Werknemer kernwapen lab verliest laptop tijdens vakantie
De beveiligingsproblemen bij Los Alamos, het laboratorium waar de Amerikaanse atoombom werd ontwikkeld, zijn nog lang niet voorbij. Na de onthulling dat geheime informatie over kernwapens via onbeveiligde e-mail verstuurd werd, blijkt nu dat een werknemer zijn werklaptop tijdens zijn vakantie is verloren. En dat is niet het enige, want wederom is er zeer vertrouwelijke informatie over kernwapens via het open internet in plaats van het beveiligde defensie netwerk verstuurd.
De informatie op de laptop zou overheidsdocumenten van een zeer vertrouwelijke aard bevatten. De machine was voorzien van een geavanceerde versleutelingskaart waarvan de export door de overheid wordt geregeld. Tijdens zijn vakantie in Ierland werd de machine uit de hotelkamer van de werknemer gestolen. Inmiddels is het laboratorium een grootschalige operatie gestart om alle laptops te inventariseren.
Wat betreft de e-mailblunder laat de minister van Energie weten: "Ik kan bevestigen dat er vertrouwelijke informatie onbewust via een onbeveiligd e-mailsysteem is verstuurd. Hoewel ernstig, is het incident het gevolg van een menselijke fout, en niet van een falend beveiligingssysteem. Het ministerie doet er alles aan om menselijke fouten te voorkomen. We hebben daarom een robuust systeem om overtredingen te melden, en dit is een geval waarbij dit systeem goed heeft gewerkt."
op vakantie?
Vooral als er vertrouwelijke data op staat, denk je als
gebruiker toch aan de gevolgen die het kan hebben.
Verder heb je die laptop op VAKANTIE totaal niet nodig naar
mijn mening.
done" voor zo'n instantie...
wordt gebruik gemaakt van een token. Wellicht zelfs 2-factor
authenticatie. Als het token niet mee is gestolen/verloren
lijkt me dat de vertrouwelijkheid niet in het geding is en
dit bericht dus vooral sensationeel is...
Als ik het bericht goed lees, is die laptop versleuteld en
wordt gebruik gemaakt van een token. Wellicht zelfs 2-factor
authenticatie. Als het token niet mee is gestolen/verloren
lijkt me dat de vertrouwelijkheid niet in het geding is en
dit bericht dus vooral sensationeel is...
crypto algoritmes geheim houdt. Als deze laptop met een
suite A cypher versleuteld is, dan zou het (theoretisch
wellicht) kunnen dat het algoritme nu in handen is van een
vreemde mogendheid (denk China) die de techniek in huis
heeft om het algoritme te reverse engineeren. Als je bedenkt
dat suite A zeer tightly controlled is, dan snap je wellicht
waarom dit verregaande gevolgen zou kunnen hebben.
het Internet, als je hem over een lange afstand wil
afleveren kan je b.v. even googlen op Nike Hercules en alle
bouwtekeningen vinden....
Dit is dus uitsluitend belangrijk als er eventueel 'nieuwe
uitvindingen' op de Laptop zouden staan....
Er is een reden waarom de amerikaanse overheid bepaalde
crypto algoritmes geheim houdt. Als deze laptop met een
suite A cypher versleuteld is, dan zou het (theoretisch
wellicht) kunnen dat het algoritme nu in handen is van een
vreemde mogendheid (denk China) die de techniek in huis
heeft om het algoritme te reverse engineeren. Als je bedenkt
dat suite A zeer tightly controlled is, dan snap je wellicht
waarom dit verregaande gevolgen zou kunnen hebben.
Suite A is voor de nog strenger te beveiligen data dan Suite
B (waarin onder andere AES) zit. Met andere woorden: die
algoritmes moeten aan nog strengere eisen voldoen. Dus dat
reverse engineeren is volstrekt nutteloos, aangezien het
tegen Suite B al geen verweer is. De key recovery is wat
moeilijk is. Wat je zegt is gewoon regelrechte onzin.
zou zelf ook als een wapen beschouwd moeten worden. Bij een werkgever als
de politie (zowel België, Nederland als de V.S.) mogen wapens niet op
vakantie meegenomen worden. Waarom mag één of andere hoge chef bij Los
Alamos dat dan wel?
Er is een reden waarom de amerikaanse overheid bepaalde
crypto algoritmes geheim houdt. Als deze laptop met een
suite A cypher versleuteld is, dan zou het (theoretisch
wellicht) kunnen dat het algoritme nu in handen is van een
vreemde mogendheid (denk China) die de techniek in huis
heeft om het algoritme te reverse engineeren. Als je bedenkt
dat suite A zeer tightly controlled is, dan snap je wellicht
waarom dit verregaande gevolgen zou kunnen hebben.
Suite A is voor de nog strenger te beveiligen data dan Suite
B (waarin onder andere AES) zit. Met andere woorden: die
algoritmes moeten aan nog strengere eisen voldoen. Dus dat
reverse engineeren is volstrekt nutteloos, aangezien het
tegen Suite B al geen verweer is. De key recovery is wat
moeilijk is. Wat je zegt is gewoon regelrechte onzin.
is het uitlekken van een suite A cypher potentieel
problematischer, omdat er dan meer bekend wordt over de
werking van het betreffende cypher, waardoor een meer
gerichte aanval op het algoritme mogelijk wordt. De NSA
houdt suite A cyphers niet voor niets geheim.
En denk eens aan hardware crypto modules... wellicht met
custom chips die nu ook in handen van de vijand kunnen vallen.
van een falend beveiligingssysteem."
Is het feit dat deze menselijke fout gemaakt kon worden geen gevolg van
een falend beveiligingssysteem ?
mijn mening."
Da's erg makkelijk geconcludeerd, want er zijn genoeg mensen die wel
tijdens vakantie nog bezig zijn met werkgerelateerde zaken. Wel is dan de
vraag of er geen onnodige documentatie op stond.
Wie met vertrouwelijke documenten werkt op zijn laptop, dient een
bedrijfslaptop wanneer deze op reis gaat eerst schoon te maken, zodat er
geen onnodige informatie meer op staat (hierbij ervanuitgaand dat hij
inderdaad de laptop nodig had tijdens zijn reis) ?
Hoezo "zelfs" 2-factor ? Lijkt me eerder het minimum beveiligingsniveau in
de branche waar deze man werkt. 3-factor lijkt me zinniger.
"Hoewel ernstig, is het incident het gevolg van een
menselijke fout, en niet
van een falend beveiligingssysteem."
Is het feit dat deze menselijke fout gemaakt kon worden geen
gevolg van
een falend beveiligingssysteem ?
Menselijke fouten zijn alleen uit te sluiten door de mens
uit het proces te verwijderen.
VERPLICHTEN om bijvoorbeeld CITRIX sessies te gebruiken. Dit voorkom
alle leed..
Jr
op een standalone computer moeten staan binnen het bedrijf
onder strenge bewaking waarvan dagelijks een back-up wordt
gemaakt.
Het kan ook zijn dat de laptop door een kruimeldief is gejat en deze
opnieuw geinstalleerd heeft en daarna doorverkocht.
Waarom zegt iedereen meteen dat er nu overal A-bommen gaan
vliegen.
Het kan ook zijn dat de laptop door een kruimeldief is gejat
en deze
opnieuw geinstalleerd heeft en daarna doorverkocht.
Een a-bom maken is trouwens niet zo moeilijk... een
betrouwbare a-bom die jou als maker niet om zeep helpt is
veel lastiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.