image

Senatoren VS hekelen gebruik Teams en onversleutelde vaste lijnen door Pentagon

donderdag 5 december 2024, 16:34 door Redactie, 2 reacties

Twee Amerikaanse senatoren hebben uitgehaald naar het Pentagon voor het gebruik van Microsoft Teams en onversleutelde landlijnen en hebben de inspecteur-generaal van het ministerie om onderzoek gevraagd naar contracten met telecomproviders en of die niet moeten worden herzien. Aanleiding zijn inbraken bij verschillende Amerikaanse telecomproviders die volgens de autoriteiten door Chinese actoren zijn uitgevoerd.

Senatoren Wyden en Schmitt wijzen onder andere naar een miljardencontract dat het Pentagon dit jaar met een telecomprovider sloot, ook al zou het hebben geweten dat de netwerken van telecombedrijven kwetsbaar voor buitenlandse surveillance zijn. "Het falen van het ministerie van Defensie om de ongeclassificeerde stem-, video- en textcommunicatie met end-to-end encryptie te beveiligen heeft het onnodig kwetsbaar voor buitenlandse spionage gemaakt", aldus de senatoren.

"Het voortdurende gebruik van onversleutelde vaste lijnen en platformen zoals Microsoft Teams door het ministerie van Defensie ondermijnt veilige communicatie bij het ministerie. Teams en bepaalde andere platforms die het ministerie gebruikt zijn standaard niet end-to-end versleuteld, wat voor gaten in de beveiliging zorgt die eenvoudig zijn te verhelpen", gaan Wyden en Schmitt verder. Ze wijzen vervolgens naar end-to-end versleutelde chatapps zoals Signal, WhatsApp en FaceTime die betere bescherming bieden in het geval de aanbieder van de chatdienst wordt gecompromitteerd.

"Ongeacht de brede beschikbaarheid van veilige alternatieven blijven agentschappen onversleutelde vaste lijnen en onveilige communicatieplatforms gebruiken", voegen de senatoren toe. Ze stellen dat sommige onderdelen van het Pentagon zijn begonnen met het testen van een 'potentieel veel veiliger superieur communicatieplatform', bekend als Matrix. Dat is standaard end-to-end versleuteld, interoperabel en wordt niet door een bedrijf beheerd, merken de senatoren op.

Wyden en Schmitt zijn blij met de test, maar stellen dat het gebruik ervan een uitzondering is. "Onveilige, proprietary tools zijn veel meer in gebruik bij het ministerie en de federale overheid in het algemeen." De senatoren noemen het wijdverbreide gebruik van onveilige, proprietary tools een direct gevolg van falend leiderschap bij het ministerie van Defensie om het gebruik van standaard end-to-end encryptie niet te verplichten en bij het beoordelen van verschillende communicatieplatforms geen prioriteit te geven aan veilige communicatie.

Reacties (2)
05-12-2024, 17:13 door Anoniem
In RFC 791 (IPv4) wordt gesproken over een security field in de IP headers:

Security (S field): 16 bits

Specifies one of 16 levels of security (eight of which are
reserved for future use).

00000000 00000000 - Unclassified
11110001 00110101 - Confidential
01111000 10011010 - EFTO
10111100 01001101 - MMMM
01011110 00100110 - PROG
10101111 00010011 - Restricted
11010111 10001000 - Secret
01101011 11000101 - Top Secret
00110101 11100010 - (Reserved for future use)
10011010 11110001 - (Reserved for future use)
01001101 01111000 - (Reserved for future use)
00100100 10111101 - (Reserved for future use)
00010011 01011110 - (Reserved for future use)
10001001 10101111 - (Reserved for future use)
11000100 11010110 - (Reserved for future use)
11100010 01101011 - (Reserved for future use)

Raad eens naar welk field buitenlandse veiligheidsdiensten op zoek gaan. Resultaat is dat niemand dit field gebruikt waar die voor bedoeld was.

Zo is het ook met ongecodeerde overheidscommunicatie. Als je je concentreert op het gecodeerde dataverkeer ben je veel efficiënter bezig. Moraal: end-to-end encryptie overal toepassen! Ook voor burgers.
06-12-2024, 09:34 door Anoniem
Sowieso vraag ik me af waarom ze bij het DOD gebruik maken van zaken als Teams. Het is sowieso een gedrocht om mee te werken buiten dat het qua beveiliging aan alle kanten rammelt.
Je ziet ook steeds meer overheden en gemeenten M365 als standaard gebruiken maar de meesten passen niet eens alle mogelijke beveiligingsmaatregelen toe. Buiten dat je al je gegevens in de handen van Microsoft legt waarvan je jezelf moet afvragen of dat allemaal wel kosjer is.
Aan de andere kant, beter data bij een Cloud provider, die het enigzins goed beveiligd, dan bij een eigen organisatie on-prem waar IT'ers rondlopen die geen flauw benul van security hebben (lopen er veel van rond in overheidsland).
Veel organisaties dwingen hun medewerkers om Teams en al die andere MS shizzle als default te gebruiken i.p.v. e-mail of opslag op netwerk schijven. Alleen daarmee nemen ze grote risico's als deze MS shizzle niet beschikbaar is. We hebben de afgelopen weken gezien dat grote storingen impact op de continuiteit hebben van bedrijven. En toch blijft de overheid rotsvast in het vertrouwen om met MS in zee te gaan.
Je kunt het best je risco's spreiden door delen nog in huis te blijven doen of, als je toch in de Cloud wil/moet, dan in ieder geval dit met meerdere providers doen zodat we niet met zijn allen duimen gaan zitten draaien als die MS shizzle het echt een keer langdurig niet doet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.