NSA-medewerker aangeklaagd voor versturen geheime informatie via privémail
In de Verenigde Staten is een zestigjarige medewerker van de Amerikaanse geheime dienst NSA aangeklaagd voor het versturen van vertrouwelijke informatie via zijn eigen persoonlijke e-mailadres naar het zakelijke e-mailadres van een ander persoon. Voor zijn werk had de man toegang tot vertrouwelijke informatie met betrekking tot de nationale defensie van de VS. Deze informatie is geclassificeerd als "Top Secret", "Secret" en "Vertrouwelijk".
Alleen personen met de juiste veiligheidsmachtiging hebben geautoriseerde toegang tot dergelijke informatie. Alle vertrouwelijke informatie moet daarnaast op de juiste manier worden opgeslagen. Volgens de aanklacht verstuurde de NSA-medewerker tussen februari 2018 en juni 2020 dertien keer vertrouwelijke informatie naar een persoon die niet gerechtigd was om het te ontvangen.
Voor het versturen van de "Top Secret" en "Secret" informatie gebruikte de NSA-medewerker zijn eigen persoonlijke e-mailadres. De ontvanger van de informatie, die werkzaam was voor een niet nader genoemd bedrijf, beschikte van april 2016 tot juni 2019 wel over een veiligheidsmachtiging om Top Secret-informatie in te zien. Van juli 2019 tot januari 2021 werkte deze persoon voor een ander bedrijf en was niet geautoriseerd om deze informatie te ontvangen of in te zien.
Volgens de aanklacht waren het persoonlijke e-mailadres van de NSA-medewerker en het zakelijke e-mailadres van de ontvanger geen geautoriseerde opslaglocatie voor vertrouwelijke defensie-informatie. De NSA-medewerker is dertien keer aangeklaagd voor het opzettelijk versturen van nationale defensie-informatie en dertien keer aangeklaagd voor het opzettelijk opslaan van nationale defensie-informatie. Mocht hij schuldig worden bevonden kan de man voor elke aanklacht een gevangenisstraf van maximaal 10 jaar krijgen.
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Euh waarom, als je top secret toegangs rechten hebt moet je gewoon een login krijgen met beveiligde verbinding in desnoods een speciale ruimte om deze documenten onder je eigen account te kunnen lezen. En anders is het niet top secret blijkbaar.
Maar blijkbaar kan je bij de NSA gewoon alles op een usb stick zetten en komen ze er jaren later pas achter.
De procedures zijn veiliger dan de daadwerkelijke beveiliiging.
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
Dus niet via e-mail dan ;-0
En dan dien je een offline verzend verzoek in met wat en met wie je het wil delen, zodat je een encryptie key in je portal krijgt waarmee je het kan versleutelen. Deze key wordt gegenereerd bij de nsa met een key die aan de ontvanger is gekoppeld en die alleen de juiste ontvanger zou moeten hebben.
Dan kan je het ook gewoon op een rol wc papier kunnen printen
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
En als je het dan simpeler wil doen, maak een centrale microSD en andere media punt; Waar je de data op kan halen bij het verlaten van het pand en men weet waar het naartoe gaat.
Hoe moelijk kan het zijn, zeker gezien de budgetten die rondgaan
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
Never underestimate the bandwidth of a Rubik's cube, zie https://twitter.com/Snowden/status/726870446394716160
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
En dan staat er een adres op. Metadata dus. Hoe wil je dat pareren? Je wisselt het ene "probleem" in voor het andere.
De zender kan anoniem blijven. De ontvanger kun je algemeen houden bijvoorbeeld alleen het bedrijf, organisatie, instelling etc.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
