image

Overheid laat alleen computers met geheime data vernietigen

zondag 19 april 2015, 08:52 door Redactie, 16 reacties

Jaarlijks liet de overheid 30.000 overtollige computers en andere ICT-apparatuur vernietigen, maar daar komt nu grotendeels een einde aan. De apparatuur werd op basis van dataveiligheid, kosten en milieu via een shredder vernietigd, waarbij de overblijfselen via de markt werden afgezet.

Rijkswaterstaat liet een onderzoek uitvoeren hoe overtollige datadragende ICT-apparatuur, rekening houdend met de veranderende technologieën, kosten en aandacht voor het milieu, is te verwerken. De onderzoekers stellen dat een groot deel van de datadragende ICT-apparatuur gecertificeerd kan worden geschoond en vervolgens is te hergebruiken. Een proces dat niet alleen minder kosten met zich meebrengt, maar mogelijk ook voor opbrengsten kan zorgen. Daarnaast scoort het ook beter op het milieuaspect.

Veiligheid

Binnen de overheid wordt met vertrouwelijke informatie gewerkt, die onder verschillende niveaus wordt ondergebracht, namelijk zeer geheim, geheim, confidentieel en departementaal vertrouwelijk. Voor ICT-apparatuur met informatie die als zeer geheim en geheim is geclassificeerd adviseren de onderzoekers om vanwege de dataveiligheid de shredder te blijven gebruiken. Het zou hier om maximaal 5% van het totale aanbod gaan.

Voor het veilig wissen van gegevens met de lagere vertrouwelijkheidsniveaus vormen met name Solid State Drives (SSD), alsmede tablets, smartphones en USB-sticks nog een probleem. "Belangrijk verschil tussen HD en SSD is dat op SSD nog informatie te achterhalen is op kleine stukjes datadrager. Daarnaast is het lastiger SSD veilig te wissen vanwege de structuur en opbouw", aldus de onderzoekers.

Om hergebruik mogelijk te kunnen maken moet kunnen worden gegarandeerd dat er geen informatie op de datadragende apparatuur is terug te vinden. De AIVD heeft hiervoor de software van Blancco gecertificeerd om informatie op traditionele harde schijven tot en met de rubricering geheim gegarandeerd te verwijderen. Het bedrijf is nu ook bezig om software te ontwikkelen voor het niveau zeer geheim en SSD's.

De onderzoekers stellen dat er met het wissen echter geen 100% veiligheid geboden wordt. Daarnaast wordt in dit proces ook voorbij gegaan aan de menselijke handelingen die hiervoor nodig zijn. "Uit ervaring is reeds gebleken dat deze methode erg arbeidsintensief is, en de kosten die dat met zich meebrengen en de fout kans die verhoogd wordt in verband met menselijk handelen." Daarom wordt voor ICT-apparatuur met "geheime" en "zeer geheime" informatie vernietiging als enige veilige verwijderingsroute gezien.

Aanbesteding

Op basis van de resultaten van het onderzoek zal een Europese aanbesteding voor de verwerking van overtollige, datadragende gecertificeerd schoonbare ICT-apparatuur binnen de rijksoverheid tot het rubriceringsniveau "geheim" worden gestart. De huidige verwerker, Domeinen Roerende Zaken, blijft in dit proces een centrale rol spelen: Domeinen schoont de ICT-apparatuur en zorgt daarna voor afvoer naar de markt. "Zo kan een toekomstbestendige verwerkingsroute worden verzekerd, waarin dataveiligheid is gegarandeerd, die financieel voor de Rijksoverheid aantrekkelijk is en past in het streven naar een circulaire economie", aldus de onderzoekers.

Reacties (16)
19-04-2015, 10:37 door wizzkizz
Gebruik voor informatie geclassificeerd als "geheim" of hoger alleen SED (self-encrypting drives). Dan hoef je alleen maar de key te vervangen om je data te vernietigen. Dit is in een minuutje gebeurd en werkt voor zowel traditionele harde schijven als SSD's. Bovendien heb je nog een leuke snelheidswinst ook als je gebruikt maakt van de juiste software voor full-disk encryptie en gaat je FDE niet ten koste van de IOPS van je mooie snelle SSD.
19-04-2015, 10:42 door yobi - Bijgewerkt: 19-04-2015, 10:45
Programma doet het volgende:

DoD 5220.22-M Wipe Method

The DoD 5220.22-M data sanitization method is usually implemented in the following way:
Pass 1: Writes a zero and verifies the write
Pass 2: Writes a one and verifies the write
Pass 3: Writes a random character and verifies the write

Voor thuis is het overschrijven met nullen wel goed genoeg.
19-04-2015, 10:54 door yobi
http://en.wikipedia.org/wiki/Hardware-based_full_disk_encryption
Er staan een aantal vulnerabilities.

Ook is deze methode niet gekeurd:
https://www.aivd.nl/onderwerpen/infobeveiliging/beveiligingsproducte/goedgekeurde/
19-04-2015, 11:02 door Anoniem
"Belangrijk verschil tussen HD en SSD is dat op SSD nog informatie te achterhalen is op kleine stukjes datadrager."
Heb ooit met een ex-overheids-PC XT met kapotte HDD geknutseld. Boot sector bleek onbruikbaar, maar met een beetje geknutsel was er nog genoeg aan ambtelijk geneuzel op het scherm te toveren. Ook al zijn de onderlinge failure modes dan nog zo verschillend, voor zowel SSDs als HDDs geldt: Onbruikbaar voor werk is niet hetzelfde als onbruikbaar om er nog enige data uit te pulken.

"Uit ervaring is reeds gebleken dat deze methode erg arbeidsintensief is, en de kosten die dat met zich meebrengen en de fout kans die verhoogd wordt in verband met menselijk handelen."
Leze: "onze beheerders zien niet de kans dit netjes te automatiseren."
19-04-2015, 11:23 door Anoniem
Dus anno 2015 worden er nog volledige computers met de 10 duizenden tegelijk in een schredder geduwd terwijl voor de meeste alleen een schijf moet worden vervangen of gewist...? Terwijl onderwijsinstellingen bijvoorbeeld geen budget hebben om oude IT troep te vervangen.

Ja, Nederland loopt voorop als het om IT gaat...?!

Bij SSD's is het juist nog eenvoudiger; tenzij ze nog nooit van de SATA parameter secure-erase gehoord hebben, welke voldoende is voor niet zeer geheime informatie. Alle cellen worden dan gelijktijdig op 0 ingesteld. Kwestie van 2 minuten. En als je vooraf met DD de SSD vult met een stream uit RND zit je redelijk safe.

Tenzij de firmware van de schijven besmet is natuurlijk...
19-04-2015, 12:20 door Anoniem
Door wizzkizz: Gebruik voor informatie geclassificeerd als "geheim" of hoger alleen SED (self-encrypting drives). Dan hoef je alleen maar de key te vervangen om je data te vernietigen. Dit is in een minuutje gebeurd en werkt voor zowel traditionele harde schijven als SSD's. Bovendien heb je nog een leuke snelheidswinst ook als je gebruikt maakt van de juiste software voor full-disk encryptie en gaat je FDE niet ten koste van de IOPS van je mooie snelle SSD.
Ja, voor jouw definitie van geheim werkt dat uitstekend.
Als het gaat om "interessant-voor-de-FSB-geheim" gaat die vlieger niet op, encrypted data is en blijft data...
Zeker bij SSD's, waarbij een (te manipuleren) controller het meest bepalend is, blijft de shredder de meest eenvoudige, goedkope en veilige oplossing.
19-04-2015, 15:25 door Anoniem
Door Anoniem:
"

"Uit ervaring is reeds gebleken dat deze methode erg arbeidsintensief is, en de kosten die dat met zich meebrengen en de fout kans die verhoogd wordt in verband met menselijk handelen."
Leze: "onze beheerders zien niet de kans dit netjes te automatiseren."

Nou knul, laat ons eens lachen, en vertel eens hoe JIJ dat netjes zou automatiseren.

Vertel er vooral bij wat jouw idee foolproof maakt - stel je een stapel PCs voor, en wat in jouw voorstel voorkomt dat de PC of datadrager gewoon op de stapel "schoon" gelegd wordt. Zo tegen vijven op een mooie dag is dat best verleidelijk om snel 'klaar' te zijn.
19-04-2015, 17:22 door ph-cofi
"Het bedrijf is nu ook bezig om software te ontwikkelen voor het niveau zeer geheim en SSD's."

sudo dd if=/dev/sda... of=/dev/null is niet genoeg? Als wel, dan is dat te arbeidsintensief? Dan maar wat beveiligingsrichtlijnen overtreden? Of is er meer aan de hand?
19-04-2015, 18:30 door Anoniem
Door Anoniem:Nou knul, laat ons eens lachen, en vertel eens hoe JIJ dat netjes zou automatiseren.
Doetut effe lekker zelluf, ouwe. Of denk je dat "senioriteit" betekent dat je nooit meer iets zelf hoeft te doen en toch lekker kan blijven vangen? Ga dan gelijk met pensioen, scheelt weer habitueel sarcasme op de werkvloer.

Vertel er vooral bij wat jouw idee foolproof maakt - stel je een stapel PCs voor, en wat in jouw voorstel voorkomt dat de PC of datadrager gewoon op de stapel "schoon" gelegd wordt.
Vertel eerst maar eens waarom jezelf op een nette manier minder werk bezorgen eerder dit risico loopt dan als je per peecee boelveel werk moet verzetten? Ik zie daar de logica niet zo erg van, eigenlijk. Vast heel raar voor zo'n ouwe rot in het peeceesleepvak, maargoed dan heb je ook geen probleem het uit te leggen, toch?

Zo tegen vijven op een mooie dag is dat best verleidelijk om snel 'klaar' te zijn.
Eens een ambtenaar, altijd een ambtenaar?
19-04-2015, 19:11 door Anoniem
Door ph-cofi: "Het bedrijf is nu ook bezig om software te ontwikkelen voor het niveau zeer geheim en SSD's."

sudo dd if=/dev/sda... of=/dev/null is niet genoeg? Als wel, dan is dat te arbeidsintensief? Dan maar wat beveiligingsrichtlijnen overtreden? Of is er meer aan de hand?

Nou, de data VAN de disk NAAR /dev/null schrijven test je lees performance, maar is inderdaad niet genoeg om data te wissen.
(if = Input File , of = Output File)
- dd if=/dev/zero of=/dev/sd<x> is een betere kandidaat .

Laten we even schamperen over het niveau van thuis 'experts' die graag superieur doen over wat overheid of een groot bedrijf allemaal voor domme/overbodige/dure dingen doet, wat hun commandline regel zo simpel ook doet ?

Is het terecht of niet, om je af te zagen op een schrijffoutje en het verwisselen van input/output ?

Of geef je hier precies de illustratie waarom een _voorschrift_ wat _altijd_ moet werken erg conservatief is, en dat het probleem niet zit in het recoveren van data die correct overschreven (of tig keer overschreven) zijn, maar in de zorg dat dat overschrijven helemaal niet gebeurt, wegens een simpel foutje, een bedieningsprobleem,hardware defectje in de afgeschreven disk, luiheid/laksheid, corruptie of zuinigheid en dat de controle of het in alle gevallen goed gaat erg moeilijk is ?

Speculeren :
Wat doet een ''neem gewoon dd' voorstel aan (succes) detectie / foutdetectie, foutrecovery ?
Hoe controleerbaar/bewijsbaar is dat het overschrijven gebeurd is bij je commandline ?
Verder doet het in geval geen enkele poging om data in reserve tracks ook te overschrijven .

Ik denk dat die aspecten (reserve tracks, en erg veel verificatie dat de melding 'klaar' alleen gegeven wordt als data ook echt volgens norm overschreven zijn, en niet een vals-positief wanneer de disk 'not ready' teruggaf ) het verschil maken tussen 'geheim' en 'streng geheim'. data vernietiging.

Het voordeel van een fysieke vernietiging is dat je bij een klompje slakken *zeker* weet dat de data eraf is, en bij een prompt die zegt "Finished. Data was destroyed" (of "301989884 blocks written") wel diezelfde zekerheid nodig hebt.
Naast een manier om zeker te zijn dat de loods aan PCs die "verwerkt" moet worden ook echt "verwerkt" is.
19-04-2015, 20:40 door Anoniem
sudo dd if=/dev/sda... of=/dev/null ?

Nee, een leestest is zeker niet genoeg; je wilt data vernietigen, niet testen of de harddisk wel werkt...

Het grote probleem met ssd's is dat data niet zomaar overschreven wordt. In plaats daarvan wordt je 'random' data naar nieuwe plekken geschreven die hetzelfde nummer krijgen als de oude locatie.
Secure erase klinkt goed, maar dan moet je er zeker van zijn dat hij dat oom daadwerkelijk doet... Op /alle/ sectors. En dat het inderdaad 'secure' is. Totdat je dat hard kunt maken voor al he gebruikte flash geheugens, biedt de shredder meer zekerheid.

Voor thuisgebruik nauwelijks interessant; ff formatteren (of mkfs) volstaat daar meestal wel. Dit gaat om overheidsdata.
19-04-2015, 21:53 door Anoniem
@ Vandaag, 11:23 door Anoniem

De secure erase haalt alleen de data weg van de blocken die op dit moment nog in gebruik zijn, de reeds als onbruikbaar gemarkeerde blokken ( die je op oudere ssd's veel hebt) worden daarmee niet gewist.
19-04-2015, 22:50 door Anoniem
Vernietig de harde schijven en vervang ze door zwaardere. Stop een snellere processor ( Intel® Core™ i5-4690, 3,5 GHz (3,9 GHz Turbo Boost) 1150 processor ) in die p.c.'s en ze gaan nog jaren mee. Dan heeft de roverheid bijna gratis snelllere systemen.
20-04-2015, 00:19 door Anoniem
Door Anoniem:
Door Anoniem:Nou knul, laat ons eens lachen, en vertel eens hoe JIJ dat netjes zou automatiseren.
Doetut effe lekker zelluf, ouwe. Of denk je dat "senioriteit" betekent dat je nooit meer iets zelf hoeft te doen en toch lekker kan blijven vangen? Ga dan gelijk met pensioen, scheelt weer habitueel sarcasme op de werkvloer.

Nee hoor, de poster [anoniem 19-4 11:02] die (impliciet) stelde het simpel te automatiseren zou zijn mag een voorstel doen.
Als dat er niet komt, is het blijkbaar toch niet ZO simpel om te doen, en ligt het niet helemaal aan de typische overheidsbeheerders.
Ik ben noch ambtenaar, noch bijna gepensioneerd. Wel ervaren genoeg om 10x beter dan de massa scholieren hier die 6 uur per dag aan het beheren van 1 server besteden te zien welke randgevallen en omstandigheden zoiets moeilijk maken.
En dat goed genoeg voor 90% van de gevallen, of 99% van de gevallen, - of dat je de schuld van falen kunt geven aan een junior beheerder die een foutje maakt - voor dit probleem niet voldoende is.


Vertel er vooral bij wat jouw idee foolproof maakt - stel je een stapel PCs voor, en wat in jouw voorstel voorkomt dat de PC of datadrager gewoon op de stapel "schoon" gelegd wordt.
Vertel eerst maar eens waarom jezelf op een nette manier minder werk bezorgen eerder dit risico loopt dan als je per peecee boelveel werk moet verzetten? Ik zie daar de logica niet zo erg van, eigenlijk. Vast heel raar voor zo'n ouwe rot in het peeceesleepvak, maargoed dan heb je ook geen probleem het uit te leggen, toch?

Nee, nee, dat overschrijven met veel handwerk beter zou zijn dan overschrijven met een stuk automatisering is niet wat ik geclaimd heb.
Wat ik stel, is dat het proces om een stapel hardware gegarandeerd leeg te maken helemaal niet zo simpel te automatiseren is als poster 11:02 deed voorkomen. En dat het dus iets blijft met veel arbeid/handelingen en een zekere foutkans.

Als je zelf een oude rot bent, en om je heen kijkt in een willekeurige IT organisatie met een beetje schaal moet je kunnen zien welke soort dingen automatiseren, en wat de randvoorwaarden zijn. En wat de succes percentages zijn.
En als je dan nadenkt hoe je dit probleem in een realistische omgeving gaat aanvliegen, met een uitkomst van nul fouten (fout = systeem met leesbare data wordt als 'schoon' vrijgegeven ) kun je vast ook wel de dingen bedenken die ik bedacht en waarom het niet een "even een paar beheerders laten automatiseren" soort van probleem is.

Iets verzinnen voor een beperkte versie, met wat redelijke aannames en uitkomen op een 'best kleine' foutkans is niet zo moeilijk.
Iets wat (wegens de consequentie van een fout) een foutkans van nul moet hebben onder alle omstandigheden is dat wel.


Zo tegen vijven op een mooie dag is dat best verleidelijk om snel 'klaar' te zijn.
Eens een ambtenaar, altijd een ambtenaar?

Ah, je geloof dat zoiets _alleen_ onder ambtenaren voorkomt ?

Of ben je zo'n typische ITer/ security 'expert' waar ik me inderdaad aan erger : wat er mis gaat maakt niet uit, zolang de schuld maar gegeven kan worden aan een gebruiker ('luser' . 'PEBCAK' ), of iemand die een readme.txt niet tot de laatste letter gevolgd heeft, of de vijftiende onbegrijpelijke pop-up verkeerd beantwoord heeft ?

Veel te vaak gaan dingen mis in IT (en zeker mbt tot security) omdat er niet gekeken wordt naar een totaalplaatje, en waar en hoe iets gebruikt wordt.
Dat is voor, en door mensen. Die computers meestal NIET als levensvervulling hebben, wel eens fouten maken, en ook wel eens dingen doen die _hun_ werk makkelijk maken. Soms zijn dat dingen die 'misschien' 'ooit' 'ergens' niet goed zijn, maar waar dat bepaald niet meteen opvalt.
Als je dan niks meer hebt dan een werkinstructie "moet alleen zo, mag niet anders" als preventie, ja, dan ligt de schuld van falen echt niet alleen bij de onderknuppel die de makkelijke weg nam, maar ook bij organisatie die blijkbaar belangrijk werk zo heeft ingericht.

Een hoop ITers wil alleen maar kijken naar het stukje "overschrijf data op 'de' harddisk" , en denkt blijkbaar dat dat het enige of een vrij simpel ('dd if=/dev... ) deel is van het probleem om een stapel hardware gegarandeerd en compleet te schonen.
Altijd, gegarandeerd,en op alle hardware in recycle toestand maakt het halen van 100% al lastig voor dit deel van het probleem.

Daarom zet ik wat stevige kanttekeningen bij uitspraken die suggereren dat dit met 'gewoon een beetje automatiseren' goedkoop/efficient oplosbaar is.
20-04-2015, 11:37 door Anoniem
Door Anoniem: Daarom zet ik wat stevige kanttekeningen bij uitspraken die suggereren dat dit met 'gewoon een beetje automatiseren' goedkoop/efficient oplosbaar is.
Ik zie eigenlijk vooral je eigen vooroordelen en stokpaardjes voorbijkomen, ingepakt in oneigenlijke argumenten, met wat scheefgetrokken jijbakken als automatische gelijkgevers erbovenop. Waarmee je jezelf nou niet bepaald ten positieve onderscheidt van alles en iedereen waar je evident zo'n hekel aan hebt.

Zelfs 11:02 zegt nergens dat het eenvoudig, makkelijk, simpel, triviaal, wat-dan-ook is. Wat er wel staat is:
Leze: "onze beheerders zien niet de kans dit netjes te automatiseren."
Deze simpele instructie heb je evident niet opgevolgd, je hebt namelijk hele andere dingen gelezen.

Maar laten we wel wezen, automatiseren is precies het werk van automatiseerders. Of dat opzetten, organiseren, en ambtelijk inpakken in beleid en procedures die makkelijker wel dan niet opgevolgd zullen worden, nou moeilijk is of niet. Kennelijk zijn hun beheerders geen automatiseerders.

Er staat dus vrij precies dat deze ambtelijke organisatie niet kans ziet dit op die manier aan te pakken, en dus als antwoord geeft "moeilijk, moeilijk" in ambtenarentaal.

Ze zouden zeker niet de eerste zijn die zoiets zeggen terwijl het eigenlijk best zou moeten kunnen. Ik herinner me dat de baas van de Unixbeheerafdeling van een kabelnetwerkbedrijf eens ontplofte omdat zijn ondergeschikten, na twee dagen tijd met de opdracht uit te zoeken hoe een zekere taak uit te voeren zeiden "nee, onmogelijk", waarna hij zelf de handleiding erbij pakte en in het eerste hoofdstuk stond het stap voor stap uitgespeld.

Wat niet wil zeggen dat elk claim van "onmogelijk" onterecht is, maar wel dat niet alle zulke claims terecht zijn. Of ik het beter kan? Ze mogen me inhuren voor regulier overheidsadviseringstarief en dan bekijk ik graag het hele plaatje voor ze.
20-04-2015, 13:58 door Anoniem
Door Anoniem:
"Uit ervaring is reeds gebleken dat deze methode erg arbeidsintensief is, en de kosten die dat met zich meebrengen en de fout kans die verhoogd wordt in verband met menselijk handelen."
Leze: "onze beheerders zien niet de kans dit netjes te automatiseren."

Automatiseren heeft niet veel zin als het grootste deel van de tijd in het schrijven gaat zitten. Dan kun je wel een mooie robot bouwen die de disks automatisch uit de storage haalt en in de wiper steekt, maar het wipen (van schijven van enkele TB's) duurt tot nog uren of dagen. Als je een storage omgeving uitfaseer, ben je best wel een aantal weken met een wipe bezig. Dan is de disks in een grote schredder gooien best wel efficient. Daar helpt geen automatisering aan. Of je moet een hondertal wipe-stations naast elkaar zetten. Maar dan staan die een paar jaar niets te doen. Ook niet efficient.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.