Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 116 reacties

Binnen Defensie zijn dit jaar vijftien usb-sticks gestolen of kwijtgeraakt, waarvan er vier vertrouwelijke gegevens bevatten, zo heeft minister Middelkoop van Defensie dinsdag bekendgemaakt.

usb-stick securityEind september veroordeelde de rechtbank een medewerker van de Militaire Inlichtingen en Veiligheids Dienst tot een taakstraf van 120 uur, omdat hij een geheugenstick had verloren waarop staatsgeheime informatie stond. Dit was aanleiding voor SP-Kamerlid Krista van Velzen om de minister van Defensie om een overzicht te vragen van incidenten van de afgelopen vijf jaar waarbij informatiedragers kwijt zijn geraakt. Ook wilde Van Velzen weten of de gegevens in het betreffende geval versleuteld op de stick stonden.

Uit de antwoorden van Middelkoop blijkt dat beveiligingsincidenten binnen defensie tot voor kort niet structureel werden gerapporteerd en dat deze pas sinds enige tijd worden doorgegeven aan de Beveiligingsautoriteit. Sinds januari dit jaar zijn er vijftien meldingen van vermissing of diefstal ontvangen maar of dat een toename ten opzichte van voorgaande jaren betreft valt niet te zeggen, volgens de minister. Hij liet weten dat er een database voor vermiste informatiedragers in ontwikkeling is waaruit dergelijke informatie met betrekking tot incidenten in het vervolg wel gehaald kan worden.

Ook liet Middelkoop weten dat de informatie op de stick onversleuteld was. 'Hoewel het in beginsel niet is toegestaan om gerubriceerde informatie onversleuteld op een informatiedrager mee te nemen, zijn er geen maatregelen te treffen waarmee dit volledig is af te dwingen', aldus de minister. In het voorjaar van 2008 moeten defensie-medewerkers over usb-sticks beschikken die informatie automatisch versleuteld opslaan. Desondanks wil de minister niet uitsluiten dat onversleutelde gevoelige informatie in de toekomst op straat komt te liggen. Recente tests van Tweakers.net wezen onlangs echter uit dat niet elke beveiligde usb-stick ook echte veiligheid kan bieden.

Moderatie-faq Wijzig weergave

Reacties (116)

Desondanks wil de minister niet uitsluiten dat onversleutelde gevoelige informatie in de toekomst op straat komt te liggen.
Dat zou hij op kunnen lossen door de huidige usb-sticks terug te roepen en te vervangen door bv. de verbeterde Bioslimdisk. Hebben ze hier nog niet aan gedacht?

Verder misschien een rare suggestie, maar is het niet mogelijk de USB-sticks uit te rusten met iets van GPS?

[Reactie gewijzigd door Destralak op 6 november 2007 13:43]

USB sticks met GPS? Dus ook met een GSM antenne, want je moet kunnen weten waar hij zit. En dus ook met een batterij. Compacte usb stick wordt dat :)

Misschien USB sticks afschaffen bij Defensie ;)
Of gewoon uitleggen aan je medewerkers hoe je alle bestanden in een RAR pakket kan stoppen en kan beveiligen met een wachtwoord.

Lijkt mij voldoende om informatie veilig te houden.
Zo simpel is dat niet hoor.

Er zijn talloze 'crackers' te vinden voor het .RAR formaat. Over het algemeen gaan deze brute-force of met een dictionary aan de slag.

Het veiligste is: gevoelige informatie niet op een media-drager plaatsen welke mee genomen kan worden.
RAR is veilig (AES 128 bits) wanneer je een juist wachtwoord pakt, maar dat is algemeen.
Uit de test van die bioslimdisks bleek dat die prima zijn te gebruiken om je privť of bedrijfsinformatie veilig te houden. Maar als een groot land als china/rusland/amerika/frankrijk/etc hem in handen krijgt, zal het ze lukken om de sleutel uit de microcontroller te vissen en hebben ze alsnog toegang.

Sticks niet kwijtraken/laten stelen is stuk beter idee.

En als je het toch op sticks gaat zetten, zorg dat je behalve de versleuteling van usb stick zelf nog een laag encryptie erover heen doet die je weer met programma op computer kan decoderen.

[Reactie gewijzigd door Sissors op 6 november 2007 14:35]

Versleuteling heeft alleen zin wanneer de "vijand" de USB key maar tijdelijk in handen heeft (en dat komt nooit voor). Maar we hebben het hier over verloren USB sticks, die permanent in het bezit zijn van mogelijk kwaadwillende. Al gooi je daar 1024bit encrypte overheen, met genoeg tijd zal het hoe dan ook gekraakt worden.

Het enige dat encrypte doet, is het decoderen vertragen. maar voorkomen doe je nooit. Geheime (encrypted) informatie moet gewoon hoe dan ook nooit in kwade handen terecht komen.
Het hoeft ook niet compleet onmogelijk gemaakt te worden om de informatie te decoderen. Als je op een usb stick versleuteld neerzet dat je over een half jaar Iran gaat bombarderen en die stick komt in handen van Iran hoeft dat geen probleem te zijn, zolang Iran er maar langer dan een half jaar over doet om de versleuteling te kraken :)
nee, dat is niet waar. Je hebt gelijk dat het hoe dan ook gekraakt kan worden, maar het nut van encryptie is dan de gegevens geheim te houden totdat die informatie niet meer relevant is. Informatie die tig jaar nuttig en relevant blijft, heeft je vijand hoogstwaarschijnlijk toch wel in handen door andere kanalen te gebruiken.

Informatie over bijvoorbeeld een missie die over een paar weken plaats zal vinden en een looptijd zal hebben van een maand, is het niet zo heel erg als die na twee maanden gekraakt wordt. En een (betrouwbare implementatie van) aes-256 encryptie icm met een voldoende lange sleutel zal dat waarschijnlijk wel houden.
Nou, het stopt in ieder geval Jan Lul die zo'n stick op straat vind. Die kan niet zomaar alles lezen en ermee naar de media stappen, bijvoorbeeld.
Als je nu iedereen twee USB-sticks geeft waarbij op iedere stick de helft van de data staat zodat de data alleen gelezen kan worden als beide sticks aanwezig zijn, dan hoef je je nooit zorgen te maken of iemand je stick kan lezen, want ze hebben dan allebei je sticks nodig.
Probleem is dan natuurlijk wel dat elke medewerker deze twee disks met een touwtje aan elkaar bindt (want je hebt per definitie niks aan 1 disk).

Vervolgens raak je ze natuurlijk gewoon per 2 tegelijk kwijt :P
Waarom nog steeds met USB sticks werken. Verbied die dingen gewoon voor je medewerkers als ze niet met dit soort dingen overweg kunnen (en ontsla ze vanwege onverantwoordelijk gedrag, maar dat terzijde). Zorg er gewoon voor dat gegevens alleen over een beveiligde SSL verbinding encrypted verstuurd worden van 1 locatie naar een andere. Staatsgeheime gegevens heeft niemand op zijn huiscomputertje nodig (gezien dat alleen maar een groter beveiligingslek betekent, zeker als zoonlief net Kazaa oid heeft geinstalleerd).
Op het moment dat het alleen via een beveiligd netwerk verstuurd kan worden kun je de gegevens stromen veel beter monitoren, je kunt immers niet checken wat iemand wel en niet op de USBstick heeft staan en waar deze naar toe gaat.

Dit is niet DE oplossing, als mensen misbruik willen maken van het systeem dan zal dat toch gebeuren, maar het voorkomt wel dat mensen op zeer domme manieren hun USBsticks vergeten, verliezen of anderszins kwijtraken. Blijkbaar kunnen mensen niet verantwoordelijk met vertrouwelijke/geheime informatie omgaan. Dan kun je wel beginnen met USBsticks beveiligen, maar ook die is prima te kraken en wat je niet wilt is dat dit soort info in verkeerde handen terecht komt.
Beter zou zijn een "snelkoppeling" op de usbsticks te zetten, die verbinding maakt met de server van het pentagon, om zo de infomatie door te spelen.Die miliare computers staan overal in verbinding met internet, dus ik vraag me af waarom ze dan ook niet alles centraliseren.

(Ja zelfs in the middle of nowere kun je nog atlijd een sateliet-telefoon gebruiken om aan je data te komen)

Belangrijk hierbij is wel dat de verbinding zeer sterk beveiligd is. Dit moet dus met een zeer goed wachtwoord onder andere.

Ik zou dat oplossen door iedere USB-stick hardcoded een paswoord + identificatie mee tegen. Hier mee kun je dan zonder wachtwoord beperkt in het pentagon. (Optioneel met id als paswoord) Als je de usb stik kwijtgeraakt, moet je gewoon even een melding maken van het identificatie nummer, deze moet je dus niet vergeten.

Maar USA.. Weet je het id niet. sluit dan alles af, en voeg handmatig alle niet verloren gegane sticks terug.
Je zou denken dat men wel van eerdere incidenten leert. Kunnen ze er niet voor zorgen dat USB-opslagmedia niet gewoon geweigerd zodra je hem inplugt? Verder vraag ik mij af of de USB-stick de data zou moeten encrypten. Mijns inziens zou encryptie los moeten staan van de hardware en al van tevoren softwarematig worden toegepast. Dat in combinatie met een verbod op thuiswerken als het gaat om strict vertrouwelijke gegevens. Versleuteld of niet, er is altijd een beveiligingsrisico zodra mensen gaan slepen met gegevens.
Zou je er geen passieve rfid chip-like ding in kunnen plakken dat reageerd op een signaal van een sataliet, of misschien een handzender die vervolgens alle data op zo'n ding corrupt?
Al je ze dan kwijtraakt heeft niemand meer wat aan de info. (Als je er snel genoeg achter bent)
Dan hoop ik nooit in de straal van die satelliet te komen.

Een betere methode lijkt me om geen USB sticks te gebruiken.

En als dat dan toch moet, om erv oor te zorgen dat de data NOOIT on-encrypt op de stick kan worden geplaatst (dus geen encryptie op de stick maar al eerder, op de host). En dan misschien een fijn proggie of virusje erbij waarmee de data binnen 24 uur moet worden bevestigd of de data wordt gecorrumpeerd.
Ik raak nooit USB sticks kwijd... maarja ze zullen wel in camo kleur zijn dus dan raak je ze zo kwijt...

Mischien een iedee om met grotere sticks te gaan werken een stick van 20 cm raak je niet zo snel kwijd :)
Met sleutels gebeurde dat ook in mijn tijd bij Defensie. Daar zal altijd een stok aan, of een bal, oid. Als het maar groot was en dus opvallend. Plus dat sleutels NOOIT het pand mochten verlaten tenzij daar toestemming voor was gegeven, altijd in een sleutelkluis zaten bij de wacht, en dat ervoor getekend moest worden bij in- en uitgifte. Beetje sleuteldiscipline met USB sticks zou geen kwaad kunnen bij Defensie.
Precies, ook kan je ze dan uitrusten met een GPS chip oid. Of een apperaatje die de stick onbruikbaar maakt als ze verbinding maken met een onbekende PC en/of ze uit elkaar gehaald worden.
database voor vermiste informatiedragers
klinkt eigenlijk een beetje als 'dat zoeken we op in de archiefkast voor verloren gegane dossiers' ;)

Uiteindelijk gingen er natuurlijk wel vaker dossiers verloren, en speelt het probleem van het 'lekken' van informatie, bwust of onbewust' eigenlijk al langer.
Ik mag dus hopen dat ze zoiets niet enkel beperken tot 'digitale media' maar juist ook verbreiden tot ook de traditionele media als papier, om zo ervor te zorgen dat men veel zorgvuldiger met informatie omgaat
Kom op we staan voor lul zo.
Het is niet zozeer de encryptie e.d. , maar de processen eromheen.
Als je al zo vaak hetzelfde incident hebt moet je de procedures qua gebruik van usb sticks aanscherpen.
Like verbieden en anders met beveiligd transport.
En verantwoordelijken hard straffen.
Je vraagt je toch af waarom ze bij de overheid / defensie niet al lang op een product als SE linux of solaris 10/trusted extensions overgegaan zijn.
In zo'n omgeving heeft alles een label... VB. "classified" of "top-secret"... Een file met label top-secret kun je dan niet eens meer kopieren naar een "unclassified" usb-stick. In GUI omgevingen kun je niet eens meer copy van "top-secret" applicatie naar paste in "classified" applicatie doen... Gewoon een kwestie van de juiste policies inrichten en je voorkomt een hoop ellende (en in het slechtste geval een audit trail:-) )
15 USB Sticks waarvan 4 met geheime info.

Gaat goed. :')

Verbied die dingen gewoon binnen defentie, dat lijkt me gewoon het beste.

Volgens mij raken ze ze helemaal niet kwijt. Volgens mij verkopen ze die gewoon voor een flinke som duiten.

[Reactie gewijzigd door Alpha Bootis op 6 november 2007 13:52]

Verplicht gewoon iedereen om USB sticks te gebruiken in combinatie met bijvoorbeeld TrueCrypt.

Als je dan een stick verliest s er geen man overboord.
Je kan wel files encrypten, maar vroeg of laat worden ze nogsteeds gekraakt.
Nu gaat dat dmv van brute force, maar ik kan me niet voorstellen dat er geen oplossingen bestaan/in ontwikkeling zijn die dit in een hik omzeilen.
Hoe wil jij iets gaan bruteforcen waar je de uiteindelijke vorm niet van kent?

Trouwens, nog afgezien van dat bruteforcen onvoorstelbaar lang duurt is het met Truecrypt mogelijk 3 verschillende encryptiemechanismen op verschillende manieren over elkaar heen te gebruiken. Als je vervolgens ook nog eens een truecrypt volume maakt binnen dat buitenste truecrypt volume (met andere key) wens ik je zeer veel succes met het kraken.
Natuurlijk, het is te kraken, maar het is de vraag of je daar over een paar eeuwen iets aan hebt (zeer optimistisch gerekend).
Op zich een aardig idee... maar heb je er al over nagedacht dat niet iedereen die bij defensie een Tweaker is?!?! :P

Laten we realistisch zijn ook binnen defensie werken alleen maar mensen... als we willen dat we op zijn minst dat spul goed gecodeerd op een stik zetten dan moet dat gebeuren zonder dat er over nagedacht hoeft te worden!!!

Het is hetzelde als met backupen!!! iedereen weet dat het moet niet iedereen weet hoe en nog minder mensen doen het daadwerkelijk...
(lang leve Timemachine (A))
Als je de systeembeheerders de sticks laat initialiseren met truecrypt volumes erop hoeft de gebruiker verder niks te doen behalve een (lang) wachtwoord in te voeren om de gegevens te kunnen bewerken. Sowieso is het aanmaken ook al niet zo'n complexe procedure, maar ik zou me wel voor kunnen stellen dat mensen ervan schrikken of iets dergelijks.
Ehm, als het goed is is iedereen binnen de IT van defensie een tweaker. En die moeten dit dus ook goed regelen.
Voor kortlopende informatie maakt dat niet uit, aangezien het tegen de tijd dat het is ontsleuteld al verouderd is, maar langlopende gegevens zijn inderdaad ook met encryptie niet bullet-proof beveiligd.
Knappe jongen die TrueCrypt kan kraken, of er moet een hele slechte key gebruikt zijn. TrueCrypt bestanden kan je niet eens als zodaning herkennen (plausible deniability).
Voor bepaalde methoden is er per definitie geen andere manier dan brute force.

Ik wil anders wel een weddenschap met je aangaan en jou een truecrypt container geven, als je de inhoud binnen een jaar kunt achterhalen krijg je een miljoen euro.
en denk je dat een ministrie c.q. land een suf software bedrijfje niet onder druk kan zetten voor een masterkey? naief :')
@mschol: TrueCrypt is opensource. Als daar een masterkey in zou zitten was die allang gevonden.
Doe vroeg maar weg en laat kun je laten staan. Met de encrypties die met truecrypt mogelijk zijn kan het snelste rekencluster er nog duizenden jaren over doen.
Zoals de GPU-applicatie's die lekker snel kunnen folden, of een hele stapel PS3's :D

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True