En denk eraan voordat uw personeel het pand verlaat een strook duct-tape over hun mond te plakken!

Kun je voorkomen door de sticks te versleutelen.

Maar ja, of dat wel van de Europese Commisie mag hè?
Die ziet immers achter elke versleuteling een crimineel schuilhouden...

Alleen jammer dat je toetsenbord, muis en Europese oplader voor je iPhone ook USB nodig hebben. Je kan dus niet de poort onklaar maken. De U in USB staat voor Universal. Je computer kan niet zonder.

Dat snap ik niet .
Is dit nu gewoon je relfex "alles los je op met "versleutelen" ?

Je weet dat het probleem hier NIET is "usb stick onderweg verloren" ?

Het probleem is hier - personeel zet bewust data op USB stick en neemt die mee naar buiten .

Dan moet de versleuteling zodanig zijn dat ook de eigenaar (/gebruiker) van de computer die de stick versleutelde 'm NIET kan gebruiken "buiten" . En ook niet in staat is de versleuteling op de sticks uit te zetten .

Misschien kan dat inderdaad - alleen, wat is dan het punt om USB wel aan te laten staan voor versleutelde sticks die NIET op een ander device te ontsleutelen zijn , in elk geval niet door de gebruiker van de bron computer ?
Als je normaal een USB stick gebruikt is dat nu juist voor data transfer .

Dus - je mag een USB stick gebruiken, maar de hele zaak is zodanig ingericht dat je die alleen maar kunt gebruiken in de bron-computer .
Wat is dan het doel ? "Backup" - zou in theorie kunnen, alleen in zo'n beheerde omgeving waarvoor dit advies gegeven wordt is "backups" ook geregeld, en niet door de eingebruiker een USB stick te laten bewaren.


Dus nee - als je doel is om "data transfer via USB storage uitschakelen" dan lijkt "encryptie waarbij de data elders ontoegankelijk is ook voor de gebruiker die de storage eraan hangt" me een heel omslachtige en dubieuze manier - vergelijken met "USB storage uit" .


Die rant is hier niet op z'n plaats , omdat encryptie van externe storage helemaal geen handige oplossing is voor _dit_ probleem van insider data theft.

Nog niet gehoord van software waarmee je kunt voorkomen dat een USB stick werkt (en je gewoon de USB poort kunt blijven gebruiken voor bijvoorbeeld opladen)? Verrassing voor je: die is er.

Dan start je op met een Live CD van Ubuntu, of Kali Linux. Probleem opgelost, je software om USB sticks te blokkeren wordt nooit geladen.

Heb ooit gelezen dat bij de belastingdienst de usb poorten op de pc, laptops niet werken, om te voorkomen dat gegevens op straat komen te liggen.
Als het daar kan, waarom dan elders niet?

Wie zegt dat je vanaf die live cd bij de data kunt die je naar buiten wilt smokkelen ?
En wie zegt trouwens dat boot vanaf CD enabled is ? Of enable-baar ?

En wie zegt dat er uberhaupt een CD speler in het apparaat zit ?

Wie zegt dat Ubuntu of Kali tegenwoordig nog op een CD past? Bovendien heeft de Live CD van Ubuntu op dit moment problemen om te starten van DVD https://bugs.launchpad.net/ubuntu/+source/casper/+bug/1930880. De Live CD vanaf USB stick heeft geen problemen.

Ik zie verder niet waarom de Live CD niet overal bij zou kunnen. De datadief heeft de credentials en de hardware die daarvoor nodig is. Een wachtwoord op het BIOS is ook nog wel te omzeilen door bijvoorbeeld de CMOS te resetten.

Beter is gewoon om de USB poorten eruit te slopen, maar dat kan niet omdat het voor andere dingen nodig is.

Blijkbaar ben je blijven hangen in de Pentium tijd, als je alleen maar denkt aan "reset BIOS password" .

Hint : versleutelde harddisk, TPM chip voor de harddisk encryptie - en uberhaupt weinig of geen data op het werkstation maar alles op de server(s).

Je usernaam/password is niet voldoende om bij de server te komen, want het betreffende station moet bekend zijn in het domain. (je komt zelfs niet op het netwerk - 802.1x/NAC - ja ook alleen voor een station dat in het domain hangt)
Dat is het OS dat je omzeilt hebt wel, maar je bootable Linux op dat stuk hardware niet.

Als een enterprise setup goed ingericht is zijn gewone eindgebruiker credentials NIET voldoende om dat soort dingen te omzeilen ook niet met een bootable USB.

Leuk al die "oplossingen" te lezen.
Het grootste risico bij datadiefstal zijn de backups, het is vrij eenvoudig een backup te maken en te dumpen naar een externe server. Tegenwoordig heeft alles en z'n moeder toegang tot het internet en is een database dumpen naar het internet kinderspel. Of moeten we het internet gaan beperken?

Ik heb dit jaar bij een groot IT bedrijf gewerkt, en ben daarvoor gedetacheerd geweest bij een groot technologiebedrijf. Van beide kreeg ik een laptop van de zaak waarop USB sticks niet werkten voordat ze versleuteld waren met keys die in de TPM chip van de laptop stonden zodat ik er thuis niks mee zou kunnen doen.

Tot mijn verbazing werd mijn telefoon wel herkend als media opslag en was het ook geen enkel probleem om bestanden van en naar mijn telefoon te copiëren. Dit soort bedrijven moet wel met hun tijd meegaan.

Kan er wel mee leven...

Data hoort te blijven waar het hoort...
Ik heb liever dat je via een zero-client naar een DC of Cloud gaat, dan dat je een USB stick mee neemt.
Daar hoort alleen je muziek op te staan, geen bedrijfsgegevens.

Iets als een rubber ducky (i.e. een USB device dat zich als toetsenbord voordoet) zal in de meeste gevallen nog steeds werken om data te exfiltreren. Zie https://shop.hak5.org/products/usb-rubber-ducky-deluxe.

Dat zal best, dat ik ben blijven hangen in het Pentium tijdperk. Misschien zelfs wel het decennium daarvoor. Ik heb les gehad over de 80386 en de Pentium was eigenlijk pas de 80586.

Maar de datadief kan door de bitlocker encryptie heen breken. Anders kan hij immers de computer niet opstarten om zijn werk te doen. Denk toch na. En Ubuntu werkt gewoon met Secure Boot. Dat heeft Microsoft altijd zo beloofd. Het heeft er zelfs alle schijn van dat de Windows NT kernel door de Linux kernel vervangen gaat worden in de toekomst. Microsoft heeft het zo lang 'verbeterd' dat het na meer als twintig jaar dienst niet meer goed zijn werk kan doen. Dat is functioneren als een bruikbaar besturingssysteem voor Intel hardware.


De eindgebruiker omzeilt niets, maar gebruikt de TPM zoals die is bedoeld. Om bij de gegevens te kunnen komen die hij nodig heeft om zijn werk te doen (en die stiekem te kopiëren op een eigen USB device). TPM staat niet voor 'Technology Protects Magically'. Als je dat gelooft dan geloof je in sprookjes ;-)

Er zijn meer mensen die in die tijd aanwezig waren. Sommigen zijn gestopt met bijleren en leuteren dat de jeugd het niet snapt en dat er niks nieuws gebeurd is sinds hun tijd.
Anderen zijn wel bijgebleven en weten dat er echt wel wat dingetjes veranderd zijn en dat sommige old skool kunstjes gewoon NIET werken.


Je blijft leuteren - als je er al op gewezen bent dat je er geen fuck van snapt, ga dan eens inlezen, in plaats van theoritiseren hoe jij het fout zou ontwerpen.

De boot met TPM zorgt dat het originele OS start - en daarbinnen heeft de datadief slechts user rechten.

Start je eventueel van een ander OS (of hang je de disk aan een andere computer) - dan krijg je de benodigde key om de disk te onsleutelen niet.


Dat is het hele doel - zodat een gestolen laptop geen ramp hoeft te zijn wanneer een datadief slechts van een andere disk/stick opstart .

Dus - systeem boot - TPM chip decrypt - en dan draait al het OS waar de datadief op z'n best user rechten heeft .

En dan duik je op zijspoor met wat neuzelranten over Ubuntu, Microsoft etc .
Ja - een secure boot computer kan ook Linux draaien .
nee - opstarten van Linux geeft je geen toegang tot een bitlocker'ed windows disk.


Als de boel netjes is ingericht , zorgt de TPM chip dat het OS start en vanaf daar de controle heeft , en de datadief het met doen met z'n gewone credentials.

En de kunstjes om met een _ander_ OS (linux rescue disk e.d.) bij de data komen rekenen erop dat de disk leesbaar is.

Het enige magisch geloof is van iemand die denk dat "gewoon booten van Linux USB stick" echt werkt om disk encryptie te omzeilen wanneer de (eind)gebruiker niet (ook) over de encryptie recovery key beschikt.

Nee daar kan enkel de systeembeheerder van de enterprise omgeving bij of de NSA ;-)

Veracrypt werkt volgens Wikipedia op Windows, MacOS, Linux en FreeBSD. Laat dat even op je inwerken.

Wat is er zo bijzonder aan de Trusted Platform Module dat Bitlocker enkel en alleen op Windows zou kunnen draaien? De hardware (behalve bij MacOS) is hetzelfde. Bij het opstarten vanaf een USB stick heeft het operating system dat je start complete controle over alle hardware. Ook over de TPM. Nee, Linux kan niet de inhoud van de TPM uitlezen. Dat kan Windows ook niet.

Je hoeft geen Windows Server admin te zijn om dit te snappen. Gewoon logisch nadenken en weten wat elk onderdeel doet (en niet doet) is genoeg.

Lekker boeien waar Veracrypt op werkt . In het (ietwat speciale) geval waarin je de _gebruiker_ van het systeem een stuk van de controle en toegang wilt ontzeggen moet je niet denken aan disk-encryptie systemen waarbij de invoer van de key onder controle van die gebruiker staat.


Ben je nou zijdelings alleen maar aan het melden dat "Linux kan ook TPM gebruiken" , of denk je werkelijk dat "ander OS booten" je toegang gaat geven tot data waarvan de key in de TPM zit omdat "OS heeft controle" ?

Waar halen mensen toch vandaan om te denken dat iets "gewoon kan" want "het OS heeft controle" - als degenen die echt data recovery een hoop analyse en hardware probing uit de kast moeten halen om - in het geval van TPM+bitlocker setup - erbij te komen ?

Wat een TPM op een computer, of bijvoorbeeld een "secure enclave" in een telefoon , of bijvoorbeeld een "HSM module" moeten leveren zijn wat crypto functies en opslag van een key die NIET zomaar toegangelijk zijn voor elk OS dat tegen de TPM praat.

Je kunt moet zo'n module beschouwen als een separate computer, met een kleine interface API - waarover je OS dus _geen_ volledige controle heeft , behalve de mogelijkheid om tegen die API te praten.
Net zo goed als je met een "eigen client" ook niet vanzelf "alles kan op de server" .

Ik denk dat Linux ook prima een TPM zou _kunnen_ gebruiken en op dezelfde manier garanties geven dat alleen het oorspronkelijke OS zonder wijzigingen gestart is - waarna eindgebruikers van dat OS ook beperkt zijn tot wat ze kunnen doen .

Alleen heeft klassiek desktop Linux amper een use case waarin het OS en hardware platform dichtgetimmerd moet zijn tegen z'n (eind)gebruikers - en zijn uitgewerkte voorbeelden ietwat obscuur.
Met enig zoekwerk - inderdaad , het kan ook met Linux - https://pawitp.medium.com/the-correct-way-to-use-secure-boot-with-linux-a0421796eade

En die blog auteur beschrijft precies hetzelfde doel - zorgen dat de encryptie key van zijn data alleen beschikbaar komt als het zijn trusted OS dat geboot is, niet wanneer andere software geboot is.
Dat andere software ook kan booten is geen probleem - maar die kunnen de gecrypte data niet lezen omdat de TPM er de key niet voor vrijgeeft .
En als het trusted OS eenmaal draait - zonder modificaties - dan is dat OS 'in control' over wat een gebruiker binnen dat OS kan doen, en of en hoe die data kan exporteren .

Windows (ben ik normaal geen fan van) heeft die usecase veel uitgebreider - *omdat* windows wel veel op enterprise desktops gebruikt wordt, en het (dus) erg noodzakelijk is om het scenario data blijft beschermd bij verloren/gestolen device - ook als de (on)eerlijke vinder boot van een ander OS.
Dat is gewoon behoorlijk uitgewerkt in Windows land - en terecht en gelukkig omdat het aandeel van Windows als werkplek device zo groot is . De beheerders hebben tenminste een redelijke kans om het "goed" te doen en de _impact_ van gestolen laptops qua dataloss te beperken.

Als de aanvaller echt goed toegerust is , tijd/kennis/apparatuur heeft is een gewone TPM zeer waarschijnlijk niet genoeg om 'm weg te houden van de data. Maar het vergt heel wat meer dan "boot Linux van USB" om dat te bereiken.

Precies. Dat is wat ik zeg.

Een voorbeeld van Linux die TPM gebruikt, is ChromeOS. Die maakt misschien nog wel zwaarder gebruik van TPM als Windows 11. En de 'home' (unmanaged) versie van ChromeOS gebruikt full disk encryption out of the box. Die kan je niet uitschakelen als eigenaar, maar dat terzijde. Bij Windows moet je daar de Pro versie voor kopen en een Microsoft account aanmaken. Vroeger werkte BitLocker zonder Microsoft account of TPM en was het net zo veilig als dat het nu is en Veracrypt nog steeds is. Een dief van je device kan niet bij de data op de harddisk.

Wel heeft Google homebrew linux erg moeilijk gemaakt omdat daar een aangepaste UEFI BIOS voor nodig is. Dus daar heb je een punt. Windows hardware is hier veel toleranter in.

Maar wat is het punt nou om dat op een vage manier te zeggen in een discussie die primair gaat over de mogelijkheden om de eindgebruiker van een systeem te beletten data ervan naar USB storage te brengen ?

Het punt was helemaal nooit dat de feature 'tpm+encrypted disk' een unieke windows-only feature was.
_wel_ dat die combinatie het de aanstaande datadief erg veel moeilijker maakt om de boel 'gewoon op een USB stick" te zetten wanneer USB mass storage uitgeschakeld is binnen het OS .
En de omzeiling "dan neem ik een eigen OS" maakt dan wel USB storage toegankelijk, maar de data ontoegankelijk.

Je had je hele punt kunnen maken "met - Ja, dat kan met Windows/bitlocker + TPM maar hetzelfde kan ook met Linux als desktop OS " .
Prima hoor - gelukkig, en we hadden bijna niets anders verwacht .


Google doet met ChromeOS inderdaad gewoon goed werk, en hard z'n best .
En dit soort features _zijn_ nodig - het is onvermijdelijk dat devices verloren of gestolen worden, als er genoeg mensen mee rondlopen .
Het is helaas zo dat dit soort dingen "doe het zelven" met een Linux distro erg veel uitzoek werk is.

Wat je zo niet vanzelf hebt - en de aanleiding voor de discussie - is wanneer je de valide _gebruiker_ van het device wilt beletten om data naar USB storage te pompen .
Dan moet het OS zorgen dat dat binnen het OS niet mag , en moet de disk encryptie zodanig zijn dat de gebruiker van het device geen controle heeft over de encryptie key - zodat ook "eigen OS starten" geen toegang geeft tot de data.
Ik heb zo geen idee of ChromeOS ook zo in te richten als 'managed desktop' voor dit doel .

Ik zie wel mogelijkheden (attack-vectors) om data van een bedrijfslaptop te exfilteren met behulp van een USB poort. Met code die je zelf schrijft, of code die Microsoft in de toekomst gaat schrijven voor Ubuntu.

Het grote nadeel van technologieën als Secure Boot en TPM is dat het de ontwikkeling van vrije software, zoals Debian, frustreert. En niet alles oplost wat het belooft.

Ik probeer aan te tonen dat een groot deel van wat Wintel doet security by obscurity is en wensdenken dat crypto waar de gebruiker niet bij kan alles oplost. We hadden dit ook met ActiveX (wat er gelukkig niet meer is). Elk ActiveX control zou digitaal ondertekend worden op het web en zo veilig zijn. Terwijl elk ActiveX control in feite een volledig programma was dat bijvoorbeeld je computer opnieuw op kon starten (vanuit de browser).

Daarom ben ik wantrouwend naar technologie die Wintel introduceert. Als Microsoft met zijn marktaandeel linux de nek om zou draaien (of als het linux zou assimileren) dan zou ik dat heel erg vinden. Helaas gaat het wel deze kant op terwijl de Europese commissie zich druk maakt om stekkertjes en cookies.

Hoeveel er mogelijk is - en met welke bitrate zal heel erg afhangen van het OS dat op dat moment draait .
Als een OS erg strak dicht zit - dan is het draaien van "code die je zelf schrijft" gewoon ook geen optie.

Dan is misschien het 'analoge lek' - als de gebruiker - wegens 'is z'n werk' de data moet zien kan die gewoon foto's van het scherm maken .
Maar dat is een heel wat lagere bitrate dan alles naar een USB stick dumpen.


Natuurlijk, het falen van Linux op de desktop is vanwege TPM ..
Ik weet niet precies welke beloften je toeschrijft aan secure boot/TPM , en welke daarvan dan niet gehaald zijn.


Alles is een groot woord, maar met crypto plus een stuk 'trusted hardware' kun je inderdaad forse garanties geven dat derden of malicious gebruikers ergens niet of veel moeilijker bij kunnen.
Nu is praktisch gezien de TPM chip/implementatie niet _waanzinnig_ secure , maar de drempel is ontzettend veel hoger geworden dan 'gewoon booten van ander device' .
IIk heb je hier overigens geen voorbeelden zien 'aantonen' van security through obscurity .

...

Het vervelende is -

Met sommige van mijn petten (bezorgde/betrokken burger, deel van een IT organisatie etc) WIL ik de eigenschappen die een TPM/secure boot etc kan leveren :

Ik _wil_ dat een verloren device niet vanzelf een datalek is, als de beheerders hun werk gedaan hebben.
En ik _wil_ (met de organisatie pet op) dat de _gebruiker_ van het apparaat helemaal niet "alles" kan met data op het device - het is ons device en onze data . Die gebruiker moet gewoon beperkt zijn tot wat OS en applicatie 'm laten doen .

(voor het geval er nu een boze nerd wil gaan schrijven : stel je maar voor dat je laptops voor de GGD corona callcenter desk moest bouwen, of zo iets . Wil je precies dat dat die callcenter _gebruikers_ niks kunnen dumpen naar een USB stick) .

Alleen - met de pet op van device _eigenaar_ - en Linux gebruiker - wil ik geen hardware ecosysteem waarin Microsoft (of andere vendor) het gebruik van _mijn_ device controleert of blokkeert .
Werkte ik bij, zeg, Google, of FB , Netflix et.al - dan doet het BIOS wat ik bestel .
Maar als kleine klant heb ik te slikken wat de leveranciers maken , en dan is het zorgelijk wanneer dat Linux moeilijk maakt .

Met Security through Obscurity bedoel ik dat de interne werking van BitLocker waarschijnlijk geheim is. En niet een open standaard waar ook theoretische wetenschappers naar kunnen kijken.

Ik volg Full Disk Encryption al sinds Scramdisk https://en.wikipedia.org/wiki/Scramdisk. Dat was goed. Windows 95, met uitzondering van het gebruikersbeheer, was ook goed. Scramdisk was open source en gratis in het gebruik. Ik zie persoonlijk niet wat een Microsoft account en TPM toevoegen qua veiligheid. Waarom moet je voor een offline iets (FDE) verbinding maken met het internet (een cloud account van Microsoft).

Microsoft bedoelt er vast iets mee, maar ik snap niet hoe dit mijn computer veiliger maakt voor mij. Ik zie alleen dat als ik mijn recovery mogelijkheden op maak, ik een kopie van mijn paspoort naar Redmond moet sturen. Omdat zij altijd bij de inhoud van mijn cloud account bij Microsoft kunnen.

En over de GGD, die export functie zat in de software van de GGD zelf. Dat was dus gewenst en gespecificeerd door de opdrachtgever, de GGD. Pas toen er misbruik van werd gemaakt is het eruit gehaald.