Britten onderzoeken verlies usb-stick met militaire geheimen

In mei werd in een nachtclub in het Britse Cornwall een usb-stick gevonden met daarop informatie over militaire operaties. Het Britse Ministerie van Defensie start deze week een forensisch onderzoek.

Op de usb-stick is onder andere informatie over het derde bataljon van het Yorkshire-regiment te vinden. De stick bevat bijvoorbeeld tijdschema's en een gedetailleerd overzicht van de plaatsen waar het legeronderdeel kamp maakt. Het Britse Ministerie van Defensie heeft laten weten het incident te betreuren en passende actie te nemen, schrijft de BBC. De geheugenstick werd door een bezoeker van de nachtclub naar een krant gestuurd; het is onbekend sinds wanneer de stick weer in het bezit van het ministerie is.

Om na te gaan wat er met de usb-stick is gebeurd, start het ministerie nog deze week een forensisch onderzoek. In reactie op het in juni verschenen onderzoeksrapport van Sir Edmund Burton, dat het verlies van data door het Britse Ministerie van Defensie behandelt, wordt bovendien met een programma begonnen dat moet leiden tot een betere bescherming van persoonlijke data en gevoelige informatie. Sinds 2004 is het Britse defensiedepartement meer dan 120 usb-sticks 'kwijtgeraakt'. Dit jaar zijn er reeds 26 verdwenen; op 3 daarvan stond geheime informatie en 19 sticks bevatten informatie met het label 'Restricted'.

IT-banen

Reacties (40)

Niemand_Anders 10 september 2008 13:05

Tegenwoordig zijn USB sticks hartstikke klein. De medewerker zal de USB stick niet opzettelijk hebben meegenomen, maar 'gewoon' vergeten zijn om het thuis uit zijn zak te halen.

Maar iedereen gaat voorbij aan het vraagstuk. Waarom nemen medewerkers informatie mee naar huis? Kennen ze bij de Britse overheid geen VPN? Daarmee kun je ook gewoon vanaf thuis werken.

En zelfs als de USB stick zijn gecodeerd. Het is een feit dat elke code gebroken kan worden. Stel ze doen er 6 jaar over om de encryptie te kraken, is dan de informatie ineens minder belangrijk? Die informatie is dan nog steeds bruikbaar.

Het probleem is niet dat medewerkers USB sticks/laptops/computers kwijtraken, maar dat ze de informatie mee naar huis nemen. Achterhaal eerst waarom medewerkers de informatie meenemen en los dat op. Informatie kan dan alleen op straat komen als een medewerker de informatie moedwillig kopieert en doorverkoopt.

smokalot @Niemand_Anders • 10 september 2008 14:25

Ik verbaas me er soms over hoe hardnekkig dit misverstand is, maar nee, niet elke code kan gebroken worden. Als je een fatsoenlijke sleutellengte gebruikt (1024bit bijvoorbeeld), zou het met alle computers op aarde gemiddeld net zo lang duren om de sleutel te bruteforcen als de leeftijd van het universum. Computers moeten dus wel extreem veel sneller worden wil het binnen 6 jaar gebeuren.

Quantumcomputers kunnen de boel ook flink versnellen, maar ten eerste bestaan die nog niet, en ten tweede blijft het verschil in benodigde rekenkracht tussen degene met het geheim en degene zonder het geheim groot genoeg om encryptie zinvol te houden.

Niemand_Anders @smokalot • 10 september 2008 19:58

Encryptie is slechts een pleister. Een methode om een mogelijk gevolg (verlies van data) te neutraliceren.

Als je de gegevens niet mee hoeft te nemen, hoef je ze ook niet op te slaan op een removable medium. Dat medium kun je dan ook niet verliezen. Nogmaals niet hetverliezen dan de data is het problem, maar dat de medewerker deze informatie meeneemt zonder dat dat noodzakelijk is. Een 1024 bit encrypted VPN verbinding werkt net zo goed.

Maar wie had 3 jaar geleden geloofd dat we deze week de oerknal kunnen reproduceren. Rusland heeft momenteel een beetje ruzie met de NAVO. Die ruzie kan uiteindelikj lijden tot oorlog en oorlog is gedurende de mensheid de beste innovator geweest. Kijk alleen maar wat de WW2, de koude oorlog en de conflicten in Afghanistan/Irak aan technologische sprongen hebben veroorzaakt. Weleens een aflvering van 'Future Weapons' op Discovery gezien? Wat je vandaag onmogelijk acht, kan morgen werkelijkheid zijn. En dan heb ik het nog nieteens over een fout in het algoritme (denk aan de Debian OpenSSL issue).

De grootste problemen worden meestal veroorzaakt door een samenloop van omstandigheden.

Verwijderd @Niemand_Anders • 10 september 2008 13:20

Achterhaal eerst waarom medewerkers de informatie meenemen

Omdat ze er mee werken.... En niet altijd op dezelfde locatie.
(Dat laat onverlet dat het heel slordig is om de stick alsnog mee te nemen naar een disco...)

Niemand_Anders @Verwijderd • 10 september 2008 19:38

En waarom kan de medewerker geen VPN verbinding gebruiken? VPN verbindingen op basis van X.509 certificaten kun je overal ter wereld opzetten. Het probleem is dat medewerkers de informatie fysiek verplaatsen.

Ik elk geval zijn er dan geen USBsticks en cdroms nodig om de informatie van het werk thuis te krijgen. En daarmee voorkom je een hoop problemen.

En wat als de medewerker onderweg even was gestopt om koffie te halen bij een tank station en dat daar de usb stick door een zakkenroller werd gestolen. Is dat dan minder erg? Ofwel als de medewerker de gegevens niet fysiek meenemt, kan hij deze ook niet verliezen. oorzaak <--> gevolg.

ASS-Ware @Niemand_Anders • 10 september 2008 18:07

Tegenwoordig zijn USB sticks hartstikke klein. De medewerker zal de USB stick niet opzettelijk hebben meegenomen, maar 'gewoon' vergeten zijn om het thuis uit zijn zak te halen.

Je moet er gewoon geen vertrouwelijke informatie op zetten.

Verwijderd 10 september 2008 13:03

Pff, stelletje amateurs

Er zijn toch speciale sticks met 256-bit encryptie? Kost wat maar dan heb je ook wat.
Of ze moeten gewoon overstappen op thinclients en zo server based gaan werken.
Kan je ook niets kwijtraken in een nachtclub

Zarc.oh @Verwijderd • 10 september 2008 13:26

Toch blijken niet alle USB-sticks met 256-bit AES-encryptie gevrijwaard te zijn van beveiligingsproblemen.
Dit artikel op Heise Security beschrijft hoe de wachtwoorden van FIPS-140-2 gecertificeerde USB-stick MXI Security Stealth MXP toch waren uit te lezen door het Zwitserse informatiebeveiligingsbedrijf Objectif Sécurité. De belangrijkste problemen bleken te zijn:

het huidige en vorige wachtwoord wordt vergeleken op de PC i.p.v. door de stick. Dit geeft een cracker de mogelijkheid om informatie uit te lezen van de PC.
De hashes van de wachtwoorden waren gemaakt zonder salt te gebruiken, waardoor wachtwoorden, met gebruikmaking van rainbow tables, binnen 15 minuten waren uit te lezen.

[Reactie gewijzigd door Zarc.oh op 22 juli 2024 19:59]

Mental @Zarc.oh • 11 september 2008 20:15

En daar is dus EFS voor uitgevonden.

Boeme 10 september 2008 12:39

Zijn die dingen dan niet standaard geencrypteerd?

Barres B. @Boeme • 10 september 2008 12:45

Het hoeft ook helemaal niet een usb-stick van defensie te zijn. Het kan ook gewoon een usb-stick waarop info is gezet door een medewerker bij defensie of gestolen info zijn. Er is niet gezegd dat het ook echt een usb-stick is van defensie zelf, alleen de inhoud is van defensie. Hoe dan ook is dit nu niet positief te noemen.

Verwijderd @Barres B. • 10 september 2008 12:51

Even ervan uit gaande dat het wel om een defensie stick gaat... waarom hangt er niet een levensgroot label aan de stick? En waarom is er niet zoiets als een "sleutelkast" waar deze sticks opgeborgen kunnen worden, en gecontroleerd worden uitgegeven? Precies zoals sleutels bij defensie al decenia worden uitgegeven door de wacht.

Het.Draakje @Barres B. • 10 september 2008 13:02

Ik werk niet bij defensie, maar hier worden geen 'vreemde' usb-sticks herkend.

Alleen de interne usb kunnen gebruikt worden en dan zowel op het werk en thuis en alleen op desktop of laptop van het werk (Encrypted)

Als de britse defensie niet hetzelfde geregeld hebben, dan zou de leiding zich kapot moeten schamen want iedereen kan iets vergeten, verliezen of stelen.

Een goed security beleid is het minimum wat ze zouden moeten hebben.

kluyze @Het.Draakje • 10 september 2008 13:57

En je kan dus ook niets mailen, of op een ftp zetten of .... Het wilt niet zeggen dat omdat er op je werk niets fysisch op je stick kan gezet worden, dat het er niet op kan belanden via een andere weg.

Het.Draakje @kluyze • 10 september 2008 14:18

Bij een security beleid kijk je dus ook naar ftp en email.

Je bekijkt en analyseert wat er in en uitgaat en neemt daar maatregelen voor. Soms is dat puur protocol en meestal hoort daar een aantal fysieke belemmeringen bij.

Hier hoeft ik ook niet te proberen om een ftp naar buiten uit te voeren. Het werkt niet. Email wordt gescanned en geanalyseerd. Daarbuiten wordt het ook gelogged als bewijsmateriaal.

Uiteraard blijven er voor de echte spionnen genoeg mogelijkheden over; je kan niet alles afdekken. Zoals omkoping, diefstal en beroving.

Verwijderd @kluyze • 10 september 2008 14:23

ik werkt vroeger op de britse ambassade, en daar werd alle email netjes gescanned, ftp was geblokkeerd en meer dan de helft van het internet was ontoegankelijk (oa Tweakers niet, want dit is een "games"-site) externe apparatuur bevestigen was perfect onmogelijk (de pc's zaten in een gesloten box) en ik kon zelfs de cd-tray niet openen, om over toegang tot interne documenten nog niet te spreken

als ze het zo op hun ambassades doen zou het me verwonderen dat ze een do-whatever-you-want policy hebben op defensie

ASS-Ware @Verwijderd • 10 september 2008 18:05

ik werkt vroeger op de britse ambassade, en daar werd alle email netjes gescanned, ftp was geblokkeerd en meer dan de helft van het internet was ontoegankelijk (oa Tweakers niet, want dit is een "games"-site) externe apparatuur bevestigen was perfect onmogelijk (de pc's zaten in een gesloten box) en ik kon zelfs de cd-tray niet openen, om over toegang tot interne documenten nog niet te spreken

als ze het zo op hun ambassades doen zou het me verwonderen dat ze een do-whatever-you-want policy hebben op defensie

Ach, bij The Home Office mag en kan alles en loopt men zelfs met vertrouwelijke informatie gebrand op CD naar huis, zelfs na de laatste werkdag.
Maar zo zit de hele UK in elkaar, lijkt het wel.

daredevil__2000 @Barres B. • 10 september 2008 13:29

Bij defensie hier in NL zijn USB sticks tegenwoordig automatisch encrypt.
De personen die rechten hebben kunnen USB sticks lezen en beschrijven en als zij een stick zonder encryptie invoeren, dan wordt deze automatisch geencrypt zodat deze alleen nog op defensie systemen te gebruiken is.
Tevens dienen ze bij te houden wat er op USB sticks gezet wordt.

De USB poorten op defensie systemen accepteren zonder rechten niets anders dan muizen en toetsenborden.

Die rechten worden niet zomaar meer uitgegeven, dus men dient er heel erg bewust mee om te gaan.

Verwijderd @daredevil__2000 • 10 september 2008 13:48

Van dat automatisch encrypten heb ik anders nog nooit iets gemerkt, en ik werk met aardig wat sticks hier. En mijn stand-alone heeft geen encryptie....

Het.Draakje @Verwijderd • 10 september 2008 13:58

Stand alone's zijn meestal niet het probleem ;-)

Geen (inter)net, geen e-mail en dus geen download van (geheime) gegevens.

Het zou mogelijk zijn dat je handmatig alle troepenbewegingen invoert, of via usb sticks ontvangt, maar dan zou je minimaal bewust moeten zijn van een security protocol.

Encryptie wil niet zeggen dat je met passwords o.i.d. moet werken. Een pc kan zijn usb encrypten zonder dat je er iets van merkt. Als je een un-ecrypted stick erin stopt vraagt hij dan om een format. En de stick is (daarna) niet te lezen op een pc waar geen encryptie aanwezig is (die ziet hem als ongeformatteerd).

Verwijderd @Het.Draakje • 10 september 2008 14:21

Hoe heet dat? Want dat is precies wat ze op mijn werk zouden moeten hebben.

Het.Draakje @Verwijderd • 10 september 2008 14:55

Geen idee, maar Google eens op

how to block windows usb access
windows usb encryption

of kijk anders bij http://www.prodatadoctor....data-protection-tool.html

Er zijn zat tools, maar het belangrijkste is een veiligheidsbeleid. Top down (vanaf de directie) geïnitieerd na grondige analyse van de risico's.

Het heeft geen zin om (veel) geld uit te geven als het toch maar om (relatief) onbelangrijke informatie gaat.

Verwijderd @Het.Draakje • 10 september 2008 17:41

Top Down? Directie je veiligheidsbeleid laten bepalen? Ben je mal?
Een of andere bureaucraat die zelf moeite heeft met z'n thuispc virusvrij te houden ga je toch niet een policy laten bepalen? Daarvoor heb je de echte guru's nodig. Desnoods consultants van een externe firma, maar laat het uit dat de directie dat zou gaan bepalen.
Dan krijg je juist situaties als deze, waarbij er besloten wordt dat het toch wel 'handig' zou zijn als mensen snel even een USB stickje vol kunnen proppen om dan op een externe (niet gecontroleerde) locatie verder te kunnen werken.

I smell bs. Op zijn minst een strong encryption, met key, passphrase (geen 4 cijferige pin) en liefst vanaf vooraf goedgekeurde hardware (MAC, IP, whatever) op vooraf bepaalde tijden met een grondige audit (niet eens per jaar, maar continu steekproeven en policy toetsingen).

Dit gaat toch over militaire geheimen (restricted info is al reden genoeg om KEI-hard te gaan beveiligen), wat een slap gezeur met die USB sticks! Dat ze de data maar binnen hun muren (firewalls danwel fysiek) houden.

Ze scannen je tot op het bot aan luchthavens en zouden je nog een rectaal onderzoek geven moch je een te lange baard hebben, waarom dan niet op de eigen borst kloppen en jezelf het hardst controleren?

Het.Draakje @Verwijderd • 11 september 2008 00:21

A) Je moet bepalen wat de risico's zijn.

Je moet de investering krijgen.
C) Je moet procedures opstellen.

Dat gaat je echt niet lukken zonder dat de directie het goedkeurt en oplegt.

Uiteraard hebben de meesten (er zijn uitzonderingen) geen flauw idee hoe ze iets moeten implementeren, maar daar schrijf je dan ook je investeringsvoorstel voor. Alsmede het plan van aanpak.

Voorbeeld : ik verlies een usb stick met de inkoopprijzen daarop. Een directielid kan wel inschatten wat dat voor schade kan doen. Hij kan dat zelfs in een geldbedrag uitdrukken. Dan kan jij met je voorstel becijferen wat het kost om het tegen te gaan.

Voorbeeld : Je afdelingschef weigert encrypted usb. (Hij vindt dat hij te vertrouwen is). Directie : niet lullen maar meedoen.

Sterkte als jij het wilt bepalen/betalen. Maar denk niet dat je het geimplementeerd krijgt.

wizzkizz @daredevil__2000 • 10 september 2008 15:54

bij ons kun je wel lezen van USB-sticks maar kun je ze niet rw mounten, dus schrijven naar die sticks is onmogelijk.

We hebben hier wel een ander netwerk waar we wel alles kunnen doen, maar daar staat geen geclassificeerde informatie op. Wel wordt er hevig ge-firewalled, maar ook dat alleen op poort niveau voor zover ik weet. Een SSH tunnel naar buiten is wel mogelijk. Dit netwerk is natuurlijk fysiek wel gescheiden van het MULAN netwerk en alleen bedoeld ter vermaak van de lui die hier gelegerd zijn.

daredevil__2000 @wizzkizz • 11 september 2008 11:42

Ik ben zelf vanaf het begin van de test uitrol van MULAN werkplekken bij het project actief geweest en op dat moment werd er nog niets gedaan aan USB stick beveiliging.

Later op in het project zijn ze USB poorten gaan blokkeren, wat bij een eerste test resulteerde in dat USB muizen en toetsenborden ook n iet meer functioneerden. Later was dit aangepast en was het zo dat wanneer een USB stick ingevoerd werd, prive of werk, er automatisch encryptie ingeschakeld werd. En later kreeg je gewoon geen toegang meer tot USB opslag als je niet bepaalde functies had.
Misschien dat het nu dan weer aangepast is

Dat naar buiten kunnen is op basis van citrix. Dus een soort van een dicht getimmerde remote desktop. De buitenwereld ziet dus nooit de desktop van de gebruiker. Deze desktops kunnen zelf dan ook geen verbinding opzetten.

Daar naast is er nog een appart netwerk waar alle vetrouwlijke informatie op staat. Mensen hebben dus ook echt fysiek 2 machines op sommige bureaus staan. Hoe bij die machines omgegaan wordt met USB sticks zou ik niet weten.

ARNI 10 september 2008 12:46

Goed bezig daar. Ik vraag me zowiezo af waarom je zo'n belangrijke usb stick meeneemt naar een nachtclub...

Verwijderd @ARNI • 10 september 2008 14:00

Een Engelse "night club" is wat wij hier op het continent een discotheek noemen. Het is aannemelijk dat een militair is gaan dansen en sjansen, en ergens z'n jasje heeft laten hangen.

Klaus_1250 @Verwijderd • 10 september 2008 18:11

Dan nog had die militair nooit die USB-stick bij mogen hebben. Je gaat niet met een USB-stick vol gevoelige info uit, daar zouden ze toch een protocol voor moeten hebben?

3dfx 10 september 2008 12:47

Moet gelijk weer denken aan dit filmpje over soortgelijk incident in NL:
http://nl.youtube.com/watch?v=KQQC8XY2DnI

dasiro 10 september 2008 12:50

op 3 daarvan stond geheime informatie en 19 sticks bevatten informatie met het label 'Restricted'.

toch mooi dat ze tenminste de functies van office/google docs juist weten te gebruiken

merethan 10 september 2008 12:59

De Britten tillen binnen hun overheid het fenomeen "openheid van zaken" naar een nieuw niveau...

Rooligan 10 september 2008 13:23

Passende acite te ondernemen. Zo'n hoge prioriteit heeft het blijkbaar toch niet. Ze starten pas na bijna een half jaar het onderzoek. Het lijkt me toch slim om security incidenten iets sneller op te pakken.

M-AH 10 september 2008 13:34

Waarom werkt zo'n organistatie in godsnaam met USB Sticks! Er zijn veel betere oplossingen voor om toegang tot data te krijgen.

ARNI @M-AH • 10 september 2008 14:36

Misschien om data makkelijk mee te nemen (Heeft in dit geval negatief uitgepakt).
Of de gebruiker heeft er thuis aan gewerkt.

Ze zullen het iig niet voor de lol op USB zetten.
En USB sticks zijn makkelijk te archiveren

PrinsEdje80 10 september 2008 16:41

Wat ik dan weer vreemd vind is dat de stick naar een krant is gestuurd in plaats van de rechtmatige eigenaar/defensie?!? Dit mag je prima aan de kaart stellen, maar het is wel belachelijk dat men er niet meer "eerlijk" kan zijn.

Als ik het zou vinden zou ik het terug naar defensie sturen en er niet eens over nadenken om het naar een krant te sturen...

Verwijderd @PrinsEdje80 • 10 september 2008 17:15

Nou...
a: Om te voorkomen dat de zaak in de doofpot gaat.
b: Om te voorkomen dat jij in de doofpot gaat. (lees: Je verdwijnt een paar weken/maanden in een bunker voor ondervraging.)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (40)

Sorteer op:

Weergave: