Duitse overheid nuanceert risico Windows 8
Het risico van Windows 8 in combinatie met bepaalde hardware is niet zo groot als in de media wordt voorgedaan, aldus de Duitse overheid. In een artikel van Zeit Online werd gesteld dat de Duitse overheid bang zou zijn dat de Trusted Platform Module in bepaalde hardware als achterdeur voor de NSA zou kunnen fungeren. De Duitse website baseerde zich naar eigen zeggen op interne documenten van de Duitse overheid.
Het grootste probleem zou de aankomende specificatie voor de Trusted Platform Module (TPM) zijn. TPM is een microchip op het moederbord die verschillende beveiligingsmaatregelen bevat en regelt, en dan met name op het gebied van encryptie. Machines met de TPM chip kunnen een sleutel genereren en versleutelen, die dan alleen via de TPM weer ontsleuteld kan worden.
Versie 2.0 van de specificatie zou echter de leverancier van het besturingssysteem de mogelijkheid geven om te bepalen welke applicaties de gebruiker mag installeren en welke niet. Volgens het document dat Zeit Online zag zou er dan ook voor het gebruik van TPM 2.0 binnen de Duitse overheid gewaarschuwd zijn.
Nuance
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Ministerie van Binnenlandse Zaken en de Duitse tegenhanger van het Nationaal Cyber Security Center (NCSC), stelt dat de situatie een stuk genuanceerder ligt. Voor specifieke groepen zou het gebruik van Windows 8 in combinatie met TPM juist extra bescherming kunnen bieden.
Het gaat dan om gebruikers die de beveiliging zelf niet kunnen regelen of vertrouwen dat de leverancier van het systeem een veilige oplossing biedt. Toch moet de leverancier in dit geval voldoende transparantie over de potentiële beperkingen van de architectuur geven en welke gevolgen dit met zich meebrengt.
Controle
Het grootste probleem dat het BSI met het gebruik van Windows 8 in combinatie met TPM 2.0 heeft is het verlies van controle over het gebruikte besturingssysteem en hardware. Dit zou met name voor de overheid en kritieke infrastructuur nieuwe risico's met zich meebrengen. Het gaat dan voornamelijk om fouten in het besturingssysteem, waardoor het gehele systeem niet meer gebruikt kan worden.
"Deze situatie zou zowel voor federale als andere gebruikers onacceptabel zijn", zo laat de BSI weten. Daarnaast zouden de nieuwe mechanismen door derde partijen voor sabotage kunnen worden gebruikt. De overheidsdienst wil dan ook dat deze risico's worden opgelost.
Het BSI stelt dat volledige controle over de gebruikte techniek, zoals de aanwezigheid van een bewuste opt-in en de mogelijkheid om latere een opt-out te kiezen, als fundamentele voorwaarde voor het verantwoord gebruik van hardware en besturingssysteem. Vervolgens wijst het BSI naar dit document waarin de eisen staan gesteld die de Duitse overheid aan hardware en besturingssystemen stelt en wat het onder Trusted Computing en Secure Boot verstaat.
Versie 2.0 van de specificatie zou echter de leverancier van het besturingssysteem de mogelijkheid geven om te bepalen welke applicaties de gebruiker mag installeren en welke niet.
Daar is al heel wat jaartjes sprake van. Kan me nog herrinneren dat MS Vista wilde uitrusten met TPM. Opdat MS de machine "op slot" kan zetten wanneer er bv illagale software op de machine staat.
Echter, toen de consument daar notie van kreeg, werd die hardware nauwelijks verkocht, en was het plan weer van de baan.
En dat zal naar mijn mening ook altijd zo blijven.
TPM gaat, zoals dit artikel doet vermoeden, wel wat verder dan alleen encryptie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.