeling constateert dat de voorgestelde methode soft- en hardware nodig heeft die generaties jonger is dan wat er binnen het bedrijf gebruikt wordt,
- Etc., etc., etc.

Tegen de tijd dat er iets gaat gebeuren, ben je zo een paar maanden verder. (Zelfs wanneer de hele procedure iets minder overdreven verloopt dan ik hierboven weergeef.)
Hoe wil je een laptop met wat foto's van collega's beveiligen tegen de FSB of Iran?

Dat lukt je niet onder de $100k.
Eens, tenzij het risico dermate is dat er meteen aan de noodrem getrokken wordt en er à la minuut actie op ondernomen dient te worden.
Bovengeschreven scenario ken ik maar al te goed, en dan duurt het inderdaad vrij lang. Ik ken echter ook een situatie waarbij vanuit crisisberaad een paar stappen in dit hele proces wel werden overgeslagen, prioriteit urgent meekreeg en wel snel opgelost kon worden.
Blijkbaar vond NASA de urgentie dus niet dusdanig dat ze snel aan de bel moesten trekken.
Het maken van en truecrypt container is toch niet zo moeilijk en bovendien gratis, kan je tenslotte nog zelf bepalen wat voor encryptie methode je gaat gebruiken, het volledig encrypteren van de harde schijf heb ik hiermee nog niet geprobeerd maar met mijn ubunu machine welke wel een gecrypteerde schijf heeft duurt het opstarten niet noemenswaardig langer, een beetje ict medewerker vind het toch ook leuk om wat extra te doen bij nasa blijkbaar niet?
een beetje ict medewerker vind het toch ook leuk om wat extra te doen bij nasa blijkbaar niet
De ICT-medewerker bij NASA zal, net als alle ICT-medewerkers bij dergelijke overheidsorganisaties, al voor 50 tot 60 uur werk in een 40 uurige werkweek moeten proppen en zit niet te wachten op extra werk. Helemaal niet wanneer hij daar duizenden laptops met verschillende configuraties voor moet bewerken en daarbij de medewerking van duizenden medewerkers nodig heeft. (Ik betwijfel of het maken van een truecrypt container volledig geautomatiseerd via een netwerkverbinding kan verlopen, zonder gebruikersinput.)
truecrypt is toch nutteloos als beveiliging tegen de FSB of Iran.

Een normale crimineel pleegt daar geen diefstal - risico gepakt te worden veel te groot.

Ze willen de foto's hebben van feestjes en bijeenkomsten zodat ze een N(A)SA smoelenboek kunnen bouwen. Een H&R laptop met wat adressen erop is natuurlijk een enorm gewild item.
Dan hebben ze de beveiliging slecht geregeld. Tegenwoordig is het eenvoudig om encrypte HD's te gebruiken i.c.m. persoonsgebonden certificaten op een chipje/pasje. Kleine moeite met groot plezier.
Maar werkt dat ook op een zes jaar oude laptop zonder paslezer, die nog op XP draait?

NASA heeft dan een high-tech imago, de administratie is haast legendarisch ouderwets, verouderd en bureaucratisch.
waarom een pas lezer, en niet gewoon een usb stickje met een user cert, en er zijn nog veel meer mogelijkheden...
Ze hebben al laptops dus zo ver lopen ze ook weer niet achter ;).
Ik hoop dat ze ook willen investeren in SSDs. Een 2.5" HDD met full-disk encryption is werkelijk niet vooruit te branden..
Klein probleem: full disk encryption op een SSD is enkel effectief als het onmiddellijk na installatie van het OS wordt toegepast. Als er reeds gevoelige, onbeveiligde data op staat is de kans zeer groot dat die informatie op verschillende plaatsen aanwezig is op de schijf door o.a. wear leveling en trim. Die files zijn natuurlijk niet meer zichtbaar omdat dat vlagje op nul staat, maar de informatie is er fysisch nog steeds.

Meer info:
http://www.truecrypt.org/docs/?s=trim-operation
http://www.truecrypt.org/docs/?s=wear-leveling

[Reactie gewijzigd door TheBlackbird op 15 november 2012 13:05]

Bij dit soort dieven helpt truecrypt niet.

Truecrypt werkt prima tegen de gemiddelde crimineel. Het werkt niet als het in handen valt van bijvoorbeeld de FSB of Iran.
Zo? En waar baseer je je dan op?

TrueCrypt is compleet opensource, dus makkelijk te controleren wat er allemaal gebeurt en het is al vaak aangehaald dat in de code geen achterdeurtje is...

Het enige nadeel van TrueCrypt is dat het niet centraal te beheren is... BitLocker wel...
Dat hangt helemaal van je encryptie en CPU af. In de Intel Core i5 en hoger zit hardware matige AES en/decryptie. En daarmee is het snelheidsverlies (indien de encryptie software hardware matige en/decryptie ondersteund!) bijna te verwaarlozen.
Daarnaast, mocht je geen hardwarematige en/decryptie hebben, dan is de schijf niet het probleem maar de CPU. Dus zal een SSD ook niet veel helpen.
Zo matig is die crypto niet hoor.
Tja, wanneer het kalf verdronken is dempt men de put. Dit moet natuurlijk vooraf al ingebakken worden. Niet alleen op hardwaregebied maar door de hele organisatie.
Ohja, test vooral vooraf de pakketten goed. Er zijn wat issues met een bekend pakket dat niet goed doet wat het zou moeten doen. Meer wil ik er nu niet over kwijt.
Nee het is geen FUD (sowieso, kijk even naar positie). Om eerlijk te zijn heb de reactie 4x herschreven alvorens te posten. Maar mocht je serieus bezig zijn om data te encrypten kijk dan even met een editor na of het goed is gebeurd. Weet je toch al iets. En hou de securitybulletins over dit onderwerp komende weken even in de gaten.
Die supercomputers en die Harvard-mensen hebben net zoveel te maken met hoe de personeelsadministratie georganiseerd is, als dat ze te maken hebben met hoe de WC's schoongemaakt worden.
(Voor beiden geldt dat het wel moet gebeuren, maar het liefst zonder dat ze er door lastig gevallen worden en zo goedkoop mogelijk.)

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Microsoft Windows 10 Pro EN

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True