Werknemer kernwapen lab verliest laptop tijdens vakantie
De beveiligingsproblemen bij Los Alamos, het laboratorium waar de Amerikaanse atoombom werd ontwikkeld, zijn nog lang niet voorbij. Na de onthulling dat geheime informatie over kernwapens via onbeveiligde e-mail verstuurd werd, blijkt nu dat een werknemer zijn werklaptop tijdens zijn vakantie is verloren. En dat is niet het enige, want wederom is er zeer vertrouwelijke informatie over kernwapens via het open internet in plaats van het beveiligde defensie netwerk verstuurd.
De informatie op de laptop zou overheidsdocumenten van een zeer vertrouwelijke aard bevatten. De machine was voorzien van een geavanceerde versleutelingskaart waarvan de export door de overheid wordt geregeld. Tijdens zijn vakantie in Ierland werd de machine uit de hotelkamer van de werknemer gestolen. Inmiddels is het laboratorium een grootschalige operatie gestart om alle laptops te inventariseren.
Wat betreft de e-mailblunder laat de minister van Energie weten: "Ik kan bevestigen dat er vertrouwelijke informatie onbewust via een onbeveiligd e-mailsysteem is verstuurd. Hoewel ernstig, is het incident het gevolg van een menselijke fout, en niet van een falend beveiligingssysteem. Het ministerie doet er alles aan om menselijke fouten te voorkomen. We hebben daarom een robuust systeem om overtredingen te melden, en dit is een geval waarbij dit systeem goed heeft gewerkt."
op vakantie?
Vooral als er vertrouwelijke data op staat, denk je als
gebruiker toch aan de gevolgen die het kan hebben.
Verder heb je die laptop op VAKANTIE totaal niet nodig naar
mijn mening.
done" voor zo'n instantie...
wordt gebruik gemaakt van een token. Wellicht zelfs 2-factor
authenticatie. Als het token niet mee is gestolen/verloren
lijkt me dat de vertrouwelijkheid niet in het geding is en
dit bericht dus vooral sensationeel is...
Als ik het bericht goed lees, is die laptop versleuteld en
wordt gebruik gemaakt van een token. Wellicht zelfs 2-factor
authenticatie. Als het token niet mee is gestolen/verloren
lijkt me dat de vertrouwelijkheid niet in het geding is en
dit bericht dus vooral sensationeel is...
crypto algoritmes geheim houdt. Als deze laptop met een
suite A cypher versleuteld is, dan zou het (theoretisch
wellicht) kunnen dat het algoritme nu in handen is van een
vreemde mogendheid (denk China) die de techniek in huis
heeft om het algoritme te reverse engineeren. Als je bedenkt
dat suite A zeer tightly controlled is, dan snap je wellicht
waarom dit verregaande gevolgen zou kunnen hebben.
het Internet, als je hem over een lange afstand wil
afleveren kan je b.v. even googlen op Nike Hercules en alle
bouwtekeningen vinden....
Dit is dus uitsluitend belangrijk als er eventueel 'nieuwe
uitvindingen' op de Laptop zouden staan....
Er is een reden waarom de amerikaanse overheid bepaalde
crypto algoritmes geheim houdt. Als deze laptop met een
suite A cypher versleuteld is, dan zou het (theoretisch
wellicht) kunnen dat het algoritme nu in handen is van een
vreemde mogendheid (denk China) die de techniek in huis
heeft om het algoritme te reverse engineeren. Als je bedenkt
dat suite A zeer tightly controlled is, dan snap je wellicht
waarom dit verregaande gevolgen zou kunnen hebben.
Suite A is voor de nog strenger te beveiligen data dan Suite
B (waarin onder andere AES) zit. Met andere woorden: die
algoritmes moeten aan nog strengere eisen voldoen. Dus dat
reverse engineeren is volstrekt nutteloos, aangezien het
tegen Suite B al geen verweer is. De key recovery is wat
moeilijk is. Wat je zegt is gewoon regelrechte onzin.
zou zelf ook als een wapen beschouwd moeten worden. Bij een werkgever als
de politie (zowel België, Nederland als de V.S.) mogen wapens niet op
vakantie meegenomen worden. Waarom mag één of andere hoge chef bij Los
Alamos dat dan wel?
Er is een reden waarom de amerikaanse overheid bepaalde
crypto algoritmes geheim houdt. Als deze laptop met een
suite A cypher versleuteld is, dan zou het (theoretisch
wellicht) kunnen dat het algoritme nu in handen is van een
vreemde mogendheid (denk China) die de techniek in huis
heeft om het algoritme te reverse engineeren. Als je bedenkt
dat suite A zeer tightly controlled is, dan snap je wellicht
waarom dit verregaande gevolgen zou kunnen hebben.
Suite A is voor de nog strenger te beveiligen data dan Suite
B (waarin onder andere AES) zit. Met andere woorden: die
algoritmes moeten aan nog strengere eisen voldoen. Dus dat
reverse engineeren is volstrekt nutteloos, aangezien het
tegen Suite B al geen verweer is. De key recovery is wat
moeilijk is. Wat je zegt is gewoon regelrechte onzin.
is het uitlekken van een suite A cypher potentieel
problematischer, omdat er dan meer bekend wordt over de
werking van het betreffende cypher, waardoor een meer
gerichte aanval op het algoritme mogelijk wordt. De NSA
houdt suite A cyphers niet voor niets geheim.
En denk eens aan hardware crypto modules... wellicht met
custom chips die nu ook in handen van de vijand kunnen vallen.
van een falend beveiligingssysteem."
Is het feit dat deze menselijke fout gemaakt kon worden geen gevolg van
een falend beveiligingssysteem ?
mijn mening."
Da's erg makkelijk geconcludeerd, want er zijn genoeg mensen die wel
tijdens vakantie nog bezig zijn met werkgerelateerde zaken. Wel is dan de
vraag of er geen onnodige documentatie op stond.
Wie met vertrouwelijke documenten werkt op zijn laptop, dient een
bedrijfslaptop wanneer deze op reis gaat eerst schoon te maken, zodat er
geen onnodige informatie meer op staat (hierbij ervanuitgaand dat hij
inderdaad de laptop nodig had tijdens zijn reis) ?
Hoezo "zelfs" 2-factor ? Lijkt me eerder het minimum beveiligingsniveau in
de branche waar deze man werkt. 3-factor lijkt me zinniger.
"Hoewel ernstig, is het incident het gevolg van een
menselijke fout, en niet
van een falend beveiligingssysteem."
Is het feit dat deze menselijke fout gemaakt kon worden geen
gevolg van
een falend beveiligingssysteem ?
Menselijke fouten zijn alleen uit te sluiten door de mens
uit het proces te verwijderen.
VERPLICHTEN om bijvoorbeeld CITRIX sessies te gebruiken. Dit voorkom
alle leed..
Jr
op een standalone computer moeten staan binnen het bedrijf
onder strenge bewaking waarvan dagelijks een back-up wordt
gemaakt.
Het kan ook zijn dat de laptop door een kruimeldief is gejat en deze
opnieuw geinstalleerd heeft en daarna doorverkocht.
Waarom zegt iedereen meteen dat er nu overal A-bommen gaan
vliegen.
Het kan ook zijn dat de laptop door een kruimeldief is gejat
en deze
opnieuw geinstalleerd heeft en daarna doorverkocht.
Een a-bom maken is trouwens niet zo moeilijk... een
betrouwbare a-bom die jou als maker niet om zeep helpt is
veel lastiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
