Britse krant: smartphone voormalige Britse premier Truss was jaar lang gehackt

De smartphone van Liz Truss, de ex-premier van het Verenigd Koninkrijk zou van september 2021 tot en met september 2022 gehackt zijn geweest door Russische geheim agenten. Dat schrijft de Britse krant The Mail on Sunday. Truss was toen nog minister van Buitenlandse Zaken.

Volgens The Mail on Sunday is een groot aantal berichten in handen van Russische hackers gevallen. Daarin stond naar verluidt gevoelige informatie over de oorlog in Oekraïne die Truss had gedeeld met andere ministers van Buitenlandse Zaken. Volgens The Mail on Sunday bestonden de berichten ook uit "gedetailleerde discussies over wapenleveringen".

Er zouden ook privéberichten onderschept zijn die Liz Truss heeft verzonden naar Kwasi Kwarteng, de voormalige Britse minister van Financiën. Daarin zou onder andere kritiek op de voormalige Britse premier Boris Johnson zijn geuit. Volgens The Mail on Sunday bestond door deze berichten een verhoogd risico dat Liz Truss tijdens haar premierschap afgeperst kon worden.

De hacking is naar verluidt afgelopen zomer al ontdekt, toen Truss zich kandidaat had gesteld om de leider van de Britse Conservatieve partij te worden en op die manier eerste minister van het Verenigd Koninkrijk te worden. Haar voorganger, Boris Johnson, zou op de hoogte zijn gebracht van de hacking, maar besloot samen met zijn kabinetssecretaris om niet te communiceren over de zaak. De oppositie in het Britse parlement heeft een onafhankelijk onderzoek gevraagd om na te gaan of de berichtgeving van The Mail on Sunday daadwerkelijk klopt.

Door Jay Stout

Redacteur

30-10-2022 • 13:36

102

Reacties (102)

Sorteer op:

Weergave:

Wat zijn de opties van een gehackte phone, sms'jes mee lezen, emails mee lezen,
gesprekken mee luisteren maar kan je ook de microfoon activeren tijdens meetings ?
Hangt natuurlijk van de geïnstalleerde spyware af, technisch is alles mogelijk, maar de kans dat dat opvalt is wel aanzienlijk. Zei het door middel van het batterij niveau of door storing van de EMF straling op andere apparatuur. Het zou denk ik handiger zijn om geluidsopnames te maken lokaal op het apparaat zelf en die dan later te downloaden.
EMF straling op andere apparatuur? Bedoel je de 'boeb bloeps en bieps' die je vroeger hoorde over je speakers toen je gebeld werd op je 3310? Dat is toch geen ding meer? Ik heb het in ieder geval al jaren niet meer gehoord (sinds 3g?).
Digitale componenten fluctueren op miniscule schaal in het verbuik van elektriciteit waardoor de elektromagnetische straling dat dus ook doet. Er zijn meerdere toepassingen hiervoor, waaronder dus afluisteren door middel van de straling van een microfoon te analyseren, maar ook toetsaanslagen herkennen vIa het stopcontact en bekijken van cryptografische sleutels gedurende versleuteling in een CPU.
Apparatuur is er over het algemeen minder gevoelig voor nu, maar je kunt het nog steeds horen als je telefoon een lagere frequentie gebruikt. 4G klinkt alleen anders, meer meer een nerveuze zoem, dus valt daardoor ook minder op.
Met de luidkeelse de hele dag zendende telefoons valt dit een stuk minder op: een moderne telefoon is de hele tijd berichten aan het pollen, dus volgens mij valt dat niemand meer op.
Dat valt de gebruiker echt niet op. Dit soort belangrijke telefoons worden vast automatisch gescand.
Met een beetje chique software zou je zelfs het met WiFi verbonden netwerk op kunnen, en daar lekker huis houden.
Zouden die Russische hackers die berichten publiek kunnen maken?
Want ik ben wel heel benieuwd wat er achter de schermen speelt.

Rusland claimt dat de UK achter de Nordstream aanval zit, zou daar dan misschien iets over te lezen kunnen zijn in deze berichten?
(Zou een zeer interessante situatie zijn als dat zo is...)

En sinds de vijand die berichten al in handen heeft, zou het niet echt meer iets uit moeten maken dat die berichten publiek worden.
Volgens de mail on Sunday was het haar 'personal' phone. Ik hoop niet dat ze die gebruikte voor zakelijke doeleinden.
Het zou mij niets verbazen.
Onthoud dat onze Rutte tot voor kort ook nog een oude Nokia gebruikte...

Dus het lijkt mij echt niet onwaarschijnlijk dat bepaalde dingen ook via die privé telefoon zijn gegaan.
Die oude nokia was zijn werktelefoon, verschaft en beveiligd door de overheid.
Ze hebben er een pincode op ingesteld zeker. Die dingen zijn niet eens versleuteld, en een nieuwe smartphone wou de premier niet hebben.
Dat lost alsnog niets op wanneer men stug SMS blijft gebruiken, want dat is nooit goed beveiligd.
Natuurlijk lost dit wel wat op. Zo'n dumbphone is van afstand vele malen lastiger te hacken dan een smartphone.
Je hoeft zo'n oude telefoon niet te hacken om het draadloos berichtenverkeer van en naar die telefoon te manipuleren.
Ik mag hopen dat er om de zoveel tijd wel een proef plaats vind of er nog extra cell-towers zijn bijgekomen in Den Haag. Je moet je natuurlijk wel toegang verschaffen tot de berichten om ze te lezen of te manipuleren.
Maar hoe vind je die "celltowers" als ze maar heel klein zijn, met een zeer beperkte range tot maximaal 30 meter?
De Amerikaanse ambassade?
Dit hebben er nooit een geheim van gemaakt dat ze allerlei antennes en zender op hun dak gezet hebben om verkeer te onderscheppen.
En omdat het op 'Amerikaans grondgebied' staat kan de Nederlandse overheid daar niets tegen doen.
Niet alleen de Amerikanen. Ook de Russen, chinezen en Iraniers. Verder heb ik niet getest....
In het artikel staat expliciet dat dit het geval was, volgens The Mail:
Daarin stond naar verluidt gevoelige informatie over de oorlog in Oekraïne die Truss had gedeeld met andere ministers van Buitenlandse Zaken. Volgens The Mail on Sunday bestonden de berichten ook uit "gedetailleerde discussies over wapenleveringen".

Er zouden ook privéberichten onderschept zijn die Liz Truss richting Kwasi Kwarteng heeft verzonden, dat is de voormalige Britse minister van Financiën.
Dus, helaas. Weer een voorbeeld van de onverantwoorde manier waarop mensen op topposities omgaan met infosec.
Dus, helaas. Weer een voorbeeld van de onverantwoorde manier waarop mensen op topposities omgaan met infosec.
Waar concludeer je dat uit? Er staat nergens hoe de hack is gepleegd, en dus ook niet of Truss iets te verwijten is hierin.
Je kan Truss makelijk verwijten dat ze staatszaken via haar privé mobieltje heeft afgehandeld.
Ja en als ze het via haar zakelijke toestel deed was ze waarschijnlijk net als frau Merkel gehackt door de nsa.
Maar dan was het terecht niet haar schuld, maar die van de verantwoordelijke diensten.

Mevrouw hier heeft met haar 45 dagen wanbeleid een 150K salaris voor life veilig gesteld, daar mag je best wat van verwachten dan toch? Zoals gewoon een beetje fatsoenlijk omgaan met data.
Ze is of was politicus, geen ict miep.
Daarvoor lopen anderen rond.
Ja exact. Dus houd je aan de protocollen die andere hebben opgesteld voor jou en de rest van je collegas. Dan ligt het iig niet aan jou.
Dan zijn die protocollen fout.
Een goed protocol maakt het onmogelijk om vanaf te wijken, ook op het technisch gebied.
Ict is ondersteunend, nimmer leidend.
Als madame zegt spring, is het niet van ja maar, maar van hoe hoog?
Weet uw plek in de organisatie.
Ja nee eens hoor, wordt ook gek van al die regeltjes zoals wachtwoord iedere 90 dagen wijzigen, maar zolang het zo is heb je er maar gewoon mee te dealen. Wil je iets anders dan zijn daar ook weer kanalen voor he.

Je bent de prime minister. Als jij iets wil dan moet je het gewoon zeggen, dan gaat er wel wat geregeld worden. Niet eerst doen en dan achteraf miepen als het kompleet fout gaat.
Ik vind dat ze zelfs voor bestraft moet worden.
Het is wel heel simpel om te zeggen oops ons veiligheid is overboord gegooid en met dito problemen.
Je wordt gedownvote, maar het uitblijven van consequenties bij ongewenst gedrag is weldegelijk een probleem bij het bijsturen van dit gedrag. Een medewerker die het bedrijf schade berokkent door onjuiste omgang met gevoelige gegevens tegen de bedrijfsregels in zal zijn baan kwijtraken en mogelijk zelfs een boete opgelegd krijgen. Bij hoge politici is de potentiële maatschappelijke schade nog veel groter. Waarom lijken hier tot nu toe dan geen consequenties aan verbonden te worden? Op deze manier is er logisch geredeneerd geen reden om in de toekomst wél zorgvuldigheid boven gemak te verkiezen.
Er zit een verschil tussen ongewenst gedrag en strafbaar gedrag. Ik kan me als een hufter gedragen, maar daarmee is nog niet gezegd dat ik iets doe wat strafbaar is.
Zolang er geen consequenties zijn is het de facto toelaatbaar gedrag. Als dit gedrag onnodig risicovol is met ernstige maatschappelijke schade als potentieel gevolg, dan zou het niet toelaatbaar moeten zijn. Dat hoeft niet strafbaar te zijn, maar voorheen was er zoiets als politieke verantwoordelijkheid. Met de huidige partijdiscipline en strakke coalitie-afspraken is er een ernstig tekort aan die verantwoordelijkheid. Als het zuiverend vermogen binnen de politiek afwezig blijft is het geen slecht idee om het dan maar via het strafrecht te regelen. Ik zie echter liever dat dit soort zaken via vrijwillig aftreden of moties van wantrouwen worden afgehandeld.
Dus, helaas. Weer een voorbeeld van de onverantwoorde manier waarop mensen op topposities omgaan met infosec.
Waarom? Als Truss priveberichten uitwisseld met een collega hoeft dat toch niet meteen over kernwapens te gaan? Truss en Kwarteng zijn al vele jaren bevriend en ontmoeten elkeer met regelmaat.

"Er zouden ook privéberichten onderschept zijn die Liz Truss richting Kwasi Kwarteng heeft verzonden"
Alleen weet je niett of die berichten correct zijn dus daar heb je niks aan. Rusland is nou niet bepaald betrouwbaar gebleken. Wat het vooral aangeeft is hoe amateuristisch beveiliging geregeld is in Europa en het VK. Totaal niet bij de tijd...
Denk niet dat we claims van Rusland nog serieus kunnen nemen.
En als de Russen het openbaar maken? Wie zegt het dat dat dan werkelijk de berichten zijn en niet gemanipuleerde shit?

In een oorlog sneuvelt de waarheid helaas als eerste.
Als (en dat is een grote als) de sabotage van Nordstream is uitgevoerd door het VK was het een black op, en reken maar niet dat een minister daar dan op welke manier dan ook op traceerbare wijze over heeft gecommuniceerd.

[Reactie gewijzigd door PhWolf op 22 juli 2024 15:28]

Hopelijk heeft de Britse geheime dienst sinds de zomer er nog gebruik van kunnen maken door 'geheime' valse informatie via de telefoon te verspreiden zodat dit de betreffende hackers en aanverwante overheid op een verkeerd spoor bracht.

[Reactie gewijzigd door litebyte op 22 juli 2024 15:28]

Hopelijk heeft de Britse geheime dienst sinds de zomer er nog gebruik van kunnen maken door 'geheime' valse informatie via de telefoon te verspreiden zodat dit de betreffende hackers en aanverwante overheid op een verkeerd spoor bracht.
Als het professionele spionage is, dan mag je verwachten dat de informatie die men verkrijgt via andere wegen geverifieerd wordt voordat het voor waar wordt aangenomen.
Zeker, maar dat wil nog niet zeggen dat spionnen op het verkeerde spoor kunnen worden gebracht waarbij je buiten de telefoon ook je best doet om valse berichtgevingen te verspreiden. Het zal vast ook niet de enige telefoon zijn die gehacked is.
Als het professionele spionage is, dan mag je verwachten dat de informatie die men verkrijgt via andere wegen geverifieerd wordt voordat het voor waar wordt aangenomen.
Een ding dat sinds de oorlog in Oekraïne blijkt, is dat de Russen nergens professioneel in zijn behalve corruptie.

Was het nou 1x The Sims 3 of 3x The Sims 1?
Inderdaad. Englandspiel ;)

Mooi als dergelijke A1 informatie inderdaad misleidend blijkt.
Jammer dat dit bericht niet meer technische informatie verschaft.
Zou leuk zijn als een site als Tweakers (waar mogelijk) wat meer in gaat op welk type toestel het betreft, mogelijke scenario’s hoe dit heeft plaatsgevonden of wat achtergrond informatie van hoe dit in het verleden bij andere politici is gegaan.
Je vraagt om informatie die niet bekend gemaakt is, dus daar kan Tweakers niet veel over melden.
Ingaan op allerleid mogelijke scenario's is sowieso niet iets wat in een nieuwspost gebeurt, dat gebeurt doorgaans in achtergrondartikelen omdat dat veel meer uitzoekwerk vergt
Dat het niet bekend is gemaakt betekent niet dat het niet bekend is. Bij Rutte hebben we het ook afgeleid van een paar fotos voordat er wat over gezegd werd.
Tsja, het is ook een nieuwsbericht op basis van een tabloid die zelf erg voorzichtig is en niet bevestigd of dit echt gebeurd is. Dan zullen ze waarschijnlijk ook geen details hebben.
Simpel gevalletje van phising? Malware ala pegasus?
Zeer zorgelijk wie weet hoeveel mensen uit de politiek gehacked zijn en waarschijnlijk al lange tijd.
Is het daadwerkelijk de telefoon die gehackt is, of de infrastructuur er achter? Als hacker lijkt het mij interessanter om de tunnel(s) te hacken tussen telefoons en it systemen van de overheid.
Ieder politicus in ieder EU land hoort er eigenlijk van uit te gaan dat zijn/haar normale telefoon en computer en thuis-netwerk (met oa. de smart-tv) gehacked zijn.

Dat had tien jaar geleden al duidelijk moeten zijn. Vandaag de dag geldt dat ook voor top ambtenaren, politie en anderen.

bovendien is dit reeds jaren ook al het geval in de private sector.

U bent gehacked. Ga daar van uit.
Gebeurt een dergelijke hack in de fysieke telefoon of in een centrale of whatever als een soort "man in the middle" :?
Als ik de film "Enemy of the state" mag geloven is het iets van het laatste. :)
Hoe incompetent kun je zijn 8)7
In zou toch verwachten dat mensen in zo’n positie een super-beveiligd toestel gebruiken dat desnoods om de paar dagen gewiped/geherinstalleerd wordt.
Dat is de theorie, in de praktijk zie je dus dat mensen die regels gewoon naast zich neerleggen met een in hun ogen gerechtvaardigde slimme oplossing, want ondanks de regels moeten er ook dingen geregeld worden.

Grote voorbeelden hiervan de laatste jaren zijn bv. Mark Rutte met zijn bijzondere Nokia en even speciale SMS-berichtverkeer, maar ook een Hugo de Jonge die de beveiligde omgeving 'te moeilijk' vond en daarom privézaken doorstuurde via zijn eigen e-mail iirc. Trump die stug bleef tweeten vanaf een privé-iPhone was er eentje die het extreme bleef opzoeken wat mogelijk was.

Bij hogere posities lijkt dit extra hard te gaan omdat mensen bang zijn nee te moeten verkopen is mijn speculerende invulling.
Hillary Clinton maakte ook gebruik van een eigen email-server die bij haar thuis stond ipv het officiële systeem, toen ze Secretary of State was.

Als mensen bepaalde dingen structureel niet doen, kun je je overigens wel afvragen of je gewoon niet teveel aan het vragen bent van mensen en het systeem niet gebruiksvriendelijker moet zijn. Het is notoir lastig om fundamentele menselijke eigenschappen te veranderen. Het werkt dan meestal beter om het systeem aan te passen aan hoe mensen nu eenmaal zijn.
Als mensen bepaalde dingen structureel niet doen, kun je je overigens wel afvragen of je gewoon niet teveel aan het vragen bent van mensen en het systeem niet gebruiksvriendelijker moet zijn
Grotendeels mee eens. Het probleem zit imho er vooral in dat we voor hele basale zaken, die we eigenlijk op de automatische piloot doen, nu continu een authenticatie procedure moeten doen die allerlei hogere mentale functies probeert aan te spreken, terwijl we gevoelsmatig meer een deur van het slot halen.

Ik weet dat ik zeker niet de enige ben die aan de hand van de beweging die m'n hand boven de terminal maakt zijn pincode kan reconstrueren, terwijl diezelfde pincode zo uit het geheugen oplepelen veel meer moeite kost.

"It's not stupid if it works" en als het systeem "te moeilijk" is én er ook productie gedraaid moet worden, zal men creatief worden. Sommige mensen blijven stug Oktober2022!~ of een andere <tijd><non-alfanumerisch> combinatie gebruiken voor de wachtwoorden die om de zoveel tijd vervangen moeten worden, anderen vervangen hun inlog wachtwoord met een swipe van links naar rechts over het hele toetsenbord. Als het maar snel voorbij is lijkt de consensus. :Y)
Daarom zijn wachtwoorden die periodiek veranderd moeten worden ook zo idioot. Waartegen wil je je wapenen? Tegen misbruik van een wachtwoord door een buitenstaander, die dat wachtwoord heeft ontfutseld. Wat doen we? Periodiek verplicht je wachtwoord veranderen. Wat doen gebruikers? Een makkelijk raadbaar en voorspelbaar systeem verzinnen. Gevolg: misbruik van een wachtwoord wordt juist makkelijker.

Beter een moeilijk wachtwoord (wat dus ook minder goed te raden/ontfutselen is) dat nooit veranderd hoeft te worden, dan een makkelijk wachtwoord dat periodie wordt aangepast.

Maar goedbeschouwd zijn wachtwoorden uberhaupt niet meer veilig.
Ook daar ben ik helemaal mee eens, unieke wachtwoorden is de weg voorwaarts. Als ik zelf geen wachtwoord manager had ingezet was ik het spoor allang bijster geweest. Dat cyclische vervang beleid kost niet alleen onnodige resources, maar is bovenal schrijnend ineffectief.

Zelf ervaring met ISP's en Telco's en systemen van/rondom (semi-)overheden en gemeentes, maar berucht zijn bijv. banken: Veel legacy, een flinke technische schuld en achterstand waar ze dus ook flinke "rente" voor betalen om het allemaal draaiend 'in productie' te houden. De trend gaat geloof ik wel de goede kant op, zelfs KPN en Ziggo schijnen intern te vernieuwen, maar ik kwam een paar jaar geleden bij Telco's en ISP's intern nog enorm veel oude systemen en portals tegen. Vooral op de Billing en Order Delivery afdelingen is het soms alsof je terug in de tijd stapt.

Soms plakken ze er dan wel een leuke UI overheen voor als het te onhandig is geworden en sales/support het niet meer kunnen bijbenen, maar het bouwt verder op iets met een security protocol uit het jaar kruik en gratis bijbehorend 'vervang je wachtwoord na X dagen' beleid.

[Reactie gewijzigd door Vyo op 22 juli 2024 15:28]

Ook hier de verplichte verandering van wachtwoord om de drie maanden. Super irritant als het een veilig ww is met 2fa, dat óók verplicht is. Je vraagt er dan om dat met opvolg codes gewerkt wordt. Of het er veiliger van wordt betwijfel ik
En als je gaat verplichten dat wachtwoorden compleet anders moeten zijn, en je na wachtwoord123 niet wachtwoord124 mag kiezen, kan de gemiddelde persoon het al helemaal niet meer onthouden en gaan ze weer stickies op hun monitor plakken zodat iedereen die langsloop het weet :+
Dit herken ik wel. Ik werk projectgebonden voor een zeer grote overheidsorganisatie. We hebben projectbreed met de opdrachtgever de afspraak gemaakt om projectgebonden e-mails zowel naar elkaars mailaccounts bij de opdrachtgever als de mailaccounts bij onze werkgever te sturen. De reden is dat vrijwel iedereen slechts parttime voor dit project werkt en dat je uitsluitend in je mailbox bij deze overheidsorganisatie kunt komen door in de Citrix-omgeving in te loggen. Door allerlei veiligheidsmaatregelen is het niet mogelijk om de Citrix-omgeving de hele dag open te houden - de Citrix-sessie wordt na twee uur inactiviteit automatisch afgebroken. Even mail checken op je telefoon is er ook niet bij, omdat deze organisatie geen Outlook-toegang toestaat vanaf telefoons van opdrachtnemers.

Het resultaat hiervan is dat je vaak pas met een vertraging van een dag of meer ziet dat je mail hebt ontvangen op het mailaccount bij de opdrachtgever. Vandaar de welbewuste keuze om ook een CC te sturen naar het Outlook-account bij onze werkgever. Dit zorgt ervoor dat we veel alerter kunnen reageren op binnenkomende mail. En dat is tevens de reden dat onze opdrachtgever deze workaround gewenst vindt.

Dit is een prachtig voorbeeld van een zakelijke omgeving die heel veilig is, maar daardoor in de praktijk feitelijk onwerkbaar. Het resultaat is zoals verwacht: om het weer werkbaar te maken, worden er (in dit geval verantwoorde) workarounds bedacht. Iedereen dit zegt dat dit onwenselijk is, heeft gelijk. Maar het alternatief – dat urgente aangelegenheden te lang blijven liggen – is nog veel onwenselijker.


Het gaat hier trouwens om een project (niet in de ICT-sector) met een uitvoeringsbudget van acht nullen. Geen marginaal klusje dus, maar een project waarover de minister verantwoording aan de Kamer moet afleggen.
Volgens mij heb ik voor dezelfde opdrachtgever gewerkt, want ik herken het precies. Die Citrix-omgeving was hopeloos onhandig. Ze hadden zelfs automatisch forwarden van alle mail uitgeschakeld. En inderdaad, kon je die Outlook niet gewoon op de achtergrond laten draaien, want dan wordt op een gegeven moment je sessie verbroken.

Gevolg: mensen lezen hun mail niet. Want dat telkens opnieuw op Citrix inloggen, dat laat je echt wel uit je hoofd als je op een werkdag tussen alle vergaderingen door ook nog eens wat werk af wilt krijgen. Gevolg daar weer van: mensen sturen elkaar op andere manieren berichten. Whatsapp, Teams, e-mail van de werkgever of prive-email. Typisch een voorbeeld van een systeem dat zo dichtgetimmerd zit dat het niet meer bruikbaar is. Je kunt de gebruikers dan niet verantwoordelijk houden als er informatie uitlekt, want je schiet als organisatie echt tekort. Een organisatie die werk gedaan wil krijgen, moet communicatie mogelijk maken, niet onmogelijk.
Maar dat is dan eigenlijk meer omdat men maar blijft hangen op oude systemen denk ik. Het moet toch mogelijk zijn om voor zo'n duur project een app te maken voor je mail die super veilig contact legt met de backend?
Ik weet niet of een oud systeem het probleem is.
Als ik het verhaal zo lees mocht er niet gewerkt worden vanuit een Outlook app. Dan heb je je beleid gewoon niet op orde, want die app is gewoon veilig in te richten. Misschien nog wel veiliger dan Citrix.
Sowieso vind ik die laatste een gedrocht van je welste. Dat is echt zo'n 2005 oplossing.
Ja, dat bedoel ik, maar door blijven borduren op software wat echt een draak is geworden van jewelste. Dat soort dingen ken ik ook nog vanuit mijn tijd in een ziekenhuis qua werk. Dat dat duur is en heel veel werk te vervangen.. uiteraard, maar dat moet toch EEN keer gebeuren zou je zeggen.

[Reactie gewijzigd door vgroenewold op 22 juli 2024 15:28]

Nou ja, dat bestaat al. Tenminste, voor iPhone kun je een MDM-profiel maken waarmee je een device remote kunt wissen in geval van diefstal of verlies. Vervolgens kan de interne mail-app of de app van Outlook worden geconfigureerd met een certificaat om verbinding te maken met Exchange.

Maar dat is blijkbaar niet veilig genoeg. Mijn werkgever heeft voor mobiele devices een draconische app van Citrix waaruit je niet kunt kopieren vanuit de mail, bloedirritant. En die apps zijn totaal niet bruikbaar, dit was waarvoor we een VIJFcijferige pincode moesten bedenken en die moest elke x weken veranderen. Die apps gebruikt dus niemand.
Indeed, zoals ik hierboven in een reactie ook aangeef. En daarbij is Citrix dus de gemene deler, lijkt me duidelijk hoe dat te optimaliseren is. :) Maar laat me raden, daar is het management het niet mee eens.

[Reactie gewijzigd door vgroenewold op 22 juli 2024 15:28]

Ja politici moeten gewoon heel snel en direct met elkaar communiceren. Dat is zo'n beetje hun werk. Dus dat een minister liever WhatsApp gebruikt snap ik wel.
Als veiligheid gebruiksgemak in de weg zit weet ik wel wat gaat winnen.
Bij hogere posities lijkt dit extra hard te gaan omdat mensen bang zijn nee te moeten verkopen is mijn speculerende invulling.
Ja en nee. Het is inderdaad best lastig als CISO om langs een minister te gaan maar het probleem is dat er geen gevolgen zitten als je er niet aan houdt. Daarom hebben politici schijt aan 'de regels' en gaan ze zelf gewoon door met hun wangedrag:
nieuws: Minister Kamp gaat door met gebruik Gmail voor communicatie met ambte...

Kamp is er alleen mee 'opgehouden' (zal mij niets verbazen als het gewoon door is gegaan) omdat er steeds media verkeer over was.

Uiteindelijk is dit een breed en groot probleem binnen de politiek. Iedere keer als ik dit hoor dat moet ik denken aan Phil Collins, just do as I say, don't do as I do... uiteindelijk is het wachten tot een groot ernstig incident voordat er echt wat aan gedaan wordt (waarna ze er waarschijnlijk toch niet naar luisteren).
Om de paar dagen? Denk dat dat wel wat efficiënter gebeurt. Gewoon goed beveiligen?
Gewoon iedere ochtend een “verse” telefoon bij het ontbijt mocht ik hoofd van beveiliging zijn zou dat alvast standaard procedure zijn en de kost is compleet verwaarloosbaar.
En niemand gaat die telefoon gebruiken, want dat is veel te ingewikkeld. Elke ochtend weer nieuwe pincodes, wachtwoorden, apps activeren, dat is toch geen doen. Als je op die manier de tijd van de (bijvoorbeeld) minister-president verspilt, dan gaat die heel gauw een prive-telefoon gebruiken. Dan heb jij je zin: jouw beveilgide telefoon wordt niet meer gebruikt, en dus ook niet misbruikt. Maar of je dan je echte doel hebt bereikt?
Euh , een paswoord das al.
Al de rest is al gebeurd .. je zoekt problemen die er niet zijn. Eerste minister heeft verantwoording af te leggen aan het parlement, dus regels niet volgen = verplicht aftreden.

Wat jij opnoemt is net waarom het zo verkeerd loopt in het bedrijfsleven/politiek/etc. Mensen die geen regels meer willen volgen omdat ze het beter denken te weten. Staatsveiligheid moet constant waken dat er geen privé telefoon wordt gebruikt. Als premier sta je ten dienste van het land en moet je, je daar naar schikken

[Reactie gewijzigd door klakkie.57th op 22 juli 2024 15:28]

Mensen negeren regels niet omdat ze het beter weten. Mensen negeren regels omdat die te ingewikkeld zijn. Staatsveiligheid is natuurlijk belangrijk, maar een minister moet wel gewoon z'n werk kunnen doen. Dat betekent niet elke ochtend nieuwe wachtwoorden bedenken. Of elke keer dat je een berichtje wilt sturen aan een collega, een pincode moeten invoeren die elke week MOET veranderen (serieus, zo hebben ze het ooit bij mij op het werk bedacht). Dat gaat na 3x fout omdat je na al die verplichte wijzigingen je pincode echt niet meer kunt onthouden.

Veiligheidsmaatregelen zijn prima, maar ze moeten het normale gebruik van een apparaat niet in de weg staan. Het is aan de techneuten en organisatoren om dat mogelijk te maken.
Als het om staatsveiligheid gaat dan gelden er echt wel andere regels wat mij betreft.
Een minister die niet om de zoveel tijd een ander paswoord kan onthouden is hij wat mij betreft niet geschikt om de taak als minister uit te voeren.

Dus "Let's agree to disagree ! "
Het is juist die 'om de zoveel tijd' die een wachtwoord onveilig maakt. Iedereen kan een moeilijk, onkraakbaar wachtwoord bedenken, en met een beetje moeite ook wel onthouden. Maar dat kost mentale inspanning. Die inspanning mag je verwachten van mensen, zeker in een beroep waarbij met gevoelige informatie wordt gewerkt.

Maar dat kun je niet van je werknemers blijven verwachten. Mijn werkgever hanteert een periode van 3 maanden. Dat is hopeloos: te kort om telkens weer moeite te doen om een moeilijk wachtwoord te bedenken en te onthouden. Dus dan gaan mensen systemen bedenken. Als iemand mijn huidige wachtwoord achterhaalt, dan weet hij met een beetje handigheid ook mijn volgende. Dat systeem heb ik nodig om niet telkens weer die inspanning te moeten leveren.

Als ik die inspanning maar eenmalig zou hoeven leveren, dan zou ik het zondermeer doen. Maar mensen blijven niet bezig. De werkgever zal dus moeten afwegen in hoeverre dat effect (dat gebruikers voorspelbare wachtwoorden gaan gebruiken) de veiligheid verder vermindert dan gewoon oneindig geldige wachtwoorden toestaan, die dan wel ingewikkeld kunnen zijn. De meeste werkgevers zijn daar te dom voor. Het Nationaal Cyber Security Center raadt deze manier ook af. In plaats daarvan wordt aangeraden om lange, moeilijke wachtwoorden verplicht te stellen en deze alleen te laten wijzigen bij tekenen van diefstal of misbruik.
Het beheren van wachtwoorden is geen taak van een premier. Zijn taak is het besturen van een land, en moet zich zoveel mogelijk op kerntaken focusen, niet op bijzaken zoals IT. IT’ers vinden hun eigen werk vaak al snel belangrijker dan het is.

Ik heb nog een veel veiliger idee. Geen enkel systeem wat door mensen gebruikt wordt is 100% veilig, maar je kunt ze wel 100% veilig maken. Haal de netwerkkabel er uit en er wordt nooit meer informatie uit gelekt. Of beter nog, haal de stroom er af, heb je ook geen gevaar meer van lokale hacks. Ja, dat schiet z’n doel voorbij, maar dat doen overdreven veiligheidsmaatregelen ook.
Sorry maar je snapt blijkbaar niet dat het een combinatie van veiligheid en bruikbaarheid moet zijn.
Idd, en hoe langer je er over nadenkt hoe erger dat het wordt. Alsof ze Snowden al vergeten waren. Wat me ook opvalt dat ze over een ‘phone hack’ spreken. Dus geen Iphone of Android hack.

De Iphone heeft zelfs een ‘lock down’ functie om spyware en attack vectors tegen te gaan.

The new feature aims to counter the rise of advanced hacking software that governments sometimes use to spy on people’s devices. Such software often lets governments read text messages and emails on a smartphone or even force it to eavesdrop on its surroundings..

Alles draait zoals gewoon maar het voorkomt dat vreemden je een phishing berichtje kunnen sturen, airdrop is uitgeschakeld en nog wat auto connect features zijn uitgeschakeld.

Alle mogelijkheden bestaan gewoon off the shelf. Als je in topoverleg gaat met wereldleiders weet je gewoon dat je een doelwit bent.

Dit nieuws is nu uitgekomen, je wil niet weten hoeveel andere wereldleiders en hun entourage gehackt zijn zonder dat ze het weten. Ze was immers maar 35 dagen premier.
Toen Truss's telefoon naar verluidt voor het eerst gekraakt werd, september 2021, bestond de Lockdown modus van Apple nog niet.
> Dit nieuws is nu uitgekomen, je wil niet weten hoeveel andere wereldleiders en hun entourage gehackt zijn zonder dat ze het weten. Ze was immers maar 35 dagen premier.

In het artikel staat duidelijk dat dit langer was dan 35 dagen.
Ja idd... al die tijd ervoor was ze geen premier maar wel een target. Dat wil dan toch zeggen dat heel veel mensen en target zijn en bijgevolg ook gehackt kunnen zijn.
Lijkt mij logisch. Kabinetsleden zijn net zo interessant als een premier.
Dat gebeurt ook. Maar ieder systeem kan gehackt worden. Zelfs offline systemen.
Op wat slaat dit nu ?
Haar toestel was gehacked dus de protocollen voldoen duidelijk niet.

Op dit item kan niet meer gereageerd worden.