Europol-dossiers gelekt via onbeveiligde netwerkschijf
Vertrouwelijke politiedossiers van Europol over 54 Europese terrorisme-onderzoeken waren langere tijd voor iedereen toegankelijk via internet. De bestanden waren door een medewerkster van de Nationale Politie, die tot begin dit jaar bij Europol werkte, tegen de regels vanuit het hoofdkantoor meegenomen naar huis. Vervolgens maakte zij een back-up van de documenten op een privé iOmega-netwerkschijf.
Deze netwerkschijf was zonder wachtwoord met internet verbonden, zo meldt het televisieprogramma Zembla dat de documenten ontdekte. De documenten, die zijn voorzien van meerdere geheimhoudingskenmerken, bevatten analyses van terroristische groepen en honderden namen en telefoonnummers van mensen die met terrorisme in verband worden gebracht. Het betreft voornamelijk documenten uit de periode 2006 tot 2008, waaronder analyses van de Hofstadgroep, de bomaanslagen in Madrid en verijdelde aanslagen op vliegtuigen met vloeibare explosieven. Maar er worden ook tal van terrorisme-onderzoeken genoemd die nooit in de openbaarheid zijn gekomen.
Volgens Europol heeft het datalek geen gevolgen voor lopende terrorisme-onderzoeken, maar de organisatie kan niet uitsluiten dat behalve Zembla ook anderen toegang tot de netwerkschijf hebben gehad. Ook is het volgens Europol mogelijk dat mensen die in de stukken worden genoemd nog steeds onderwerp van onderzoek zijn. Zembla heeft aangegeven de documenten niet integraal openbaar te zullen maken en geen namen van verdachten te noemen.
Lenovo, eigenaar van het merk iOmega, zegt in een reactie dat het beveiligen van de netwerkschijven een eigen verantwoordelijkheid van gebruikers is. "Je moet ook je WiFi van een wachtwoord voorzien en je auto op slot zetten", aldus woordvoerder Carina van Vlerken. De iOmega-netwerkschijven zijn tussen 2009 en 2015 geproduceerd. Alleen in het laatste jaar dat de apparaten werden gemaakt, was het instellen van een wachtwoord verplicht. In 2012 lekten er ook al Europol-gegevens via een iOmega-netwerkschijf.
Reacties (28)
wat een sukkels en dat moet uw en mijn veiligheid bevorderen?
het zijn ook net een stelletje kleine .....
het zijn ook net een stelletje kleine .....
Je zou ook kunnen leren vanuit het verleden :(
https://www.computable.nl/artikel/nieuws/outsourcing/4614339/250449/orange-blundert-bij-europol-met-iomega-lek.html
https://www.computable.nl/artikel/nieuws/outsourcing/4614339/250449/orange-blundert-bij-europol-met-iomega-lek.html
Iedere keer weer, medewerkers die gevoelige gegevens mee naar huis nemen (of een publieke cloud gebruiken). Dit zal ook niet de laatste keer zijn. Het is ook allemaal niet nodig want er zijn genoeg goede technieken om veilig vanuit huis te kunnen werken op het bedrijfsnetwerk. Het zal mij niet verbazen (en dit zie je ook bij banken) dat je bij Europol niet 'in mag bellen' Dus wat krijg je, mensen gaan met data slepen wat vele malen gevaarlijker is dan een goed ingerichte VPN, Direct Access of RD Web Access omgeving om maar iets te noemen. Het bloed kruipt waar het niet gaan kan.
Nu een beetje gaan staan wijzen naar iOmega als schuldige omdat deze geen wachtwoord zou afdwingen op haar netwerk schijven is natuurlijk min of meer hetzelfde als een kunstmest fabriek de schuld geven van een bomaanslag omdat de bom gemaakt was met kunstmest. Deze medewerkster heeft willens en wetens dossiers meegenomen terwijl dat niet mocht, er kopieën van gemaakt en deze opgeslagen op een internet-verbonden netwerkschijf. Het is haar schuld - niet dat van iOmega.
Of, zoals de wijsheid wil: there is no patch for human stupidity
Of, zoals de wijsheid wil: there is no patch for human stupidity
hahahaha. geweldig dit. Gewoon een giller. We leren gewoon helemaal niets, nemen beveiliging niet serieus en hebben gewoon een ontzettend kort geheugen. Bovendien komen leveranciers afspraken niet na en snappen het ook nog steeds voor geen meter. Zo weinig mogelijk eraan doen: zoveel mogelijk omzet.
Zoek de verschillen:
In de aflevering van KRO Reporter in december 2012 "Zo lek als een mandje". Welk merk ook alweer betrokken bij de problemen die in de aflevering pijnlijk op tafel werden gelegd? YEAH iOmega. Reactie was precies hetzelfde.
Zie ook: http://www.npo.nl/reporter/07-12-2012/KRO_1578525
Overigens deed iOmega toen de toezegging volgens mij om de software aan te passen en dit meer 'monkey proof' maken? Secure by default?
Tuurlijk we kennen niet precies het dossier en het is lastig conclusies op afstand trekken maar een leverancier van dit soort zooi moet gewoon secure by default opleveren?
In het algemeen kunnen we stellen dat mensen wat minder naief moeten zijn maar vaak is het onwetendheid en dat ze gewoon echt niet de kennis hebben om dit in te stellen of het risico uberhaupt begrijpen. Ja, het is een politie medewerker maar die werkt aan ingewikkelde en gevoelige dossiers. Maar dat is heel wat anders dan een security expert. Dat is een vak. En die moeten eindgebruikers ontzorgen door dit goed en veilig op te leveren, zodanig dat leken dit ook snappen.
Probleem van beveiligers is heel vaak: we neuzelen over zeer ingewikkelde termen en allerlei moeilijke instellingen. De gemiddelde gebruiker snapt hier helemaal niets van en kan de consequenties totaal niet overzien van een vinkje wel of niet aantikken. Dat moet ook eens verbeteren. Onverantwoordelijk? Misschien. Maar als iemand gewoon zijn/haar werk wil doen en dat is heel erg lastig door het ontbreken van fatsoenlijke IT ondersteuning dan moeten we volgens mij heel andere vragen gaan stellen.
Zoek de verschillen:
In de aflevering van KRO Reporter in december 2012 "Zo lek als een mandje". Welk merk ook alweer betrokken bij de problemen die in de aflevering pijnlijk op tafel werden gelegd? YEAH iOmega. Reactie was precies hetzelfde.
Zie ook: http://www.npo.nl/reporter/07-12-2012/KRO_1578525
Overigens deed iOmega toen de toezegging volgens mij om de software aan te passen en dit meer 'monkey proof' maken? Secure by default?
Tuurlijk we kennen niet precies het dossier en het is lastig conclusies op afstand trekken maar een leverancier van dit soort zooi moet gewoon secure by default opleveren?
In het algemeen kunnen we stellen dat mensen wat minder naief moeten zijn maar vaak is het onwetendheid en dat ze gewoon echt niet de kennis hebben om dit in te stellen of het risico uberhaupt begrijpen. Ja, het is een politie medewerker maar die werkt aan ingewikkelde en gevoelige dossiers. Maar dat is heel wat anders dan een security expert. Dat is een vak. En die moeten eindgebruikers ontzorgen door dit goed en veilig op te leveren, zodanig dat leken dit ook snappen.
Probleem van beveiligers is heel vaak: we neuzelen over zeer ingewikkelde termen en allerlei moeilijke instellingen. De gemiddelde gebruiker snapt hier helemaal niets van en kan de consequenties totaal niet overzien van een vinkje wel of niet aantikken. Dat moet ook eens verbeteren. Onverantwoordelijk? Misschien. Maar als iemand gewoon zijn/haar werk wil doen en dat is heel erg lastig door het ontbreken van fatsoenlijke IT ondersteuning dan moeten we volgens mij heel andere vragen gaan stellen.
Wat een onzin iOmega moet password gebruik afdwingen, net zoals vele andere netwerkoplossingen.
30-11-2016, 11:12 door
PietdeVries
wauw - net zoals voorspeld: iedereen wijst naar iOmega, niemand kijkt naar de medewerker die hier als een Snowden met dossiers in de weer geweest is. En de oplossingen -zoals security 'experts' wel vaker doen- zit altijd in meer hardware en nieuwe software. Niemand die zich afvraagt waarom deze dame met die dossiers aan de wandel is gegaan...
Officieren van Justitie die koffertjes verliezen met gevoelige data.
Die USB-sticks laten slingeren en die later door anderen gevonden worden.
Die 'kapotte' computers bij het grofvuil zetten en die uiteindelijk bij Peter R. de Vries terecht komen.
........
........
........
........(iets met netwerkschijven, maar dit keer geen Officier)
Hoeveel incidenten bij de overheid moeten wij intussen na al die jaren weer bijschrijven?
Het is om móe van te worden!
Die USB-sticks laten slingeren en die later door anderen gevonden worden.
Die 'kapotte' computers bij het grofvuil zetten en die uiteindelijk bij Peter R. de Vries terecht komen.
........
........
........
........(iets met netwerkschijven, maar dit keer geen Officier)
Hoeveel incidenten bij de overheid moeten wij intussen na al die jaren weer bijschrijven?
Het is om móe van te worden!
Vroegah... stond onze wiskundeleraar zijn voorhoofd te bonken tegen het schoolbord. Want, leerling begreep er niets van.
Nu bonken we onze hoofden tegen het computerscherm. Want politievrouw begreep niets van beveiliging..
Nu bonken we onze hoofden tegen het computerscherm. Want politievrouw begreep niets van beveiliging..
Grootste fout ligt bij Europol, daar zou DLP standaard moeten zijn. Beperk de mogelijkheid om data te kopiëren, weet wie dat doet en voorkom zeker, dat dit op laptops of externe apparaten gebeurt. Europol zou security specialisten in dienst moeten hebben, die dit afdwingen. Degene die dit gedaan heeft, zal ongetwijfeld een naar eigen zeggen valide reden hiervoor gehad hebben.
Misschien ziet het kabinet nu pas in hoe gevaarlijk het is als ze in Europa in sommige landen iets tegen encryptie willen doen,ze snijden zich nu zelf in de vingers door gevoelige data op straat te gooien.
Dat zal nog meer gebeuren als sommige landen van plan zijn misschien de encryptie te verzwakken.
Met dit is de wereld gewaarschuwd hoe belangrijk het is dat er encryptie bestaat.
Dat zal nog meer gebeuren als sommige landen van plan zijn misschien de encryptie te verzwakken.
Met dit is de wereld gewaarschuwd hoe belangrijk het is dat er encryptie bestaat.
Door Anoniem: Wat een onzin iOmega moet password gebruik afdwingen, net zoals vele andere netwerkoplossingen.
En dan staat er een dummy password op - net als bij al die andere thuisgebruikers.
Een thuis NAS met een muts als 'beheerder' is gewoon echt niet geschikt voor vertrouwelijke data .
al deze ellende begint natuurlijk met de vraag hoe het in hemelsnaam mogelijk kan zijn dat dit soort gegevens blijkbaar door een gebruiker eenvoudig zijn te kopiëren ....
Dat zegt iets veel belangrijkers over de techniek en procedures die ze er bij Europol op nahouden lijkt mij ??
DDK
Dat zegt iets veel belangrijkers over de techniek en procedures die ze er bij Europol op nahouden lijkt mij ??
DDK
Iomega treft hier geen blaam.
Zij zijn niet verantwoordelijk voor de domheid van gebruikers
Zij zijn niet verantwoordelijk voor de domheid van gebruikers
Punt 1: UPNP van de router uitschakelen -> de NAS kan dan tijdens installatie geen poorten openzetten en is dan niet publiek toegankelijk!
Punt 2: Mocht UPNP tijdens de installatie van de NAS hebben aangestaan, dan de poorten weer dichtzetten en UPNP uitschakelen!
Punt 2: Mocht UPNP tijdens de installatie van de NAS hebben aangestaan, dan de poorten weer dichtzetten en UPNP uitschakelen!
Tja Microsoft laten investeren in quantum computers is ook niet bijster slimme zet denk ik. Kunnen we niet een beetjeeeeeeeeeee kennis voor onszelf houden zonder dat de NSA zich via Microsoft inkoopt...
Het feit dat het mogelijk was voor die medewerkster om dat te kunnen doen is buitengewoon ernstig.
Kortom met dit bericht is in feite duidelijk geworden dat Europol wat dat betreft haar zaken niet op orde heeft. Ik hoop dat ze nu gelijk de boel grondig aanpakken daar. Een waarschuwingkje op het aanmaledscherm helpt duidelijk niet...
Dit zou gewoon niet mogelijk moeten kunnen zijn. Je zou bijna zeggen dat Europol toch een commerciele organisatie is.. die availability boven confidentiality stelt? Lol?
En dan moet je de toelatingseisen zien van de specialisten ..minimaal universitair...
Ik weet niet wat daar aan de hand is of het beleid is gewoon niet gevolgd (dat is in ieder geval een feit) of het beleid is niet in orde of het is niet geimplementeerd...
Hmm volgende vraag is iemand van de Nationale politie dan bevoegd om AL die dossiers in te zien? En waarom gaan er geen alarmbellen af als die dossiers bekeken, c.q. gedownload wordt?
En is de data van die ISPér van die beste dame al veilig gesteld? Zodat ze het dataverkeer kunnen tracen?
En heeft mevrouw niet nog ergens een backupje....in een digitale prullebak ofzo? En heeft mevrouw nog kinderen..die dit prachtig vinden? Ik bedoel maar..
Kortom met dit bericht is in feite duidelijk geworden dat Europol wat dat betreft haar zaken niet op orde heeft. Ik hoop dat ze nu gelijk de boel grondig aanpakken daar. Een waarschuwingkje op het aanmaledscherm helpt duidelijk niet...
Dit zou gewoon niet mogelijk moeten kunnen zijn. Je zou bijna zeggen dat Europol toch een commerciele organisatie is.. die availability boven confidentiality stelt? Lol?
En dan moet je de toelatingseisen zien van de specialisten ..minimaal universitair...
Ik weet niet wat daar aan de hand is of het beleid is gewoon niet gevolgd (dat is in ieder geval een feit) of het beleid is niet in orde of het is niet geimplementeerd...
Hmm volgende vraag is iemand van de Nationale politie dan bevoegd om AL die dossiers in te zien? En waarom gaan er geen alarmbellen af als die dossiers bekeken, c.q. gedownload wordt?
En is de data van die ISPér van die beste dame al veilig gesteld? Zodat ze het dataverkeer kunnen tracen?
En heeft mevrouw niet nog ergens een backupje....in een digitale prullebak ofzo? En heeft mevrouw nog kinderen..die dit prachtig vinden? Ik bedoel maar..
30-11-2016, 14:26 door
PietdeVries
Door Anoniem: <snip>Nu bonken we onze hoofden tegen het computerscherm. Want politievrouw begreep niets van beveiliging..
Vervang "politievrouw" maar door "99% van de wereldbevolking". Want het Mirai botnet is echt niet groot geworden omdat de eindgebruiker zoveel sjoege had van security. En ransomeware brengt alleen geld in het laatje omdat we *en* overal op klikken *en* we patchen van onze software zoveel mogelijk uitstellen.
't Enige goede nieuws ondanks deze frustratie is dat er gelukkig ook gebieden zijn waar wij als security professionals heerlijk onwetend zijn, en ons als eind gebruikers een oor laten aannaaien...
30-11-2016, 16:30 door
karma4
Door PietdeVries: wauw - net zoals voorspeld: iedereen wijst naar iOmega, niemand kijkt naar de medewerker die hier als een Snowden met dossiers in de weer geweest is. En de oplossingen -zoals security 'experts' wel vaker doen- zit altijd in meer hardware en nieuwe software. Niemand die zich afvraagt waarom deze dame met die dossiers aan de wandel is gegaan...
Ik zie nog wel enkele reacties die het niet in techniek zoeken.Laten we de secùrity specialisten die enkel op zoek zijn naar techische oplossingen om tegen domme acties te beschermen maar plaatsen bij die domme gebruikers.
Techniek moet een hulpmiddel bij het gebruik zijn niet een belemmering. Zodra er een belemmering gezien wordt is er iets aan de hand. Of de gebruiker voorlichten en deelgenoot maken van het issue of de techniek eenvoudiger en veiliger tegelijkertijd zien te krijgen. Eerst analyseren wat je opties zijn.
Door PietdeVries: Nu een beetje gaan staan wijzen naar iOmega als schuldige omdat deze geen wachtwoord zou afdwingen op haar netwerk schijven is natuurlijk min of meer hetzelfde als een kunstmest fabriek de schuld geven van een bomaanslag omdat de bom gemaakt was met kunstmest. Deze medewerkster heeft willens en wetens dossiers meegenomen terwijl dat niet mocht, er kopieën van gemaakt en deze opgeslagen op een internet-verbonden netwerkschijf. Het is haar schuld - niet dat van iOmega.
Of, zoals de wijsheid wil: there is no patch for human stupidity
Of, zoals de wijsheid wil: there is no patch for human stupidity
Europol zal niet gewezen hebben naar iOmega.
Ik denk dat Zembla een punt heeft willen maken en anderen heeft willen waarschuwen.
Vanochtend de verklaring van betrokken gehoord op BNR. Ze heeft de laptop geback-upt op een iOmega schijf. Dat is een externe harde schijf die ook aan internet kan hangen. ( wist ze niet!! ) Kun je de vrouw wat kwalijk nemen? Dat ze een back-up maakt is goed, dat deze via de iOmega schijf aan internet hangt is fout. Maar... veel bedrijfsnetwerken hebben geen voorzieningen om een laptop te back-uppen. Laten we nu eens beginnen met het maken van back-up voorzieningen voor laptops in de bedrijfsnetwerken. Daarmee neemt de noodzaak om thuis je laptop te back-uppen af en neemt ook het risico op dit soort fouten af
Bestaan er ook ethernetnassen die je niet aan het internet hoeft te jassen?
Welke?
Welke?
Door Anoniem: Vanochtend de verklaring van betrokken gehoord op BNR. Ze heeft de laptop geback-upt op een iOmega schijf. Dat is een externe harde schijf die ook aan internet kan hangen. ( wist ze niet!! ) Kun je de vrouw wat kwalijk nemen? Dat ze een back-up maakt is goed, dat deze via de iOmega schijf aan internet hangt is fout. Maar... veel bedrijfsnetwerken hebben geen voorzieningen om een laptop te back-uppen. Laten we nu eens beginnen met het maken van back-up voorzieningen voor laptops in de bedrijfsnetwerken. Daarmee neemt de noodzaak om thuis je laptop te back-uppen af en neemt ook het risico op dit soort fouten af
Het zal wel aan mij liggen ... Deze mevrouw hoort helemaal geen gevoelige data mee naar huis te nemen en die thuis te back-uppen! Een thuisomgeving is geen bedrijfsomgeving. En als er dan toch zo nodig moet worden geback-upt dan moet dit naar een(encrypted) cloud oplossing worden gedaan. Indien goed ingericht moet dit zonder problemen kunnen. Je kan namelijk niet zeggen dat mevrouw niet over Internet beschikt. Het is hier op alle niveaus fout gegaan.
Zoals gebruikelijk(want kost geld) worden de gebruikers bij de meeste bedrijven niet geïnstrueerd hoe met de technische middelen om te gaan en wat de gevaren zijn. Dat zou je toch van Europol mogen verwachten.
30-11-2016, 21:13 door
karma4
Door Anoniem: ... Een thuisomgeving is geen bedrijfsomgeving. En als er dan toch zo nodig moet worden geback-upt dan moet dit naar een(encrypted) cloud oplossing worden gedaan....
Eens, een bedrijfslaptop die standaard dicht staat (geen uitgaan usb verkeer) Alle data via bedrijfsnetwerken gebackupped en met DR. Gebruik van roaming profiles voor DR. Lijkt me de normale benadering, wat is er niet goed gegaan om dat bereiken.Vraagje waar ik mee zit na het zien van de documentaire.
Hoe kan het dat al die iOmega NAS apparaten vanuit het internet uit te lezen zijn? Ik begrijp dat als je geen wachtwoord instelt dat iedereen in je thuis netwerk je data kan lezen. Maar tussen iOmega NAS en het internet zit toch nog altijd je modem/router? En deze hebben toch standaard je router en/of NAT functionaliteit die je thuisnetwerk standaard onbereikbaar maakt?
Of zit dat soms in de UPNP? Kan elk apparaat zomaar via dat protocol op de modem/router van de ISP de boel openzetten? Is dat dan standaard 'aan' op je modem/router?
Alvast bedankt voor de toelichting!
Hoe kan het dat al die iOmega NAS apparaten vanuit het internet uit te lezen zijn? Ik begrijp dat als je geen wachtwoord instelt dat iedereen in je thuis netwerk je data kan lezen. Maar tussen iOmega NAS en het internet zit toch nog altijd je modem/router? En deze hebben toch standaard je router en/of NAT functionaliteit die je thuisnetwerk standaard onbereikbaar maakt?
Of zit dat soms in de UPNP? Kan elk apparaat zomaar via dat protocol op de modem/router van de ISP de boel openzetten? Is dat dan standaard 'aan' op je modem/router?
Alvast bedankt voor de toelichting!
Door PietdeVries: Nu een beetje gaan staan wijzen naar iOmega als schuldige omdat deze geen wachtwoord zou afdwingen op haar netwerk schijven
Zij hebben hier zeer veel schuld aan! Een NAS die out-of-the-box zonder password draait maar WEL met UPnP de
poort naar internet openzet dat is gewoon crimineel nalatig.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
