Nieuws

Partner Guardian-journalist had wachtwoordbriefje bij zich

zondag 1 september 2013, 12:05 door Redactie, 16 reacties

De partner van Guardian-journalist Glenn Greenwald die onlangs door de Britse autoriteiten op het vliegveld van Heathrow werd vastgehouden, had een briefje bij zich waarop het wachtwoord stond van een bestand op zijn versleutelde harde schijf. Miranda werd aangehouden omdat hij de partner van Greenwald is, die in de Guardian allerlei artikelen over de surveillanceprogramma's van de NSA publiceerde. De Britse politie nam een mobiele telefoon, laptop, USB-sticks, DVD's en spelcomputers in beslag.

Via een omstreden anti-terreurwet kon Miranda negen uur zonder aanklacht worden vastgehouden. Na zijn vrijlating hadden de advocaten van Miranda een brief naar het Britse ministerie van Binnenlandse Zaken gestuurd waarin ze zijn in beslag genomen spullen terugeisten en stelden dat de gegevens niet onderzocht mochten worden, omdat die illegaal waren verkregen.

Onderzoek

Het onderzoek mocht met goedkeuring van de rechter toch plaatsvinden en zou ook al resultaten hebben opgeleverd. De plaatsvervangend nationale veiligheidsadviseur Oliver Robbins liet weten dat één bestand dat Miranda bij zich droeg 58.000 zeer vertrouwelijke documenten van Britse inlichtingendiensten bevatte. Volgens Robbins zou inlichtingenpersoneel met naam en toenaam in de documenten worden genoemd en daardoor een groot risico lopen.

Vorige week oordeelde de rechter dat politie het in beslag genomen materiaal alleen mag doorzoeken als dit relevant voor de nationale veiligheid is. Tijdens een hoorzitting over de verlenging van dit besluit lieten de advocaten van Miranda weten er een overeenkomst met de politie was bereikt, zodat het de documenten onder soortgelijke voorwaarden mocht blijven onderzoeken.

Wachtwoordbriefje

Veel van de bestanden waren versleuteld, aldus Robbins, maar Miranda had ook een papiertje bij zich waarop de instructies stonden om sommige gegevens te benaderen, alsmede een briefje met daarop een wachtwoord om een versleuteld bestand op een externe harde schijf te ontsleutelen. Daarnaast zouden de inlichtingendiensten nog altijd bezig zijn om toegang tot de andere bestanden op de harde schijf en USB-sticks te krijgen, zo liet Robbins verder weten, aldus de BBC.

Meldplicht datalekken voor internetproviders van kracht

Windows XP verliest 10% van gebruikers

Reacties (16)

01-09-2013, 12:30 door Anoniem

Over de hele actie kun je denken wat je wilt... Maar een password op papier bij je hebben is ronduit eh... onhandig.

01-09-2013, 13:46 door Anoniem

Moet je natuurlijk een rund voor zijn om een papiertje met paswoorden in je zak te hebben als je met zo'n harddisk op een vliegveld komt, los van de verfoeilijke praktijken die politie gebruikt.

01-09-2013, 14:20 door Anoniem

Door Anoniem: Over de hele actie kun je denken wat je wilt... Maar een password op papier bij je hebben is ronduit eh... onhandig.

Het is natuurlijk het verkeerde wachtwoord voor het TrueCrypt volume. ;-)

Als je de getuigenissen leest, dan blijkt dat ze in een 20GB "ruimte" 75 documenten konden vinden. De logische conclusie van de geheime dienst in de UK is vervolgens dat in een nog steeds versleuteld deel van 40GB zo'n 58.000 documenten zouden staan.

Peter

01-09-2013, 19:46 door Anoniem

Door Anoniem: Over de hele actie kun je denken wat je wilt... Maar een password op papier bij je hebben is ronduit eh... onhandig.

Ja we weten het allemaal zo goed. Een password mag je niet opschrijven, je moet het iedere week veranderen, het
moet >15 tekens lang zijn, er moeten allerlei rare tekens in staan, er mag geen woordenboekwoord in voorkomen, en
zo gaat het maar door. En iedere keer komen er nieuwe eisen bij en worden vorige eisen als "maar dat is ook dom!"
weggezet.

Laten we liever maar toegeven dat passwords niet geschikt zijn om informatie te beveiligen, dan hoeven we niet de hele
tijd mensen verwijten te maken die zich niet aan de heilige (en onmogelijke) regeltjes houden.

01-09-2013, 21:13 door Fwiffo

Het wachtwoord bewaren bij de harddisk die je dan allebei bij je draagt is idd niet zo handig. Verhalen dat alles wat data op kan slaan leeggezogen wordt op vliegvelden zijn er al een tijdje.

Beter was het om het wachtwoord apart te versturen via bijvoorbeeld snail mail of via pgp. Fax en telefoon lijkt mij wat minder handig vanwege de NSA (afluisteren), maar dat nieuwe product van Phil Zimmermann is misschien wel weer erg geschikt.

Journalisten moeten goede wachtwoorden hebben! Met "Mijn kat heet Sam en hij is 9" (van xs4all als voorbeeld van een sterk wachtwoord) kom je er niet tegen de NSA. Er zijn overigens meerdere beroepen waarvoor je een goed wachtwoord moet hebben. Als je met gevoelige/vertrouwelijke informatie om moet gaan bijvoorbeeld. En die hoef je heus niet elke week te veranderen in weer zo'n sterk wachtwoord. Veilig is veilig tot er reden is om te denken dat niet meer zo is.

01-09-2013, 23:14 door Anoniem

Waarschijnlijk was het versleuteld voor in het geval de schijf gestolen/verloren werdt, en niet voor een onverwacht verhoor bij de politie. Vreemde praktijken....

01-09-2013, 23:25 door Anoniem

Door Fwiffo:
Journalisten moeten goede wachtwoorden hebben! Met "Mijn kat heet Sam en hij is 9" (van xs4all als voorbeeld van een sterk wachtwoord) kom je er niet tegen de NSA.

Kijk daar hebben we er weer een. Heeft er iemand een sterk wachtwoord bedacht en dan is het weer niet sterk.
Ik heb nog nooit hier gelezen dat iemand vond dat het wachtwoord wat iemand anders als voorbeeld neerzette
een goed wachtwoord was. Er was altijd wel wat op aan te merken.
Dit is gewoon geen constructieve benadering van het probleem.

02-09-2013, 09:35 door Fwiffo

Door Anoniem:

Door Fwiffo:
Journalisten moeten goede wachtwoorden hebben! Met "Mijn kat heet Sam en hij is 9" (van xs4all als voorbeeld van een sterk wachtwoord) kom je er niet tegen de NSA.

Voor je hoofdaccount bij je provider is het anders prima hoor ;-) Tegen de NSA. Nou nee. Dan zou ik een methode gebruiken met bewezen entropie, zoals Diceware. En dan gaan voor 128 bits of iets dergelijks. De zin van xs4all is veel te voorspelbaar en bevat teveel persoonlijke informatie die makkelijk te achterhalen is.

02-09-2013, 09:51 door Anoniem

Door Fwiffo:

Hoe moet de NSA nou weten dat jij de naam en leeftijd van je kat als password gekozen hebt?
Kan toch net zo goed zijn dat je iets heel anders gebruikt.
Dat programma daar heb je niks aan, hoe moet mijn moeder nou 5 engelse woorden onthouden?
Zo iets is leuk voor nerds en mensen die willen zeuren op een security forum, maar voor dagelijks gebruik is het
waardeloos.
Ook zul je er zelf in de toekomst achter gaan komen dat de vaardigheid om iets willekeurigs te onthouden minder gaat
worden!
Nu denk je misschien nog dat je alles kunt onthouden, maar echt, straks sta je voor je computer en wil je echt niet
meer te binnen schieten wat je voor wachtwoord gekozen had. Je weet wel de naam van je kat, maar een engels
woord wat iemand anders voor je gekozen heeft dat niet meer.
Daarom moet je het ofwel opschrijven, ofwel het moet iets zijn wat je wel kunt onthouden.

02-09-2013, 10:06 door Anoniem

Ik ga op reis en ik neem mee:
- versleutelde harde schijf
- briefje met wachtwoord

Iemand wel eens gedacht aan de mogelijkheid dat dit een afleidingstruc zou kunnen zijn? De hele geheime dienst zit nu op die harde schijf met dat briefje.

02-09-2013, 10:31 door Anoniem

Door FwiffoDe zin van xs4all is veel te voorspelbaar en bevat teveel persoonlijke informatie die makkelijk te achterhalen is.[/quote]
Dit hoeft helemaal geen persoonlijke informatie te bevatten. Heb je geen kat, dan is het "dus" willekeurig :)

02-09-2013, 11:33 door Anoniem

Door Anoniem:Ik heb nog nooit hier gelezen dat iemand vond dat het wachtwoord wat iemand anders als voorbeeld neerzette een goed wachtwoord was. Er was altijd wel wat op aan te merken.
Dit is gewoon geen constructieve benadering van het probleem.

Wat is er aan te merken op fdF4DkOodiMA&h[Hpqmd<SpdMAeLFh#B+hJW-lcM]7ZrO[.F^X?

Dit is een voorbeeld van een wachtwoord dat hier voor sommige weblogins wordt gebruikt.

Ja, dit is niet in te tikken en moet je dus knippen en plakken. Het voorkomt wel dat iemand die de website vanaf een plek zonder het wachtwoord benaderd, er niet in komt. Verder staat dit wachtwoord in een bestand zonder enige verdere indicatie van de website waar dit voor geldt. Die informatie is mondeling overgedragen. De website wordt in privacy-mode geopend, dus ook niet te vinden in de history.

In sommige gevallen is het helemaal niet erg als je het wachtwoord opschrijft en meeneemt of bij je PC laat liggen. De meeste aanvallen vinden nog steeds plaats vanaf een locatie waar men geen toegang heeft tot de post-it op je scherm (zolang je PC maar niet op TV komt).

Peter

02-09-2013, 11:39 door WhizzMan

Er is niet verteld wat dat wachtwoord nou precies ontsleuteld heeft. Als er een "Shame on you for spying on journalists" tekstje mee ontsleuteld wordt, zullen ze nog steeds roepen dat ze iets ontsleuteld hebben met dat wachtwoord.

02-09-2013, 15:55 door Anoniem

"Mijn kat heet Sam en hij is 9" (van xs4all als voorbeeld van een sterk wachtwoord) kom je er niet tegen de NSA.

Redelijk zeker dat de nsa wel een paar jaar zoet is om dat wachtwoord te kraken (29 karakters lol)

02-09-2013, 17:39 door johanw

Met "Mijn kat heet Sam en hij is 9" (van xs4all als voorbeeld van een sterk wachtwoord) kom je er niet tegen de NSA.

Dat hangt er vanaf - mensen schijnen automatisch aan te nemen dat je bij dat soort wachtwoorden (en ook bij controlevragen) de waarheid moet zeggen. Dit wachtwoord is niks mis mee als je alleen een hond hebt van 2 jaar.

03-09-2013, 10:46 door Anoniem

Door Anoniem: Over de hele actie kun je denken wat je wilt... Maar een password op papier bij je hebben is ronduit eh... onhandig.

Ja, daar ben ik ook wel bang voor. Sowieso vind ik het meeslepen van dit soort gegevens in deze vorm niet zo handig.

Wat is er op tegen om een truecrypt volume aan te maken en dat in dropbox te gooien? Dat is elders makkelijk op te halen en je loopt niet dit risico. Tuurlijk kunnen ze dat ook gaan zitten kraken als ze willen maar het valt toch minder op dan zo'n opvallend persoon met een bak vol apparatuur en dan ook nog vol data.

Mensen, ik ben al nerveus als ik met medicijnen voor eigen gebruik ga vliegen, want je weet dat ze alles van je checken. Je krijgt niks langs security of douane. En dan ben ik niet eens iemand die in de kijkert loopt door zijn of haar partner.
Het was sowieso slimmer geweest om per boot of trein te reizen, want dan heb je geen centje pijn. Het blijft erg naief, of erg dom, of erg doortrapt. We hopen op het laatste maar ik vrees een of twee.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer