Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
KPN-monteur vergeet laptop
28-01-2020, 07:52 door [Account Verwijderd], 34 reacties
Laatst bijgewerkt: 28-01-2020, 07:54
De Telegraaf meldt op zijn website vanmorgen dat een KPN monteur een laptop met gevoelige gegevens heeft achtergelaten bij een klant, en deze laptop vervolgens ook niet meer heeft opgehaald.
Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Meer is te lezen op de website.
https://www.telegraaf.nl/nieuws/972447383/vergeten-laptop-toont-lekken-in-beveiliging-kpn
KPN heeft de beveiliging niet op orde, blijkt uit onderzoek van Trouw nadat een monteur zijn laptop had vergeten bij een klant en nooit meer ophaalde. De laptop gaf met enkele muiskliks toegang tot gevoelige documenten van het Nederlandse telecombedrijf. De informatie betreft onder meer zakelijke klanten, de overheid, het Amerikaanse leger en de Navo.
Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Meer is te lezen op de website.
https://www.telegraaf.nl/nieuws/972447383/vergeten-laptop-toont-lekken-in-beveiliging-kpn
Reacties (34)
Het artikel van Trouw is hier te lezen:
https://www.trouw.nl/binnenland/als-een-kpn-monteur-zijn-laptop-vergeet-ligt-de-vertrouwelijke-informatie-voor-het-oprapen~bc74efc5/
https://www.trouw.nl/binnenland/als-een-kpn-monteur-zijn-laptop-vergeet-ligt-de-vertrouwelijke-informatie-voor-het-oprapen~bc74efc5/
28-01-2020, 08:08 door
The FOSS
Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Nog even een reactie toevoegen over dit geval.
We horen wel eens over dronken automobilisten die zwaar gestraft worden wegens artikel 8 van de WvW en voor een rechter moeten verschijnen en hun rijbewijs worden afgepakt. Iets soortgelijks zou ik ook willen zien bij bedrijven die zwaar zondigen tegen de security regels. En dan heb ik het niet alleen over hoge boetes, maar ook over het in beslag nemen van digitale goederen en het justitieel vervolgen van diegenen die de beveiliging aan hun laars hebben gelapt. Misschien dat men het dan eens eindelijk leert de beveiliging wél op orde te hebben.
Welk Kamerlid of partij neemt eens het voortouw?
We horen wel eens over dronken automobilisten die zwaar gestraft worden wegens artikel 8 van de WvW en voor een rechter moeten verschijnen en hun rijbewijs worden afgepakt. Iets soortgelijks zou ik ook willen zien bij bedrijven die zwaar zondigen tegen de security regels. En dan heb ik het niet alleen over hoge boetes, maar ook over het in beslag nemen van digitale goederen en het justitieel vervolgen van diegenen die de beveiliging aan hun laars hebben gelapt. Misschien dat men het dan eens eindelijk leert de beveiliging wél op orde te hebben.
Welk Kamerlid of partij neemt eens het voortouw?
Door The FOSS:
Niet met AES versleuteld dus...
Zo aan het verhaal te lezen niet nee.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Alle harddrives van mijn laptops zijn versleuteld met een sterk wachtwoord. Als dat is ingegeven moet er opnieuw worden ingelogd met een wachtwoord om toegang te krijgen tot het bureaublad. Bestanden die gevoelig zijn, zijn na inloggen ook nog eens individueel versleuteld met AES-256.
Door Advanced Encryption Standard: Alle harddrives van mijn laptops zijn versleuteld met een sterk wachtwoord. Als dat is ingegeven moet er opnieuw worden ingelogd met een wachtwoord om toegang te krijgen tot het bureaublad. Bestanden die gevoelig zijn, zijn na inloggen ook nog eens individueel versleuteld met AES-256.
Idem hier, behalve dat laatste. Nou ja, uitgezonderd mijn KeePassX-bestand dan.
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Ik snap het niet helemaal.
Ik heb bij KPN gewerkt (niet als monteur), en ze zijn/waren eigenlijk gewoon goed bezig op dat vlak. Heel veel bedrijven doen het een stuk slechter.
Er is toen op de werkplekken (ook/vooral laptops) disk encryptie (bitlocker) aangezet, de updates worden met regelmaat gepushed, men was naar W10 gegaan, VPN gebruik is/werd beperkt tot KPN-managed devices , en als ik me goed herinner werd een screenlock (die dus inloggen vereiste) ook afgedwongen.
Gebruikelijke password policies met ik meen 90 dagen wijziging .
Ik heb toen niet geprobeerd of z'n screenlock door de gebruiker uit te schakelen was.
Op 'TeamKPN' is overigens ech niks geheims te vinden - je zoekt je al rot naar niet-geheime dingen (type ' hoe vraag ik een parkeerplaats voor m'n bezoeker aan op TP-123' - dan is de ochtend al weer om voordat je daar uit bent)
Jammer voor ze dat het met al die dingen dan nog niet voldoende was.
Ik heb bij KPN gewerkt (niet als monteur), en ze zijn/waren eigenlijk gewoon goed bezig op dat vlak. Heel veel bedrijven doen het een stuk slechter.
Er is toen op de werkplekken (ook/vooral laptops) disk encryptie (bitlocker) aangezet, de updates worden met regelmaat gepushed, men was naar W10 gegaan, VPN gebruik is/werd beperkt tot KPN-managed devices , en als ik me goed herinner werd een screenlock (die dus inloggen vereiste) ook afgedwongen.
Gebruikelijke password policies met ik meen 90 dagen wijziging .
Ik heb toen niet geprobeerd of z'n screenlock door de gebruiker uit te schakelen was.
Op 'TeamKPN' is overigens ech niks geheims te vinden - je zoekt je al rot naar niet-geheime dingen (type ' hoe vraag ik een parkeerplaats voor m'n bezoeker aan op TP-123' - dan is de ochtend al weer om voordat je daar uit bent)
Jammer voor ze dat het met al die dingen dan nog niet voldoende was.
Door Anoniem:
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Door The FOSS:
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Door Anoniem:
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Kan onder Linux ook met full disk encryptie en zonder WW op de user. Dus niet zo blaten Foss.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Door The FOSS:
Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Automatisch inloggen kan ik elk geval en ik vermoed dat het ook werkt als disk encryptie ingeschakeld is. In de (uitzonderlijke) situaties dat ik 'automatisch inloggen' configureer, schakel ik nooit disk encryptie in omdat dat dan totaal zinloos is en alleen maar rekenkracht kost.
Ai, nogal pijnlijk voor een bedrijf dat zich wil profileren als Cyber Security Dienstverlener.
https://www.kpn.com/zakelijk/security/cyber.htm
https://www.kpn.com/zakelijk/security/cyber.htm
28-01-2020, 11:21 door
The FOSS
Door Anoniem: Automatisch inloggen kan ik elk geval en ik vermoed dat het ook werkt als disk encryptie ingeschakeld is. In de (uitzonderlijke) situaties dat ik 'automatisch inloggen' configureer, schakel ik nooit disk encryptie in omdat dat dan totaal zinloos is en alleen maar rekenkracht kost.
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
Voor de goede orde; binnen KPN zijn allang geen Windows 7 laptops meer te vinden. Monteurs lopen (over het algemeen, uitzonderingen daargelaten) niet met laptops, maar met tablets rond. Dit was dan ook een prive laptop van iemand die tijdelijk is ingehuurd. En op het KPN intranet staan geen vertrouwelijke of geheime zaken. Ik vraag me dan ook af wat ze precies gevonden hebben.Volgens mij een storm in een glas water. Wie een hond wil slaan.....
Door The FOSS:
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Door Anoniem:
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Ja dat kan, zelfs met versleutelde externe schijven wanneer je bij het unlocken van de schijf aangeeft dat windows het wachtwoord voor je mag onthouden.
Door The FOSS:
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
Door Anoniem: Automatisch inloggen kan ik elk geval en ik vermoed dat het ook werkt als disk encryptie ingeschakeld is. In de (uitzonderlijke) situaties dat ik 'automatisch inloggen' configureer, schakel ik nooit disk encryptie in omdat dat dan totaal zinloos is en alleen maar rekenkracht kost.
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
//sarcasme aan
Tja, waarom zou je je "minder snuggere" gebruikers tegen zichzelf in bescherming willen nemen
Die lopen ook zonder je hulp wel in de sloot ... toch?
//sarcasme uit
In een ander artikel staat dat KPN een datalek gaat melden bij het AP
Ik neem aan dat ze dat niet doen als er niks gevoeligs op die laptop kon staan
Ik neem aan dat ze dat niet doen als er niks gevoeligs op die laptop kon staan
Door The FOSS:
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Dit is standaard. Je weet hoe TPM werkt?Door Anoniem:
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
De bitlocker key is gewoon aanwezig in de TPM chip en zal dus gewoon unlocked worden als deze aanwezig is.
Als je daarna autologin hebt op Windows, dan heb je gewoon toegang tot de lokale harddisk.
Dit heeft niets met de een Microsoft mindset te maken, maar hoe Bitlocker werkt. Er zitten wel meer meer eigenschappen aan de oplossing.
Maar dit werkt trouwens niet veel anders als op Linux waarbij je een autologin aanzet.
Misschien mis jij een bepaalde mindset hoe Full Disk Encryptie exact werkt?
Door The FOSS:
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
Nee jouw mindset is weer eens verkeerd (Whats new). Full Disk Encryptie is heel wat anders dan wat jij denkt. Door Anoniem: Automatisch inloggen kan ik elk geval en ik vermoed dat het ook werkt als disk encryptie ingeschakeld is. In de (uitzonderlijke) situaties dat ik 'automatisch inloggen' configureer, schakel ik nooit disk encryptie in omdat dat dan totaal zinloos is en alleen maar rekenkracht kost.
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
Exact het zelfde kan ik op een Linux machine configureren.
Wil je een goede oplossing hebben, dan moet je Pre Boot Authenticatie aanzetten, en een UserID/Password (of zo iets) activeren.
Door Anoniem: Voor de goede orde; binnen KPN zijn allang geen Windows 7 laptops meer te vinden. Monteurs lopen (over het algemeen, uitzonderingen daargelaten) niet met laptops, maar met tablets rond. Dit was dan ook een prive laptop van iemand die tijdelijk is ingehuurd. En op het KPN intranet staan geen vertrouwelijke of geheime zaken. Ik vraag me dan ook af wat ze precies gevonden hebben.Volgens mij een storm in een glas water. Wie een hond wil slaan.....
Ik lees het artikel in trouw:https://www.trouw.nl/binnenland/cyberveiligheid-is-kostbaar-mensenwerk-vertrouw-niet-al-je-mensen-maar-regel-het-technisch~bac031727/ Je hebt gelijk. een tijdelijke inhuur met privé spullen.
"[/i]Maar in de praktijk kan een monteur die via een uitzendbureau voor KPN werkt op intranet bij vertrouwelijke informatie over de Navo komen. Hetzelfde geldt voor een buitenstaander die zijn laptop in handen krijgt.[/i]"
Verder met:
“De risico’s nemen toe naarmate een bedrijf meer met derde partijen werkt”, zegt De Busser. “Dat is een zwakke plek. Hoe meer koppelingen je hebt naar externe partners, hoe zwakker je cybersecurity wordt."
Je moest eens weten hoeveel organisaties iet open hebben staan voor discussies afstemming incidenten. Als het niet openstaat kun je het altijd nog via het publieke github uitwisselen. Je kan daar van alles in kwijt.
Als een monteur van kpn bij allerlei soorten documenten kan komen dan kunnen die niet topgeheim zijn. Indien wel wat is er met de classificatie van die gegevens gebeurt?
Door Anoniem:
De bitlocker key is gewoon aanwezig in de TPM chip en zal dus gewoon unlocked worden als deze aanwezig is.
Als je daarna autologin hebt op Windows, dan heb je gewoon toegang tot de lokale harddisk.
Dit heeft niets met de een Microsoft mindset te maken, maar hoe Bitlocker werkt. Er zitten wel meer meer eigenschappen aan de oplossing.
Maar dit werkt trouwens niet veel anders als op Linux waarbij je een autologin aanzet.
Misschien mis jij een bepaalde mindset hoe Full Disk Encryptie exact werkt?
Door The FOSS:
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Dit is standaard. Je weet hoe TPM werkt?Door Anoniem:
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
De bitlocker key is gewoon aanwezig in de TPM chip en zal dus gewoon unlocked worden als deze aanwezig is.
Als je daarna autologin hebt op Windows, dan heb je gewoon toegang tot de lokale harddisk.
Dit heeft niets met de een Microsoft mindset te maken, maar hoe Bitlocker werkt. Er zitten wel meer meer eigenschappen aan de oplossing.
Maar dit werkt trouwens niet veel anders als op Linux waarbij je een autologin aanzet.
Misschien mis jij een bepaalde mindset hoe Full Disk Encryptie exact werkt?
Denk eens zelf na. Met TPM zorg je ervoor dat je versleutelde harde schijf niet te lezen is wanneer deze uit je computer geschroefd wordt. Indien je op je eigen computer autologin gebruikt dan heb je geen bescherming wanneer je hele computer wordt gestolen.
Door Anoniem:
Exact het zelfde kan ik op een Linux machine configureren.
Wil je een goede oplossing hebben, dan moet je Pre Boot Authenticatie aanzetten, en een UserID/Password (of zo iets [sic]) activeren.
Door The FOSS:
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
Nee jouw mindset is weer eens verkeerd (Whats [sic] new). Full Disk Encryptie is heel wat anders dan wat jij denkt. Door Anoniem: Automatisch inloggen kan ik elk geval en ik vermoed dat het ook werkt als disk encryptie ingeschakeld is. In de (uitzonderlijke) situaties dat ik 'automatisch inloggen' configureer, schakel ik nooit disk encryptie in omdat dat dan totaal zinloos is en alleen maar rekenkracht kost.
Dus de leverancier biedt de combinatie van een stalen deur met zwaar beveiligd hang en sluitwerk en een deurvastzetter om voor het gemak de deur wijd open te kunnen zetten als je 'eventjes' weg moet voor een boodschap. Oké, kwestie van mindset neem ik aan.
Exact het zelfde kan ik op een Linux machine configureren.
Wil je een goede oplossing hebben, dan moet je Pre Boot Authenticatie aanzetten, en een UserID/Password (of zo iets [sic]) activeren.
Idem (zelf nadenken, zie hierboven voor andere Anoniem).
Door The FOSS:
Denk eens zelf na. Met TPM zorg je ervoor dat je versleutelde harde schijf niet te lezen is wanneer deze uit je computer geschroefd wordt. Indien je op je eigen computer autologin gebruikt dan heb je geen bescherming wanneer je hele computer wordt gestolen.
Jij komt met theoretische mogelijkheden. Die je nu zelf ook volledig onderuit haalt. Denk eens zelf na. Met TPM zorg je ervoor dat je versleutelde harde schijf niet te lezen is wanneer deze uit je computer geschroefd wordt. Indien je op je eigen computer autologin gebruikt dan heb je geen bescherming wanneer je hele computer wordt gestolen.
Idem (zelf nadenken, zie hierboven voor andere Anoniem).
idem.... Jij komt met vage opmerkingen.De enige echte oplossing is pre-boot authenticatie. Een eventuele auto inlog maakt dan niet direct meer uit.
De wraak van KPN IS ZOET ;-)
An error occurred during a connection to www.trouw.nl. PR_END_OF_FILE_ERROR
An error occurred during a connection to www.trouw.nl. PR_END_OF_FILE_ERROR
Door Anoniem:
Door The FOSS:
Denk eens zelf na. Met TPM zorg je ervoor dat je versleutelde harde schijf niet te lezen is wanneer deze uit je computer geschroefd wordt. Indien je op je eigen computer autologin gebruikt dan heb je geen bescherming wanneer je hele computer wordt gestolen.
Jij komt met theoretische mogelijkheden. Die je nu zelf ook volledig onderuit haalt. Denk eens zelf na. Met TPM zorg je ervoor dat je versleutelde harde schijf niet te lezen is wanneer deze uit je computer geschroefd wordt. Indien je op je eigen computer autologin gebruikt dan heb je geen bescherming wanneer je hele computer wordt gestolen.
Ik weet niet waar je het over hebt als je schrijft over zelf volledig onderuit halen. Geef eens een inhoudelijke weerlegging als je dat kan. Anders kan je beter zwijgen.
28-01-2020, 20:05 door
The FOSS
Door Anoniem: Kan onder Linux ook met full disk encryptie en zonder WW op de user. Dus niet zo blaten Foss.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Aha! NADAT je je Luks WW hebt ingevoerd! Dat is het hele punt inderdaad. Het onderhavige geval betreft een situatie waar hardeschijfversleuteling op een laptop met gevoelige informatie is toegepast maar waar je desondanks in kan zonder een wachtwoord in te voeren, in te loggen.
Door The FOSS:
Aha! NADAT je je Luks WW hebt ingevoerd! Dat is het hele punt inderdaad. Het onderhavige geval betreft een situatie waar hardeschijfversleuteling op een laptop met gevoelige informatie is toegepast maar waar je desondanks in kan zonder een wachtwoord in te voeren, in te loggen.
Door Anoniem: Kan onder Linux ook met full disk encryptie en zonder WW op de user. Dus niet zo blaten Foss.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Aha! NADAT je je Luks WW hebt ingevoerd! Dat is het hele punt inderdaad. Het onderhavige geval betreft een situatie waar hardeschijfversleuteling op een laptop met gevoelige informatie is toegepast maar waar je desondanks in kan zonder een wachtwoord in te voeren, in te loggen.
Ja, natuurlijk nadat je je LUKS WW ingevoerd hebt, anders zou dat LUKS wel heel erg bagger zijn.
Dus booten/LUKS WW invoeren/laptop gebruiken (als user zonder WW)/klap, laptop dicht/Laptop open en voilla.
In KPN geval zal het wel een bitlocker zijn die bij de TPM chip bekend is en je dus wel volledige encryptie hebt maar geen user WW.
En ook LUKS kan je vergelijkbaar (heel fout) configureren. Tegen dit soort stupide configuratie is niks bestand.
Door Advanced Encryption Standard: Nog even een reactie toevoegen over dit geval.
We horen wel eens over dronken automobilisten die zwaar gestraft worden wegens artikel 8 van de WvW en voor een rechter moeten verschijnen en hun rijbewijs worden afgepakt. Iets soortgelijks zou ik ook willen zien bij bedrijven die zwaar zondigen tegen de security regels. En dan heb ik het niet alleen over hoge boetes, maar ook over het in beslag nemen van digitale goederen en het justitieel vervolgen van diegenen die de beveiliging aan hun laars hebben gelapt. Misschien dat men het dan eens eindelijk leert de beveiliging wél op orde te hebben.
Welk Kamerlid of partij neemt eens het voortouw?
We horen wel eens over dronken automobilisten die zwaar gestraft worden wegens artikel 8 van de WvW en voor een rechter moeten verschijnen en hun rijbewijs worden afgepakt. Iets soortgelijks zou ik ook willen zien bij bedrijven die zwaar zondigen tegen de security regels. En dan heb ik het niet alleen over hoge boetes, maar ook over het in beslag nemen van digitale goederen en het justitieel vervolgen van diegenen die de beveiliging aan hun laars hebben gelapt. Misschien dat men het dan eens eindelijk leert de beveiliging wél op orde te hebben.
Welk Kamerlid of partij neemt eens het voortouw?
Dronken automobilist > agent> rechtbank> cbr> dure cursus (en niet alleen dronken, ze gooien maar al te graag mensen waar ze een lekker verkeerd beeld bij kunnen maken want ja dan accepteert het gross het he voor de bijl.. tjakka hup dure cursus jij.. ze zeggen dat is je straf ..ze denken ' ja betalen, haha '
Snap niet zo goed wat dit nou te maken heeft met de security van gegevens van bedrijven......
Als die monteur bij ons een laptop vergeet, zal ik meteen KPN bellen en dit mededelen. Dat is beter dan de Telegraaf of Trouw bellen, jij bent dan onderdeel van het lek.
Door The FOSS:
Aha! NADAT je je Luks WW hebt ingevoerd! Dat is het hele punt inderdaad. Het onderhavige geval betreft een situatie waar hardeschijfversleuteling op een laptop met gevoelige informatie is toegepast maar waar je desondanks in kan zonder een wachtwoord in te voeren, in te loggen.
Door Anoniem: Kan onder Linux ook met full disk encryptie en zonder WW op de user. Dus niet zo blaten Foss.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Aha! NADAT je je Luks WW hebt ingevoerd! Dat is het hele punt inderdaad. Het onderhavige geval betreft een situatie waar hardeschijfversleuteling op een laptop met gevoelige informatie is toegepast maar waar je desondanks in kan zonder een wachtwoord in te voeren, in te loggen.
Jahh maar nu kan het natuurlijk ook gewoon dat de monteur zijn laptop vergeet, terwijl deze gewoon in slaapstand staat en veder gebruikt kan worden zonder nog een wachtwoord te hoeven invoeren. Geen screenlock, geen login, etc. Dan heb je aan dat hele LUKS wachtwoord nog steeds niets, zolang de accu van de laptop loopt, en hij zal zijn oplader ook wel vergeten zijn (laptoptas laten staan). Dus tja... En daar gaat het artikel over.
Het valt weer op dat iedereen zo goed weet dat alles encrypted moet worden want veiligheid staat voorop.
Gemakshalve wordt er aan voorbij gegaan dat voor de gemiddelde gebruiker full-disk-encryptie (en zeker in combinatie
met TPM chips) meer nadelen dan voordelen heeft. Het risico om in 1 klap alle data kwijt te zijn weegt voor de meeste
mensen zwaarder dan dat er eens een keer iemand anders naar kijkt.
(de waarde van zgn "persoonsgegevens" wordt daarbij ook zwaar overdreven en aangedikt)
Gemakshalve wordt er aan voorbij gegaan dat voor de gemiddelde gebruiker full-disk-encryptie (en zeker in combinatie
met TPM chips) meer nadelen dan voordelen heeft. Het risico om in 1 klap alle data kwijt te zijn weegt voor de meeste
mensen zwaarder dan dat er eens een keer iemand anders naar kijkt.
(de waarde van zgn "persoonsgegevens" wordt daarbij ook zwaar overdreven en aangedikt)
01-06-2020, 22:24 door
souplost
Door Anoniem:
Kan onder Linux ook met full disk encryptie en zonder WW op de user. Dus niet zo blaten Foss.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Kan onder Linux niet. Je zal toch echt een passphrase moeten ingeven anders krijg je de disk niet ge-decrypt.Door The FOSS:
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Door Anoniem:
Door The FOSS:
Niet met AES versleuteld dus...
Dat haal ik er niet uit. Het kan gewoon zijn dat de schijf met encryptie beveiligd is. Echter als je automatisch inlogt, wordt alles gewoon automatisch unlocked.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
Oké, je stelt dus dat het (theoretisch) mogelijk is dat de harde schijf versleuteld is maar dat de laptop zo is ingesteld dat er automatisch ingelogd wordt. Waarmee natuurlijk het versleutelen van de harde schijf totaal zinloos is. Oké, even schakelen naar een Microsoft mindset. Vind ik het nu wel oké? Nee, eigenlijk niet. Als je onder Windows echt automatisch kan inloggen met een versleutelde harde schijf dan is dat schandalig, werkelijk schandalig!
Kan onder Linux ook met full disk encryptie en zonder WW op de user. Dus niet zo blaten Foss.
Nadat je je Luks WW ingevoerd hebt gelden alle instellingen zoals ze ook gelden voor een niet Luks file systeem.
Door Advanced Encryption Standard:
Door The FOSS:
Niet met AES versleuteld dus...
Zo aan het verhaal te lezen niet nee.Door Advanced Encryption Standard: ... Aan het verhaal te zien was de laptop niet versleuteld en kon men gewoon binnenkomen omdat er zelfs geen wachtwoordbeveiliging op zat. Dus iedereen kon inloggen (handig!). Volgens de krant kon KPN zelfs niet meer achterhalen om welke laptop het ging. Een duidelijke security-FAIL van de eerste orde.
Niet met AES versleuteld dus...
En ook niet eens versleuteld met "The Final Obsolete Security Service"
Door Anoniem: Als die monteur bij ons een laptop vergeet, zal ik meteen KPN bellen en dit mededelen. Dat is beter dan de Telegraaf of Trouw bellen, jij bent dan onderdeel van het lek.
Onjuist. Het lek bestond op dat moment al.
Door Anoniem: Als die monteur bij ons een laptop vergeet, zal ik meteen KPN bellen en dit mededelen. Dat is beter dan de Telegraaf of Trouw bellen, jij bent dan onderdeel van het lek.
Ik doe geen van tweëen. Ik formateer hem, zet Ubuntu erop en ik heb gratis een laptop.
05-06-2020, 08:37 door
Bitje-scheef
Door Anoniem:
Door Anoniem: Als die monteur bij ons een laptop vergeet, zal ik meteen KPN bellen en dit mededelen. Dat is beter dan de Telegraaf of Trouw bellen, jij bent dan onderdeel van het lek.
Ik doe geen van tweëen. Ik formateer hem, zet Ubuntu erop en ik heb gratis een laptop.Hahaha... floepert.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
