"Pentagon zoekt zondebok wegens beveiligingsblunder"
De Amerikaanse Defensiemedewerker die onlangs werd gearresteerd wegens het rondsnuffelen in gegevens waar hij geen toestemming voor had, beweert dat het Pentagon hem als zondebok gebruikt. Brian Keith Montgomery en nog tienduizenden andere analisten ontvingen een e-mail met het wachtwoord tot een geheim project, waar ze niets mee te maken hadden. De analist besloot vervolgens twee keer op het geclassificeerde systeem in te loggen. Hoewel er een waarschuwing werd gegevens dat ongeautoriseerde gebruikers niet mochten inloggen, zegt Montgomery die niet gezien te hebben.
Volgens de aanklacht bracht hij door zijn handelen schade aan het Amerikaanse leger en de FBI toe. Zelf ziet hij zich niet als hacker of als klokkenluider en vindt hij zijn vervolging wegens het gebruik van een wijdverspreid wachtwoord onterecht. "Zelf zou ik achter de persoon aangaan die mij de informatie verstrekte. Ik was slechts een gebruiker. Ik ben niet degene die de gebruikersnaam en wachtwoord voor tienduizenden analisten openbaar maakte."
Reacties (16)
De defensiemedewerker in kwestie nam de beslissing om in te loggen op het systeem, ook al had hij dat voor zijn werk niet nodig. Dat betekent schending van het need-to-know principe. Dat had hij moeten weten.
Systeembeheerders die de mailbox van de directeur lezen worden er ook terecht uit gegooid, zij hebben ook geen need to know.
Systeembeheerders die de mailbox van de directeur lezen worden er ook terecht uit gegooid, zij hebben ook geen need to know.
Ook politiemensen zijn in Nederland ontslagen toen bleek dat ze inlogten in een systeem waar ze niets te zoeken hadden...
Boontje komt om loontje
Boontje komt om loontje
21-09-2009, 14:12 door
[Account Verwijderd]
[Verwijderd]
tijd voor een aanpassing in de wet.
als je je accountgegevens van iemand krijgt, ben je automatisch geautoriseerd.
dat zal ze leren...
als je je accountgegevens van iemand krijgt, ben je automatisch geautoriseerd.
dat zal ze leren...
Door Hugo: Het kan wel wezen dat hij volgens een need-to-know principe niet had mogen inloggen, maar hem arresteren is een verkeerde aanpak van het probleem. Het voorkomt namelijk geen herhaling en verbetert de beveiliging niet. De verspreider, daar moet mee gepraat worden om te achterhalen hoe en waarom het mis ging.
Need-to-know is een principe om er voor te zorgen dat mensen niet te veel informatie krijgen. Te veel weten maakt mensen kwetsbaarder. Mensen die in dit soort organisaties werken hebben zonder uitzondering een security clearance, en 1 van de aspecten waar je op beoordeeld wordt is persoonlijke integriteit. Als jij doelbewust het NTK-principe schendt, dan handel je in strijd met die integriteit. Dat is op zich al voldoende reden om de clearance in te trekken. Ik ben wel met je eens dat het nodig is om na te gaan waarom die email verstuurd is, maar integere mensen negeren de informatie uit de email, melden het incident bij de security manager en gaan niet zitten grasduinen in de database. Vind je het niet interessant dat er maar 1 van die 10.000 wel heeft ingelogd, terwijl de rest dat niet gedaan heeft?
"De defensiemedewerker in kwestie nam de beslissing om in te loggen op het systeem, ook al had hij dat voor zijn werk niet nodig. Dat betekent schending van het need-to-know principe. Dat had hij moeten weten. "
Hij had ook per email credentials gekregen om op het systeem aan te kunnen loggen. Het need-to-know principe voor de verstrekker van de informatie, en niet voor de ontvanger. Je kunt immers lastig als ontvanger bepalen of je bepaalde informatie nodig hebt, indien je nog niet van die informatie op de hoogte bent. Verder is het m.i. de vraag of de man wist dat hij ten onrechte de account informatie had gekregen, of dat hij zich daar niet van bewust was. Indien hij zich daarvan bewust was, dan heeft men een punt.
"Systeembeheerders die de mailbox van de directeur lezen worden er ook terecht uit gegooid, zij hebben ook geen need to know. "
Het is heel wat anders of je de mailbox van iemand anders leest (en daarbij zijn credentials misbruikt), of dat je aanlogt op een systeem met je eigen credentials (die al dan niet terecht aan je zijn verstrekt). Wat dat betreft ben je appels met peren aan het vergelijken.
"Het kan wel wezen dat hij volgens een need-to-know principe niet had mogen inloggen, maar hem arresteren is een verkeerde aanpak van het probleem. Het voorkomt namelijk geen herhaling en verbetert de beveiliging niet. "
De arrestatie kan wel degelijk herhaling voorkomen, en de beveiliging verbeteren. Je gaat voorbij aan het preventieve effect, waarbij je anderen wilt ontmoedigen om soortgelijke (vermeende?) fouten te begaan. Indien je bij overtreding van regels geen handhaving toepast, dan hebben regels weinig zin ?
Hij had ook per email credentials gekregen om op het systeem aan te kunnen loggen. Het need-to-know principe voor de verstrekker van de informatie, en niet voor de ontvanger. Je kunt immers lastig als ontvanger bepalen of je bepaalde informatie nodig hebt, indien je nog niet van die informatie op de hoogte bent. Verder is het m.i. de vraag of de man wist dat hij ten onrechte de account informatie had gekregen, of dat hij zich daar niet van bewust was. Indien hij zich daarvan bewust was, dan heeft men een punt.
"Systeembeheerders die de mailbox van de directeur lezen worden er ook terecht uit gegooid, zij hebben ook geen need to know. "
Het is heel wat anders of je de mailbox van iemand anders leest (en daarbij zijn credentials misbruikt), of dat je aanlogt op een systeem met je eigen credentials (die al dan niet terecht aan je zijn verstrekt). Wat dat betreft ben je appels met peren aan het vergelijken.
"Het kan wel wezen dat hij volgens een need-to-know principe niet had mogen inloggen, maar hem arresteren is een verkeerde aanpak van het probleem. Het voorkomt namelijk geen herhaling en verbetert de beveiliging niet. "
De arrestatie kan wel degelijk herhaling voorkomen, en de beveiliging verbeteren. Je gaat voorbij aan het preventieve effect, waarbij je anderen wilt ontmoedigen om soortgelijke (vermeende?) fouten te begaan. Indien je bij overtreding van regels geen handhaving toepast, dan hebben regels weinig zin ?
simpel, hij is onschuldig. Hij wordt aangeklaagd omdat hij als "ongeautoriseerd" wordt bestempeld. Hij heeft echter wel een gebruikersnaam en wachtwoord gekregen, en dus wel geautoriseerd. :)
Hij heeft niet op illegale wijze toegang verkregen tot het systeem.
Hij heeft niet op illegale wijze toegang verkregen tot het systeem.
Door Anoniem: simpel, hij is onschuldig. Hij wordt aangeklaagd omdat hij als "ongeautoriseerd" wordt bestempeld. Hij heeft echter wel een gebruikersnaam en wachtwoord gekregen, en dus wel geautoriseerd. :)
Hij heeft niet op illegale wijze toegang verkregen tot het systeem.
Hij heeft niet op illegale wijze toegang verkregen tot het systeem.
Voor nederlandse begrippen niet ja, maar voor de amerikaanse wel.
Door Anoniem: "De defensiemedewerker in kwestie nam de beslissing om in te loggen op het systeem, ook al had hij dat voor zijn werk niet nodig. Dat betekent schending van het need-to-know principe. Dat had hij moeten weten. "
Hij had ook per email credentials gekregen om op het systeem aan te kunnen loggen. Het need-to-know principe voor de verstrekker van de informatie, en niet voor de ontvanger. Je kunt immers lastig als ontvanger bepalen of je bepaalde informatie nodig hebt, indien je nog niet van die informatie op de hoogte bent. Verder is het m.i. de vraag of de man wist dat hij ten onrechte de account informatie had gekregen, of dat hij zich daar niet van bewust was. Indien hij zich daarvan bewust was, dan heeft men een punt.
Bullshit.Hij had ook per email credentials gekregen om op het systeem aan te kunnen loggen. Het need-to-know principe voor de verstrekker van de informatie, en niet voor de ontvanger. Je kunt immers lastig als ontvanger bepalen of je bepaalde informatie nodig hebt, indien je nog niet van die informatie op de hoogte bent. Verder is het m.i. de vraag of de man wist dat hij ten onrechte de account informatie had gekregen, of dat hij zich daar niet van bewust was. Indien hij zich daarvan bewust was, dan heeft men een punt.
Als ik jou een staatsgeheim document toe stuur weet jij ook heel goed dat jij die informatie niet hoort te hebben (ofwel, dat jij geen NTK hebt). Dat staat volkomen los van de vraag of ik jou die informatie toe had moeten sturen of niet.
Zeker mensen die in dit soort omgevingen werken zijn zich bewust van NTK, en welke informatie ze wel en welke ze niet nodig hebben. Die compartimentisering is er bewust in aangebracht om schade te beperken en mensen minder kwetsbaar te maken (voor chantage bijvoorbeeld).
"Als ik jou een staatsgeheim document toe stuur weet jij ook heel goed dat jij die informatie niet hoort te hebben (ofwel, dat jij geen NTK hebt). Dat staat volkomen los van de vraag of ik jou die informatie toe had moeten sturen of niet. "
Onzin. Voordat je het document bekijkt weet je niet of het staatsgeheim is, of op andere wijze is geclassificeerd. Zodra je het document gaat lezen, en die informatie ziet, dan weet je al meer dan toegestaan onder het need-to-know principe, waardoor de verantwoording ligt bij de verstrekker van de informatie. Hoe weet jij van een document, wat je nog niet hebt gelezen, waar het over gaat, en of het geclassificeerd is ? Een geheimhoudingsplicht geldt voor de geheimhouder, en niet voor de ontvanger van de informatie.
Daarnaast ga je volledig voorbij aan de vraag of de man zich bewust was of niet van het feit dat hij niet op het systeem mocht aanloggen. Indien ik een email krijg van mijn werkgever met credentials voor een nieuw systeem, dan moet ik in principe ervan uit kunnen gaan dat dat impliceert dat ik ook geautoriseerd ben om het systeem te mogen gebruiken.
Onzin. Voordat je het document bekijkt weet je niet of het staatsgeheim is, of op andere wijze is geclassificeerd. Zodra je het document gaat lezen, en die informatie ziet, dan weet je al meer dan toegestaan onder het need-to-know principe, waardoor de verantwoording ligt bij de verstrekker van de informatie. Hoe weet jij van een document, wat je nog niet hebt gelezen, waar het over gaat, en of het geclassificeerd is ? Een geheimhoudingsplicht geldt voor de geheimhouder, en niet voor de ontvanger van de informatie.
Daarnaast ga je volledig voorbij aan de vraag of de man zich bewust was of niet van het feit dat hij niet op het systeem mocht aanloggen. Indien ik een email krijg van mijn werkgever met credentials voor een nieuw systeem, dan moet ik in principe ervan uit kunnen gaan dat dat impliceert dat ik ook geautoriseerd ben om het systeem te mogen gebruiken.
Door Anoniem:
Onzin. Voordat je het document bekijkt weet je niet of het staatsgeheim is, of op andere wijze is geclassificeerd. Zodra je het document gaat lezen, en die informatie ziet, dan weet je al meer dan toegestaan onder het need-to-know principe, waardoor de verantwoording ligt bij de verstrekker van de informatie. Hoe weet jij van een document, wat je nog niet hebt gelezen, waar het over gaat, en of het geclassificeerd is ? Een geheimhoudingsplicht geldt voor de geheimhouder, en niet voor de ontvanger van de informatie.
Daarnaast ga je volledig voorbij aan de vraag of de man zich bewust was of niet van het feit dat hij niet op het systeem mocht aanloggen. Indien ik een email krijg van mijn werkgever met credentials voor een nieuw systeem, dan moet ik in principe ervan uit kunnen gaan dat dat impliceert dat ik ook geautoriseerd ben om het systeem te mogen gebruiken.
Zodra jij de titelpagina ziet weet je dat een document geclassificeerd is. Op dat moment heb je twee keuzes:Onzin. Voordat je het document bekijkt weet je niet of het staatsgeheim is, of op andere wijze is geclassificeerd. Zodra je het document gaat lezen, en die informatie ziet, dan weet je al meer dan toegestaan onder het need-to-know principe, waardoor de verantwoording ligt bij de verstrekker van de informatie. Hoe weet jij van een document, wat je nog niet hebt gelezen, waar het over gaat, en of het geclassificeerd is ? Een geheimhoudingsplicht geldt voor de geheimhouder, en niet voor de ontvanger van de informatie.
Daarnaast ga je volledig voorbij aan de vraag of de man zich bewust was of niet van het feit dat hij niet op het systeem mocht aanloggen. Indien ik een email krijg van mijn werkgever met credentials voor een nieuw systeem, dan moet ik in principe ervan uit kunnen gaan dat dat impliceert dat ik ook geautoriseerd ben om het systeem te mogen gebruiken.
1: je stopt met lezen, sluit het document, en licht de noodzakelijke instanties in
2: je leest door, want je vind het wel spannend allemaal, en de informatie ligt nu toch al op straat.
1 is de integere handelswijze, 2 niet.
Jij gaat in jouw antwoord voorbij aan de integriteit van de betreffende medewerker, iets waar ik tot nu toe iedere keer op gewezen heb. het feit dat deze man niet alleen de credentials gebruikte om zich toegang te verschaffen tot het systeem, maar dat hij dat meerdere malen gedaan heeft en op zijn gemak heeft zitten grasduinen in de informatie. In dat opzicht heeft deze man niet integer gehandeld. De integere handelswijze was geweest om dit te rapporteren en na de eerste keer niet meer in te loggen.
Nogmaals, en ik werk in dit soort organisatie, je weet als medewerker heel goed wanneer informatie wel tot je werkterrein behoord en wanneer niet. Authorisatie om dit soort informatie te gebruiken wordt ook niet zo maar gegeven, daar zijn procedures voor en die procedures worden gevolgd, geregistreerd, geaudit en indien er (bijvoorbeeld) op oneigenlijke gronden toegang verleend is dan worden daar (bijv. disciplinaire) maatregelen tegen genomen.
Analyst is zijn titel.... Tja, als ik een Analyst ben, zou ik dat ook gaan analyseren.
Maar ik ben een Security Engineer, dan wil ik weten wat er bloot word gelegd.
Maar ik ben een Security Engineer, dan wil ik weten wat er bloot word gelegd.
21-09-2009, 19:50 door
spatieman
doet dit niet denken aan die mcornic ,of hoe die britse gast heet,denken?
we zijn te lui om te beveiligen, dus we zien wel wie doet hacken,en pakken en hem op..
we zijn te lui om te beveiligen, dus we zien wel wie doet hacken,en pakken en hem op..
Over politie mensen gesproken, ik lees net dat ze geen tien, maar 19 naar afghanistan sturen, jaja word nog wat, parkeer bonnen uit delen, en wat denk je van die snelheids duivels, KASSAAAA$$$:D wahah.
Ik vindt dat er een onderscheid gemaakt moet worden in twee dingen:
1. toegang verschaffen tot de gegevens
2. rondsnuffelen in de gegevens
Hoewel toegang wellicht te verdedigen valt (je hebt immers de sociale/wettelijke plicht om potentiele veiligheidslekken te onderzoeken en te melden hihi) is het snuisteren niet goed te keuren. Aan het artikel te zien wordt deze persoon dan hier ook voor onderzocht. Het zou wellicht te verdedigen zijn indien je onderzoekt of het boven je salarisniveau/goedkeuring gaat, maar dit ruikt naar overdreven snuisteren en dan roepen dat ze een zondebok zoeken.
1. toegang verschaffen tot de gegevens
2. rondsnuffelen in de gegevens
Hoewel toegang wellicht te verdedigen valt (je hebt immers de sociale/wettelijke plicht om potentiele veiligheidslekken te onderzoeken en te melden hihi) is het snuisteren niet goed te keuren. Aan het artikel te zien wordt deze persoon dan hier ook voor onderzocht. Het zou wellicht te verdedigen zijn indien je onderzoekt of het boven je salarisniveau/goedkeuring gaat, maar dit ruikt naar overdreven snuisteren en dan roepen dat ze een zondebok zoeken.
Het is zo simpel. Deze geheel te goeder trouw zijnde meneer heeft netjes ingelogd met een geautoriseerd account/wachtwoord, waarmee hij dus de waarschuwing tegen onbevoegden mag negeren. Het bewijs dat hij volkomen in zijn recht staat/stond is dat het account niet geblokkeerd werd, verwijderd, wachtwoord gewijzigd of iets anders om latere inlogpogingen te voorkomen. Dus heeft de onterecht beschuldigde legaal een 2de keer kunnen inloggen.
Hij heeft niet onterecht gehandeld, eerder het tegendeel. De afzender van de mail met de waarmerkingskenmerken (hehehe) had een excuusmail moeten rondsturen voor deze blunder (naast waarschijnlijk ook het account verwijderen en procedure aanpassen om soortgelijke fouten in toekomst te voorkomen (nee, arresteren van onschuldigen is "haram")).
Groeten,
Anynomous
P.S. het NTK hoeft deze meneer niet te kunnen beoordelen. Wat voor jou misschien overduidelijk is (vind ik meer grootspraak), is dit voor een ander mogelijk niet.
Hij heeft niet onterecht gehandeld, eerder het tegendeel. De afzender van de mail met de waarmerkingskenmerken (hehehe) had een excuusmail moeten rondsturen voor deze blunder (naast waarschijnlijk ook het account verwijderen en procedure aanpassen om soortgelijke fouten in toekomst te voorkomen (nee, arresteren van onschuldigen is "haram")).
Groeten,
Anynomous
P.S. het NTK hoeft deze meneer niet te kunnen beoordelen. Wat voor jou misschien overduidelijk is (vind ik meer grootspraak), is dit voor een ander mogelijk niet.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
