Tips om je laptop tegen de douane te beschermen
Steeds meer landen geven douanepersoneel het recht om de inhoud van laptops te bekijken, maar beveiligingsgoeroe Bruce Schneier weet raad. Volgens Schneier is het nog altijd onduidelijk wat er tijdens een controle wel en niet is toegestaan en welke rechten mensen hebben. Om gegevens op een laptop te beschermen zijn er verschillende oplossingen, zoals het verwijderen van de data voordat men op reis gaat, het versleutelen ervan of het uploaden naar een website om na de grenscontrole de bestanden weer te downloaden. "Geen van die oplossingen zint mij." Schneier merkt op dat hij vaak onderweg is en veel soorten gegevens bij zich draagt. Het downloaden ervan kan dan ook lang duren. Daarnaast wil hij graag in het vliegtuig doorwerken.
Schneier kwam daarom met het volgende plan, wat alleen voor gebruikers is die met hun encryptie software bekend zijn.
- Voeg voordat je het vliegtuig in stapt een tweede sleutel aan je versleutelde schijf toe en zorg ervoor dat die willekeurig is. Het is de bedoeling dat je de sleutel niet kent en onthoudt. Deze sleutel versleutelt niet de harde schijf. Het versleutelt de sleutel die wordt gebruikt om je harde schijf te versleutelen. Na deze actie zijn er twee gebruikers met twee verschillende sleutels. Eén voor normaal gebruik en een willekeurige die net is aangemaakt.
- Stuur de willekeurige sleutel naar iemand die je vertrouwt. Zorg ervoor dat die persoon de sleutel ook ontvangen heeft en dat die werkt.
- Vernietig alle kopieën van de willekeurige sleutel en vergeet hem.
- Ga aan boord en gebruik je computer tijdens de vlucht.
- Verwijder voor het landen de sleutel die je normaal gebruikt. Op dit moment kun je de computer alleen nog starten met de willekeurige sleutel die je vergeten bent. "Er is geen reden om tegen het douanepersoneel te liegen. Je kunt ze zelfs een kopie van dit artikel laten zien als ze je niet geloven", aldus Schneier.
- Ben je veilig door de douane heen, haal dan de willekeurige sleutel terug van de persoon die je vertrouwde. Start de computer en zet de sleutel terug die je normaal gebruikt om toegang tot je harde schijf te krijgen.
Vertrouwen
Schneier merkt op dat het geen "magische" oplossing is om makkelijk door de douane heen te komen. "Je computer kan in beslag worden genomen of je moet voor de rechter verschijnen om te onthullen wie de willekeurige sleutel heeft." De bovengenoemde procedure moet dat echter niet voorkomen, het is alleen bedoeld om de douane te laten zien dat je geen toegang tot je eigen computer hebt. "Dit kost wel al het werk dat je tijdens de vlucht hebt gedaan, maar dat is op dat moment het minst van je zorgen."
De procedure beschermt niet alleen tegen het ongeoorloofd doorzoeken van je gegevens, het voorkomt ook dat je tegen douanepersoneel moet liegen, wat op zich ook al een misdrijf is, gaat Schneier verder. Wat betreft de vertrouweling moet dat iemand zijn met wie er een hechte relatie is. Bijvoorbeeld partner of advocaat. Bedrijven kunnen bijvoorbeeld de helpdesk de sleutel laten bewaren.
Privacy
"Ik denk niet dat we ooit op het punt belanden waar onze computergegevens helemaal veilig zijn als we de grens overgaan. Zelfs als landen als de VS en Groot-Brittannië hun regels verduidelijken en privacybescherming regelen, zullen er altijd andere landen zijn die hun autoriteit verder uitoefenen. Soms betekent het beschermen van je gegevens dat je ze ook tegen jezelf moet beschermen."
Reacties (23)
Wat een onnodige toestanden allemaal.
Gebruik gewoon Truecrypt en zet je "werk" OS in een hidden partitie en een dummy OS gewoon zichtbaar.
Aan de douane geef je dan het wachtwoord van het dummy OS, ze zullen niet eens vermoeden dat er nog een ander gecodeerd OS op aanwezig is.
Gebruik gewoon Truecrypt en zet je "werk" OS in een hidden partitie en een dummy OS gewoon zichtbaar.
Aan de douane geef je dan het wachtwoord van het dummy OS, ze zullen niet eens vermoeden dat er nog een ander gecodeerd OS op aanwezig is.
ik heb ooit gelezen, dat men gewoon de laptop daar kan houden als je niet mee werkt.
Dit zien ze gewoon als niet mee werken, en nemen ze de laptop in beslag net zolang ze voldoende gevonden hebben.
Zul je net zien dat die andere persoon komt te overlijden...
Dit zien ze gewoon als niet mee werken, en nemen ze de laptop in beslag net zolang ze voldoende gevonden hebben.
Zul je net zien dat die andere persoon komt te overlijden...
Sorry meneer dan houden wij uw laptop even vast voor nader onderzoek, of totdat u de sleutel weer herinnert.
16-07-2009, 12:38 door
repmeer
Vreemd verhaal.
Komt mijn inziens een beetje vreemd op de douane over als je laptop meeneemt waar je zelf geen toegang toe hebt.
Komt mijn inziens een beetje vreemd op de douane over als je laptop meeneemt waar je zelf geen toegang toe hebt.
16-07-2009, 13:20 door
spatieman
ik zou niet inzien wat de douane met mijn laptop wil, tenzij men ook bereid is ook daadwerkelijk er valse gegevens op te zetten om iemand te belasten en de toegang tot het land te weigeren.
16-07-2009, 13:50 door
[Account Verwijderd]
[Verwijderd]
"ik zou niet inzien wat de douane met mijn laptop wil, tenzij men ook bereid is ook daadwerkelijk er valse gegevens op te zetten om iemand te belasten en de toegang tot het land te weigeren."
Mja. Je ziet zeker ook niet in waarom de douane koffers doorzoekt, tenzij ze er pakketjes cocaine in willen stoppen om je te belasten. Er kunnen tal van redenen zijn om laptops te doorzoeken, van kinderporno en auteursrechtenschendingen, tot het exporteren van staatsgeheimen, het overtreden van export controls, en ga zo maar door. Daarnaast zal de douane wellicht ook geinteresseerd zijn in classified informatie van burgers van andere landen welke ze op de laptops terugvinden. Er zijn talloze redenen te verzinnen naast het 'plaatsen van belastende informatie'.
"Verwijder voor het landen de sleutel die je normaal gebruikt. Op dit moment kun je de computer alleen nog starten met de willekeurige sleutel die je vergeten bent. "Er is geen reden om tegen het douanepersoneel te liegen. Je kunt ze zelfs een kopie van dit artikel laten zien als ze je niet geloven", aldus Schneier."
"Ben je veilig door de douane heen, haal dan de willekeurige sleutel terug van de persoon die je vertrouwde. "
Denkt Schneier niet dat de douane je zal verzoeken om contact op te nemen met je kennis, om hun daarna de key te verschaffen ? Je laat immers ten eerste zien dat je aktief maatregelen neemt om de douane tegen te werken, en ten tweede geef je door het laten zien van het artikel aan wie de key heeft om jouw laptop te kunnen decrypten. Dus de kans lijkt mij groot dat je ofwel de key zal moeten leveren, ofwel dat ze je laptop in beslag nemen.
Volgens mij heeft Schneier niet goed nagedacht over de implicaties van zijn advies....
Mja. Je ziet zeker ook niet in waarom de douane koffers doorzoekt, tenzij ze er pakketjes cocaine in willen stoppen om je te belasten. Er kunnen tal van redenen zijn om laptops te doorzoeken, van kinderporno en auteursrechtenschendingen, tot het exporteren van staatsgeheimen, het overtreden van export controls, en ga zo maar door. Daarnaast zal de douane wellicht ook geinteresseerd zijn in classified informatie van burgers van andere landen welke ze op de laptops terugvinden. Er zijn talloze redenen te verzinnen naast het 'plaatsen van belastende informatie'.
"Verwijder voor het landen de sleutel die je normaal gebruikt. Op dit moment kun je de computer alleen nog starten met de willekeurige sleutel die je vergeten bent. "Er is geen reden om tegen het douanepersoneel te liegen. Je kunt ze zelfs een kopie van dit artikel laten zien als ze je niet geloven", aldus Schneier."
"Ben je veilig door de douane heen, haal dan de willekeurige sleutel terug van de persoon die je vertrouwde. "
Denkt Schneier niet dat de douane je zal verzoeken om contact op te nemen met je kennis, om hun daarna de key te verschaffen ? Je laat immers ten eerste zien dat je aktief maatregelen neemt om de douane tegen te werken, en ten tweede geef je door het laten zien van het artikel aan wie de key heeft om jouw laptop te kunnen decrypten. Dus de kans lijkt mij groot dat je ofwel de key zal moeten leveren, ofwel dat ze je laptop in beslag nemen.
Volgens mij heeft Schneier niet goed nagedacht over de implicaties van zijn advies....
laat gewoon je laptop thuis. Maar breng je vast pc mee. Daarvoor hebben ze toch geen plaats genoeg:d.
16-07-2009, 15:22 door
prikkebeen
Ik denk dat ik zelf een Truecrypt volume aan zou maken op een usb stick en die met snailmail op zou sturen naar het adres waar ik moet zijn. Omslachtig is het wel natuurlijk en eigenlijk te gek voor woorden dat we zover zijn afgegleden. Onder het mom van terrorisme en kinderporno kan alles tegenwoordig, zolang het maar om gewone mensen gaat.
Ik wil niet eens weten wat er met diplomatieke post allemaal de grenzen overgaat. Volgens het gezegde 'zo de waard is vertrouwd hij zijn gasten' moeten we het ergste vrezen volgens mij.
Ik wil niet eens weten wat er met diplomatieke post allemaal de grenzen overgaat. Volgens het gezegde 'zo de waard is vertrouwd hij zijn gasten' moeten we het ergste vrezen volgens mij.
16-07-2009, 15:27 door
wimbo
Gewoon telewerken 'thin-client-style'. Met een kale laptop met minimale software via een VPN toegang tot je gegevens. Net voor het door de douane heen gaan de data vernietigen op de laptop. Na de douane de data weer downloaden en verder werken.
Je bent vaak toch niet met gigabytes aan data bezig, dus uploaden, downloaden en shredden van data is dan ook zo gebeurt.
2) Zorgen dat je een digitale camera bij je heb met een aantal grote SD/CF kaarten. Kaarten met truecrypt versleutelen en via een cardreader toegang tot de documenten. De kans dat je lege ongeformateerde CF cards bij je hebt is een stuk groter dan een 'lege' externe HD van 1TB. Daarnaast zijn SD/CF cards makkelijker buiten je bagage te houden, waardoor de kans op controle en/of inname kleiner is.
Wat ik me wel afvraag is in hoeverre men je kan dwingen om wachtwoorden voor dial-up / VPN connecties te geven?
Je bent vaak toch niet met gigabytes aan data bezig, dus uploaden, downloaden en shredden van data is dan ook zo gebeurt.
2) Zorgen dat je een digitale camera bij je heb met een aantal grote SD/CF kaarten. Kaarten met truecrypt versleutelen en via een cardreader toegang tot de documenten. De kans dat je lege ongeformateerde CF cards bij je hebt is een stuk groter dan een 'lege' externe HD van 1TB. Daarnaast zijn SD/CF cards makkelijker buiten je bagage te houden, waardoor de kans op controle en/of inname kleiner is.
Wat ik me wel afvraag is in hoeverre men je kan dwingen om wachtwoorden voor dial-up / VPN connecties te geven?
Waarom niet gewoon remote acces met encryptie. Hoef je helemaal niets op te slaan op de locale laptop :)
"Je computer kan in beslag worden genomen of je moet voor de rechter verschijnen om te onthullen wie de willekeurige sleutel heeft."
In Nederland ben je niet verplicht je sleutel te overhandigen. Wel kan de douane je laptop in beslag nemen, echter als er geen gegronde reden is om deze te bewaren zullen ze hem terug moeten geven. het voorkomt ook dat je tegen douanepersoneel moet liegen, wat op zich ook al een misdrijf is,
Je mag niet liegen over je identiteit, maar voor de rest ben je niet een verplicht om zijn vragen te beantwoorden. Wordt je om deze reden aangehouden en moet je voor de rechter komen, dan mag je gewoon liegen. Kijk maar naar Joran van der Sloot, als die bestraft kon worden omdat hij loog dan zat hij nu al vast. Maar het niet mee werken bij de douane, kan je wel een boel tijd en moeite kosten.
Bruce weet altijd zo mooi te demonstreren dat genialiteit en krankzinnigheid erg dicht aan elkaar grenzen.... ;)
Door Anoniem: Bruce weet altijd zo mooi te demonstreren dat genialiteit en krankzinnigheid erg dicht aan elkaar grenzen.... ;)
Volgens mij noem je zo'n iemand, dom.Bruce mag dan wel een expert zijn op computer gebied, van recht heeft hij denk ik weinig kaas gegeten.
Deze methode maakt het voor een justitiële instelling juist makkelijk om bij de gegevens te komen, aangezien de persoon met de sleutel verplicht is deze af te staan. Mocht je zelf de sleutel hebben kunnen en mogen ze dit niet eisen.
Deze methode maakt het voor een justitiële instelling juist makkelijk om bij de gegevens te komen, aangezien de persoon met de sleutel verplicht is deze af te staan. Mocht je zelf de sleutel hebben kunnen en mogen ze dit niet eisen.
Door Anoniem: Wat een onnodige toestanden allemaal.
Gebruik gewoon Truecrypt en zet je "werk" OS in een hidden partitie en een dummy OS gewoon zichtbaar.
Aan de douane geef je dan het wachtwoord van het dummy OS, ze zullen niet eens vermoeden dat er nog een ander gecodeerd OS op aanwezig is.
Gebruik gewoon Truecrypt en zet je "werk" OS in een hidden partitie en een dummy OS gewoon zichtbaar.
Aan de douane geef je dan het wachtwoord van het dummy OS, ze zullen niet eens vermoeden dat er nog een ander gecodeerd OS op aanwezig is.
Ik denk dat je met TC aan de verkeerde deur aan het kloppen bent bij Bruce Schneier :)
Tsjek: http://www.security.nl/artikel/19104/1/Schneier_kraakt_onzichtbare_TrueCrypt_feature.html
16-07-2009, 22:17 door
[Account Verwijderd]
[Verwijderd]
17-07-2009, 09:45 door
sjonniev
Nog een tip:
Installeer op je laptop een FDE product dat 2 factor authentication ondersteunt, en zorg voor 2 smart cards (of USB cryptographische tokens) waarmee het apparaat geboot kan worden. Maak 2 factor authentication mandatory.
Stuur een smart card alvast op (maar niet de PIN ervan) en verifiëer de aankomst.
Laat je eigen smart card thuis, en ga op reis.
Dit voorkomt niet dat de douane je laptop in beslag neemt wanneer ze daar zin in hebben, maar dat is toch niet te voorkomen...
Installeer op je laptop een FDE product dat 2 factor authentication ondersteunt, en zorg voor 2 smart cards (of USB cryptographische tokens) waarmee het apparaat geboot kan worden. Maak 2 factor authentication mandatory.
Stuur een smart card alvast op (maar niet de PIN ervan) en verifiëer de aankomst.
Laat je eigen smart card thuis, en ga op reis.
Dit voorkomt niet dat de douane je laptop in beslag neemt wanneer ze daar zin in hebben, maar dat is toch niet te voorkomen...
als je graag wat langer bij de douane wil zitten dan raad ik je aan om dit te gaan doen, ik kan je garanderen dat de meeste douaniers dit soort geintjes niet kunnen waarderen...
als je dan ook nog even lekker stoer gaat staan zwaaien met een uitgeprint artikeltje van het web dan heb je ze helemaal wakker, als er iets is wat ze al helemaal niet leuk vinden dan is dat je wijsneus gaat spelen bij dat soort lui (beveiligers, bodyguards, militairen enz, no offense ;)
je zal als Nederlander op Schiphol misschien gewoon door kunnen lopen, maar als je naar Japan of de VS reist dan kan je gerust een paar uur extra rekenen om door de douane te komen, en in de vs denk ik dat je de laptop echt kwijt bent, en veel succes om een in beslag genomen verdacht artikel weer terug te krijgen ;)
en in Engeland ben je met encryptie sowieso al verdachte, of erger...
als je dan ook nog even lekker stoer gaat staan zwaaien met een uitgeprint artikeltje van het web dan heb je ze helemaal wakker, als er iets is wat ze al helemaal niet leuk vinden dan is dat je wijsneus gaat spelen bij dat soort lui (beveiligers, bodyguards, militairen enz, no offense ;)
je zal als Nederlander op Schiphol misschien gewoon door kunnen lopen, maar als je naar Japan of de VS reist dan kan je gerust een paar uur extra rekenen om door de douane te komen, en in de vs denk ik dat je de laptop echt kwijt bent, en veel succes om een in beslag genomen verdacht artikel weer terug te krijgen ;)
en in Engeland ben je met encryptie sowieso al verdachte, of erger...
Door Anoniem:
Ik denk dat je met TC aan de verkeerde deur aan het kloppen bent bij Bruce Schneier :)
Tsjek: http://www.security.nl/artikel/19104/1/Schneier_kraakt_onzichtbare_TrueCrypt_feature.html
Door Anoniem: Wat een onnodige toestanden allemaal.
Gebruik gewoon Truecrypt en zet je "werk" OS in een hidden partitie en een dummy OS gewoon zichtbaar.
Aan de douane geef je dan het wachtwoord van het dummy OS, ze zullen niet eens vermoeden dat er nog een ander gecodeerd OS op aanwezig is.
Gebruik gewoon Truecrypt en zet je "werk" OS in een hidden partitie en een dummy OS gewoon zichtbaar.
Aan de douane geef je dan het wachtwoord van het dummy OS, ze zullen niet eens vermoeden dat er nog een ander gecodeerd OS op aanwezig is.
Ik denk dat je met TC aan de verkeerde deur aan het kloppen bent bij Bruce Schneier :)
Tsjek: http://www.security.nl/artikel/19104/1/Schneier_kraakt_onzichtbare_TrueCrypt_feature.html
Je gaat me toch niet vertellen dat TrueCrypt zo'n hidden partitie niet tevens encrypt met het 2e wachtwoord hè?
Alleen onzichtbaar maken doet echt af aan de naam True-Crypt.
O, en we hebben het nog steeds over de Douane toch?
Je laptop wordt gelijk in beslag genomen als met zo'n dom verhaal aan komt zetten. Geweldig artikel.
Je kan je gegevens ook (verbergen in je fotocamera flashcard van 2 GB of meer). Of een pen die gewoon blijkt zijn een USB stick! Geef de Douane gewoon alleen toegang tot je laptop en gegevens dat je niks teverbergen hebt , ze zullen niks vinden omdat met virtualbox, vmware of virtual pc 2007 werkt en zo juist een recovery DVD bij hand heb! De Douane zal op alleen mogelijkheid gaan zoeken of je computer heb gebruikt bepaalde tijd of je verdachten gegevens heb verwijderd!
Wat een gedoe dit. Als je echt schoon door de douane wil: Vlieg zonder laptop!
1. Huur een beveiligde server in een land waar men leger en justitie niet zomaar in servers laat rommelen (IJsland?)
2. Zet daar de software op die je nodig hebt, incl een vpn-programma en truecrypt.
3. Huur in het land van aankomst een laptop of pc, of leen een werkstation van het bedrijf waarvoor je aan de slag bent.
4. Boot die pc met Linux op een cd (zodat er geen caches of andere rommel op een harde schijf achterblijft)
5. Maak je vpn-verbinding
6. Voer je truecrypt-ww in.
7. Aan het werk.
Geen douane, politie of marechaussee (of hackers) die dan bij je data kan komen. Je hebt geen pc mee die ze kunnen doorzoeken, je hebt geen last van achterblijvende caches (wellicht even batterij uit laptop halen voordat je m weer teruggeeft) en je maakt gebruik van het beste juridische systeem wat betreft doorzoeken van servers.
Als je echt paranoia bent: koop een prepaid mobiele telefoon en maak daarmee internet-contact, zorg dat bij één keer een fout wachtwoord je server permanent wordt gewist en check voordat je het truecrypt-ww invoert, of de ip-adressen die toegang hebben gemaakt tot je server, wel kloppen. Ten slotte kun je de bestanden op je server ook individueel encrypten en dan pas downloaden en uploaden.
1. Huur een beveiligde server in een land waar men leger en justitie niet zomaar in servers laat rommelen (IJsland?)
2. Zet daar de software op die je nodig hebt, incl een vpn-programma en truecrypt.
3. Huur in het land van aankomst een laptop of pc, of leen een werkstation van het bedrijf waarvoor je aan de slag bent.
4. Boot die pc met Linux op een cd (zodat er geen caches of andere rommel op een harde schijf achterblijft)
5. Maak je vpn-verbinding
6. Voer je truecrypt-ww in.
7. Aan het werk.
Geen douane, politie of marechaussee (of hackers) die dan bij je data kan komen. Je hebt geen pc mee die ze kunnen doorzoeken, je hebt geen last van achterblijvende caches (wellicht even batterij uit laptop halen voordat je m weer teruggeeft) en je maakt gebruik van het beste juridische systeem wat betreft doorzoeken van servers.
Als je echt paranoia bent: koop een prepaid mobiele telefoon en maak daarmee internet-contact, zorg dat bij één keer een fout wachtwoord je server permanent wordt gewist en check voordat je het truecrypt-ww invoert, of de ip-adressen die toegang hebben gemaakt tot je server, wel kloppen. Ten slotte kun je de bestanden op je server ook individueel encrypten en dan pas downloaden en uploaden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
