Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Majoor-generaal Richard Webber van de Amerikaanse luchtmacht heeft opdracht gegeven om draagbare opslagmedia in de ban te doen. De actie is onderdeel van een grotere campagne om het uitlekken van informatie te voorkomen.

Het Amerikaanse tijdschrift Wired heeft de hand weten te leggen op een brief van de majoor-generaal waarin hij beveelt om 'onmiddellijk te stoppen met het gebruik van draagbare opslagmedia op alle systemen en standalone-apparaten binnen Siprnet'. Siprnet is het geheime netwerk van de Amerikaanse defensie. "Onrechtmatige gegevensoverdracht met behulp van draagbare opslagmedia komt regelmatig voor en is voor interne kwaadwillenden een manier om geheime informatie te misbruiken", zo staat in de brief.

Wired schrijft verder dat de andere takken van de Amerikaanse strijdkrachten vergelijkbare orders hebben ontvangen. Dit zou onder andere inhouden dat Amerikaanse militairen vrijwel geen dvd's, cd's en usb-sticks meer kunnen gebruiken.

Bradley Manning, de soldaat die geheime Amerikaanse documenten naar WikiLeaks liet uitlekken, heeft gezegd dat hij honderdduizenden bestanden van Siprnet heeft gedownload. Hij brandde deze bestanden op een cd, die hij van het opschrift 'Lady Gaga' voorzag. Deze schijf speelde hij vervolgens door aan WikiLeaks.

Moderatie-faq Wijzig weergave

Reacties (88)

De maatregel lijkt natuurlijk logisch, en staat stoer.
Het dodelijke effect dat de maatregel op de practische bedrijfsvoering zal hebben, zal ervoor zorgen dat de handhaving binnen de kortste keren een farce zal worden.
Op zich is dit simpel te handhaven. De cd branders vervangen door een cd speler. De speler is genoeg om updates uit te kunnen voeren.. USB kan eenvoudig afgeschermd worden (no mount) en desnoods las je een plaatje over de het poortje.

PC's aan het interne netwerk kunnen ook via email communiceren. Blijft over de standalone pc's. Meest simpele is natuurlijk om die gewoon te vervangen door een netwerk pc.

Impact op practische bedrijfsvoering is dus nul komma niks.
Enige nadeel is dat je al je apparatuur moet aanpassen... en dat zal ook niet goedkoop zijn. Daarnaast ben ik blij dat ik een fatclient heb, want de thin clients kunnen het werk wat ik doe maar net aan!
Aan de andere kant moet je ook eens berekenen hoeveel indirecte schade dit berokkend.
Het is en blijft een baten-lasten analyse
Het DoD heeft een budget van 708 billion dollars. Genoeg voor een een pc of tig. Desnoods een tank of jsf minder en ze hebben al genoeg geld voor zo'n security operation.
Maar zelfs de meest geheime netwerkenen moeten op een gegeven moment gegevens uitwisselen met de rest van de wereld. En natuurlijk zijn daar altijd oplossingen voor te vinden, maar het -op een veilige manier- organiseren daarvan betekent enorme vertragingen, die op zich weer een bedreiging gaan vormen voor de reactie-snelheid die cruciaal zijn voor dit soort netwerken. Theorie is leuk, de praktijk is gewoon anders.
"Draagbare opslagmedia' is nogal een ruim begrip... vallen HDD's in notebooks daar bijvoorbeeld ook onder?

Installatie van software zal dan ook lastig worden, daar de meeste software via CD/DVD (een draagbaar opslagmedium!) word aangeleverd...

Op zich is het goed dat men de beveiliging aanscherpt, maar dit klinkt wel heel rigoreus.
Denk dat je ook meer moet denken aan de thuiswerkende soldaat.
uiteraard zal voor upgrades, onderhoud of andere dingen waarvoor het een noodzaak is om draagbare media te gebruiken gewoon door gaan.
Maar dat kan van te voren aangevraagd en ter plekke gechecked worden.
Gezien de methode waarop de informatie naar buiten is gesmokkeld lijkt me dit een vrij logische stap. Geen mediaplayers en laptops meer mee naar binnen tenzij er werkelijk noodzaak toe is.
Mobiele telefoons zijn tegenwoordig ook 'draagbare media'.
Dat wordt nog wat!
Het lijkt mij zo ongeveer de enige daadwerkelijk goede beveiligingsmaatregel.
En best uitvoerbaar. Installatie CD/DVD's kunnen natuurlijk gewoon op een share op de server staan. (Doe ik sowieso al vanuit efficientie oogpunt...)
Diverse beveiligingsbedrijven timmeren momenteel aan de weg op het gebied van de informatiebeveiliging. Verdasys is daar een goed voorbeeld van met hun produkt Digital Guardian. Het nestelt zich in Windows met methodes die vergelijkbaar zijn met die van virussen, en zet een trap op bv. screenprints, printers, USB devices (mass storage devices), etc. Bewegingen van data wordt gelogd en regelmatig naar verzamel servers gestuurd, etc. Op afstand kunnen specifieke machines gescreend worden, geherinstalleerd, etc. Als data op externe devices gezet wordt, kan dat verplicht encrypted zijn.
Natuurlijk zijn er ook nadelen te vinden als performance issues, applicaties die niet meer kunnen opstarten of die crashen. Encrypted bestanden die niet meer te openen zijn, etc. Werkt nog niet lekker samen met bitlocker.
Maar als databeveiliging op gelockte machines is zeer aantrekkelijk voor hoger management.

[Reactie gewijzigd door Permutor op 10 december 2010 16:17]

het gaat hier niet om je prive compje die jij van software voorziet met een cd-tje Maar van een beveiligd bedrijfsnetwerk. Daar werken ze over het algemeen niet met een cd om software te installeren. Overigens is bij al heel wat bedrijven de usb poort voor externe opslag apparaten disabled. en als ie aan staat wordt elk bestandje wat gesaved wordt gelogd. eventueel ook bestanden die via de mail worden verstuurd.
Lijkt me naar al die ophef een heel gewoon vervolg van extra maat regelen.
Als je het artikel in 'Wired' leest zal je zien dat het inderdaad niet mogelijk is. Vanwege een worm was een dergelijke beperking al eens eerder van kracht, maar zodra men dacht dat de worm onder controle was werd het verbod weer opgeheven. Draagbare media zijn nu eenmaal onontbeerlijk, zeker als het om stand-alone systems gaat.

Nee, wat hier aan de hand is, is het 'beveiligen door middel van het strafrecht'. Je ontwikkelt zelf een brak beveiligingssysteem, en daarna vraag je de politie en de rechter om te zorgen dat iedereen die er met je handel vandoor gaat wordt gestraft. Deze methode is heel populair, bijvoorbeeld in zelfbedieningswinkels. Dat de juridische apparaten hiermee aan gort worden gedraaid kan deze 'beveiligers' niet schelen.

Dit princiepe leidt uiteindelijk tot een weg die majoor generaal Richard Webber misschien minder zou bevallen: de Amerikanen kunnen op deze manier dat hele leger gewoon opheffen en iedere aanvaller gewoon op de bon slingeren.

Kortom: als je een geheim niet geheim kan houden is het geen geheim. De kunst van de beveiliging van (grote) databases is de toekomst, dames en heren.
32 GB MicroSD-kaart past onder je nagel..
Dan moet je wel vrij lange nagels hebben.
En een computer die met dit opslagmedium om kan gaan. Lijkt me niet dat al die computers van cardreaders zijn voorzien terwijl externe opslag verboden is :')
Gaan ze fysiek controleren op USB sticks, CDs en microSDs?
Er zijn namelijk wel wat plaatsen waar je een USB of SD kunt steken.

Of als ze slim zijn een GPO voor het blocken van removable storage.
Admins zullen hier wel weinig last van hebben denk ik.
Bodyscan en USB en internet reguleren op de computers en natuurlijk geen cardreaders gebruiken ;)

Als je dan ook nog gebruikers gaan monitoren op gebruik van het netwerk en bestanden dan heb je een redelijk dicht systeem, waterdicht bestaat niet.
Er is nog steeds zoiets als mondeling informatie lekken.
Maar dat staat niet in verhouding met honderdduizenden bestanden publiceren.
Nee, daarvoor hebben we de printer... Gewoon in een doos stoppen en verzenden ofzo. Problem solved.
Even 240.000 documenten uitprinten en meenemen zal zeker niet opvallen nee :')

Vraagt een collega of hij ook mee kan rijden, nee vandaag ben ik met de Scania!
google cloud print.
Wordt lastig zonder google chrome en/of een cloud enabled printerdriver
lol...nee....veel printers hebben tegenwoordig een harde schijf waar ze de kopie in opslaan.

Je kan LETTERLIJK de printer meenemen, de harde schijf eruit plukken, en hup! daar heb je je lek.
Nee, daarvoor hebben we de printer
Echter, in dit soort omgevingen wordt er gelogd wie er wat print...
Of, je kan het niet eens printen, want de applicatie staat het niet toe voor het beveiligingsniveau van de informatie...
kan het niet printen.. opgeslagen in .wwf ?
Ja, maar dat is op een iets andere schaalgrootte... je kan mondeling niet zo makkelijk tienduizenden documenten lekken.

De schade is dan dus relatief beperkt.
maar dat is altijd veel minder accuraat. Het is natuurlijk maar een kleine stap maar dit beveiligen lijkt me niet meer dan logisch. Een 'geheim netwerk' dat door zoveel mensen kan worden benaderd is vragen voor security issues.
Dat is natuurlijk makkelijker te ontkennen. ;)
Dan upload je de files toch gewoon naar een anoniem email adres die je later thuis weer benaderd? Of ouderwets fotos maken van documenten "James Bond 1960"

[Reactie gewijzigd door Bulls op 10 december 2010 15:53]

Dat is makkelijk door de firewall tegen te houden... (En beter traceerbaar)

USB sticks lijken toch echt wel het grootste gevaar. Ook als je kijkt naar recente lekken in Nederland.
Het is eenvoudig genoeg om USB poorten uit te schakelen.
Ik kan al jaren niets meer met de USB poorten op mijn werk desktop.
Dat kun je ook omdraaien: Omdat het netwerk zo potdicht zit is de enige manier om er iets vanaf te halen via "draagbare media". Dus je kunt ook redeneren dat het probleem is dat het netwerk te dicht zit. Daardoor zetten mensen informatie op usb en die raken buiten de invloed van de ict organisatie.

De ameikaanse documenten zijn ook gelekt door 1 iemand met die bewuste bedoeling, terwijl er dus 2 miljoen mensen toegang hebben. Daar helpen regels minder voor.

Wat wellicht had geholpen was auditen: als iemand alle documenten benaderede had men kunnen kijken of dit terecht was.

PS, Met het elekctronisch patienten dossier kom je dus tegen een zelfde soort probleem aan: het staat op een veilig netwerk, maar wie controleert de audit logs?
Email kan je prima afschermen. Gewoon niet naar buiten de organisatie laten mailen (afvangen op sendmail of ms echange niveau) en webmail providers blokkeren. (desnoods geen internet verbinding toelaten)
Tot de eerste beste soldaat een mobieltje van nog geen €100,- meeneemt die als usb-modem kan dienen en over desnoods gewoon GPRS alles naar buiten stuurt... Zoals elders al vermeld: James Bond-toestanden zijn echt niet nodig hoor, de gemiddelde staafmixer kom (bij wijze van spreken) tegenwoordig met bluetooth en 3G.
Een tascontrole op mobieltjes en dergelijke is echt niet moeilijk te organiseren. Net zoals het plaatsen van een gsm jammer.

Bluetooth is simpel uit te zetten.

Verder schiet je weinig op met een usb modem, als je geen uitgaande usb poort tot je beschikking hebt.
Dan weiger je toch USB apparaten?
Internet valt intern vrij makkelijk te reguleren. Tegen foto's oid maken doe je inderdaad niks maar welke gek gaat van 240.000 documenten foto's maken? Je voorkomt zo dat er op grote schaal gelekt word. Een waterdicht systeem bestaat niet aangezien zoals eerder gezegd mensen in het spel zijn..
Precies.
De mens is en blijft toch de zwakste schakel.
Je moet de oplossing niet altijd in de techniek proberen te zoeken.
Ik denk dat het voor alle bedrijven en instellingen wel goed is om te kijken naar hoeveel informatie er in één keer opgehaald kan worden of zelfs als geleidelijke informatie stroom.
Wat ik me dan meteen afvraag is wat zal er gebeuren met de draagbare media die nu in omloop zijn? Worden die vernietigd of komen die op straat te liggen(files deleten en verkopen)? In dat laatste geval heeft de maatregel dus voorlopig niet zo heel veel zin lijkt me, en heeft wikileaks voorlopig weer genoeg te doen.
Dit toont maar weer aan dat de VS zijn fout toegeeft. Lekker bezig jongens! En is Wikileaks nou fout? Ik denk het niet, het zijn die prachtige werknemers, die loyale soldaatjes van jullie almachtige land! :o
Het feit dat die soldaten die lekken fout zijn maakt wikileaks natuurlijk niet minder fout.

Als jij een auto koopt waarvan je weet dat ie gestolen is maak je je net zo goed schuldig aan een misdrijf (heling) als de dief die de auto gejat heeft ;)
Precies, als je een auto verkoopt die later door een lekke band iemand dood rijdt dan ben je zelf net zo goed schuldig aan hulp bij medeplichtigheid :-P . Hou nou toch eens op met die brakke nonsense vergelijkingen.
Inderdaad geen vertrouwen meer in je werknemers hebben! Tegenwoordig weet je gewoon niet meer wie te vertrouwen is en wie wel!
bij aardig wat bedrijven is dit al lang policy. er moet er maar een zijn die net het nieuwe product voor wat geld probeert door te verkopen aan een ander bedrijf. Personeel moet je zeker niet klakkeloos vertrouwen. Dat heb je net zelf kunnen waarnemen is het niet.
Een flinke mp3-speler hoe zit dat? ;)
Heb je niks aan als je hem niet meer kan connecten met de PC

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True