Vrouw moet laptop op Frans vliegveld ontsleutelen
Een bekende vrouw in de security-scene en medewerkster van het HackerOne-beloningsprogramma is op het Franse vliegveld Charles de Gaulle gedwongen haar versleutelde laptop te ontsleutelen. Katie Moussouris, ex-medewerkster van Microsoft, kwam terug van de CCC-conferentie in Hamburg.
Het luchthavenpersoneel wilde haar bagage doorzoeken nadat ze al door de beveiligingscontrole was heen gekomen en aan boord van het vliegtuig wilde stappen. Ook haar instapkaart was al gecontroleerd toen ze door een beambte naar een tafel werd geleid. Vervolgens moest Moussouris haar laptop tevoorschijn halen en aanzetten. Nadat ze de laptop had aangezet en de beambte kon zien dat de computer werkte moest Moussouris alsnog het wachtwoord van haar versleutelde harde schijf zelf invoeren.
Taalbarrière
Volgens de Chief Policy Officer van HackerOne was er sprake van een taalbarrière, ook al liet ze zien dat de laptop gewoon werkte. Moussouris merkt op dat ze haar laptop ook in Brussel eens moest aanzetten, maar nooit verplicht werd haar wachtwoord in te voeren. "Dit was zeer opmerkelijk", laat ze weten. Toen ze de beambte vroeg waarom ze haar wachtwoord moest invoeren kreeg ze te horen dat het wetgeving was. Moussaris besloot overstag te gaan omdat ze haar vlucht niet wilde missen.
Ze laat verder weten dat medewerkers van HackerOne, het programma dat hackers voor bugs betaalt, geen toegang tot de bugmeldingen van klanten hebben en er ook geen exploits op haar laptop stonden. "Klantgegevens liepen dan ook geen risico", meldt ze. Moussaris noemt het verder een verontrustende ervaring en een schending van haar privacy. Daarbij heeft ze ook nog een advies voor haar hackervrienden die de grens overgaan. Namelijk om meer versleutelde schijven te gebruiken of alleen met schone schijven te reizen.
Reacties (23)
Het is grappig om te zien dat met een paar simpele truukjes dergelijke "onderzoeken' nooit enig resultaat zullen opleveren. Weer een prachtig voorbeeld van wetgeving die is geschreven op basis van advies van ongetwijfeld zeer dure security "experts" van renomeerde ondernemingen die technisch inhoudelijk vaak amper op enig behoorlijk niveau iets weten. Lang leve de bullshit certificeringen en grote advies bureaus die enorme hoeveelheden belastinggeld opvreten voor adviezen waar elke cybercrimineel of terrorist tranen van het lachen van in de ogen krijgt...
Ik moet echt de eerste politici nog tegen komen die natuurkundigen, hackers en chemici inhuren om een technisch probleem, wat het in essentie is, op te lossen. Ze huren allemaal boekhouders in en dan gaan ze een space shutle ontwerpen. Alsof DigiNotar, etc nooit heeft plaats gevonden... Men wil maar niet leren...
Ik moet echt de eerste politici nog tegen komen die natuurkundigen, hackers en chemici inhuren om een technisch probleem, wat het in essentie is, op te lossen. Ze huren allemaal boekhouders in en dan gaan ze een space shutle ontwerpen. Alsof DigiNotar, etc nooit heeft plaats gevonden... Men wil maar niet leren...
Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Kwestie van local user aanmaken met minimale rechten. Deze uiteraard geen rechten geven om schijven te decrypten
06-01-2015, 21:05 door
Wadjinn
Alles op een MicroSD card opslaan. Misschien wat moeite met poepen de volgende dag maar je gegevens blijven veilig.
Misschien waren ze alleen uit op haar wachtwoord, die ze voor een (warmte) camera op haar laptop moest invoeren.....
sja dát heb je met alle luchthaven beveiligingen heden in israelische claws...die spioneren dus alles en iedereen uit en áf!
Of gewoon met Trucrypt/Veracrypt of PGP een versleutelde en verborgen dus niet zichtbare partitie op de schijf zetten. Zien ze niet en kunnen er helemaal niet bij zonder het wachtwoord. Voor de schijn een zichtbare versleutelde container installeren met daarin onzin informatie.
Door Anoniem: Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Moet je wel met enige zekerheid weten dat je ook de mogelijkheid hebt om je image/data terug te zetten. 3G/4G dekking is niet overal in de wereld beschikbaar (laat staan betaalbaar) en wireless via hotels is vaak ook beperkt (bandbreedte en download limit).Een bekende vrouw in de security-scene en medewerkster van het HackerOne-beloningsprogramma is op het Franse vliegveld Charles de Gaulle gedwongen haar versleutelde laptop te ontsleutelen. Katie Moussouris, ex-medewerkster van Microsoft, kwam terug van de CCC-conferentie in Hamburg.
Een "bekende vrouw"?? Waarom wordt zij op deze manier omschreven? Ik zie ook geen nieuwsitems met "een bekende man, Bruce Schneier", of "een bekende man, Matthew Green". Het is niet eens belangrijk dat zij vrouw is.
Ik vind niet dat we overdreven egaliserend naar vrouwen moeten gaan doen, maar dit slaat nergens op.
Door Anoniem: Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Want een cloud dienst is zo lekker veilig? Juist.
Je zou met het oog op het onmogelijk via internet opnieuw kunnen binnenhalen plus een wetterlijke plicht tot ontgrendeling
in het kader van plausible deniability een encrypted filecontainer kunnen gebruiken, die je voor vertrek delete, en na aankomst, undelete.
Dan voldeed je aan de decryptorder, (want ge-encrypte info is immers reeds voor vertrek verwijderd (..toch?;),
en breek je geen wet met arsch-smokkel of het anderzijds verstoppen van verplichte info.
(ziek dat het moet, dat dan weer wel)
in het kader van plausible deniability een encrypted filecontainer kunnen gebruiken, die je voor vertrek delete, en na aankomst, undelete.
Dan voldeed je aan de decryptorder, (want ge-encrypte info is immers reeds voor vertrek verwijderd (..toch?;),
en breek je geen wet met arsch-smokkel of het anderzijds verstoppen van verplichte info.
(ziek dat het moet, dat dan weer wel)
Door gobo:
Een "bekende vrouw"?? Waarom wordt zij op deze manier omschreven? Ik zie ook geen nieuwsitems met "een bekende man, Bruce Schneier", of "een bekende man, Matthew Green". Het is niet eens belangrijk dat zij vrouw is.
Ik vind niet dat we overdreven egaliserend naar vrouwen moeten gaan doen, maar dit slaat nergens op.
Een bekende vrouw in de security-scene en medewerkster van het HackerOne-beloningsprogramma is op het Franse vliegveld Charles de Gaulle gedwongen haar versleutelde laptop te ontsleutelen. Katie Moussouris, ex-medewerkster van Microsoft, kwam terug van de CCC-conferentie in Hamburg.
Een "bekende vrouw"?? Waarom wordt zij op deze manier omschreven? Ik zie ook geen nieuwsitems met "een bekende man, Bruce Schneier", of "een bekende man, Matthew Green". Het is niet eens belangrijk dat zij vrouw is.
Ik vind niet dat we overdreven egaliserend naar vrouwen moeten gaan doen, maar dit slaat nergens op.
Inderdaad, en regels zijn regels.
Het staat duidelijk in de wetten dat dit kan voorkomen.
Dus niets nieuwswaardigs imo.
Door gobo:
http://www.funi-lists.com/cat_images/Airport-Security-Logic---WTF.jpg
En op de vraag of er hidden partitions zijn ben je sowieso "niet tot antwoorden verplicht".
En als we collectief niet meewerken (hetgeen iets anders is dan tegenwerken) zal er i.c.m. het cellentekort, nog maar weinig gebruik gemaakt worden van dit soort totalitarian (en illegale) wetten.
Ik vind niet dat we overdreven egaliserend naar vrouwen moeten gaan doen, maar dit slaat nergens op.
Inderdaad; dit is waarmee je het probleem slinks voedt.Door Anoniem: plausible deniability
Heb je geen filecontainer voor nodig. Ik heb in mijn unhidden partitin slechts 1 file'tje:http://www.funi-lists.com/cat_images/Airport-Security-Logic---WTF.jpg
En op de vraag of er hidden partitions zijn ben je sowieso "niet tot antwoorden verplicht".
En als we collectief niet meewerken (hetgeen iets anders is dan tegenwerken) zal er i.c.m. het cellentekort, nog maar weinig gebruik gemaakt worden van dit soort totalitarian (en illegale) wetten.
Door Anoniem:
http://www.funi-lists.com/cat_images/Airport-Security-Logic---WTF.jpg
En op de vraag of er hidden partitions zijn ben je sowieso "niet tot antwoorden verplicht".
En als we collectief niet meewerken (hetgeen iets anders is dan tegenwerken) zal er i.c.m. het cellentekort, nog maar weinig gebruik gemaakt worden van dit soort totalitarian (en illegale) wetten.
Door Anoniem: plausible deniability
Heb je geen filecontainer voor nodig. Ik heb in mijn unhidden partitin slechts 1 file'tje:http://www.funi-lists.com/cat_images/Airport-Security-Logic---WTF.jpg
En op de vraag of er hidden partitions zijn ben je sowieso "niet tot antwoorden verplicht".
En als we collectief niet meewerken (hetgeen iets anders is dan tegenwerken) zal er i.c.m. het cellentekort, nog maar weinig gebruik gemaakt worden van dit soort totalitarian (en illegale) wetten.
Dat lijkt mij vooral af te hangen van hoe precies valt vast te stellen dat er sprake is van verborgen partities (ikzelf gebruik truecrypt met verborgen en fake verborgen partities, maar aan de missende hd ruimte kun je precies zien dat de gb van mijn nep-verborgen partitie niet als enige mist en dat er nog een paar terrabytjes meer missen. Bovendien is het een standaard functie van truecrypt, dus zal daar ook standaard naar worden gekeken.
Het "niet tot antwoorden verplicht zijn" strookt volgens mij niet met een decryptingsplicht. Op het moment dat met redelijke zekerheid vast te stellen is dat je ergens een partitie verstopt hebt icm encryptiegebruik, dan is volgens mij goed te concluderen dat jij je niet aan de decryptingswet houdt.
ik blijf van mening dat het verwijderen en daarna recoveren van encrypted info de beste methode is waarop je 0 wetten breekt, en je toch je privacyrecht behoudt. (..en zucht nog eens diep dat het tegenwoordig noodzakelijk blijkt om onze rechten op zo'n vergaande manier tegen eigen overheden te moeten beschermen.)
07-01-2015, 12:13 door
Mysterio
Door Anoniem:
Want een cloud dienst is zo lekker veilig? Juist.
OwnCloudDoor Anoniem: Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Want een cloud dienst is zo lekker veilig? Juist.
Door Anoniem:
Want een cloud dienst is zo lekker veilig? Juist.
Ja dat is zeer veilig, een door truecrypt versleutelde image is niet even te bekijken.Door Anoniem: Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Want een cloud dienst is zo lekker veilig? Juist.
Door gobo:
Een "bekende vrouw"?? Waarom wordt zij op deze manier omschreven? Ik zie ook geen nieuwsitems met "een bekende man, Bruce Schneier", of "een bekende man, Matthew Green". Het is niet eens belangrijk dat zij vrouw is.
Ik vind niet dat we overdreven egaliserend naar vrouwen moeten gaan doen, maar dit slaat nergens op.
Een bekende vrouw in de security-scene en medewerkster van het HackerOne-beloningsprogramma is op het Franse vliegveld Charles de Gaulle gedwongen haar versleutelde laptop te ontsleutelen. Katie Moussouris, ex-medewerkster van Microsoft, kwam terug van de CCC-conferentie in Hamburg.
Een "bekende vrouw"?? Waarom wordt zij op deze manier omschreven? Ik zie ook geen nieuwsitems met "een bekende man, Bruce Schneier", of "een bekende man, Matthew Green". Het is niet eens belangrijk dat zij vrouw is.
Ik vind niet dat we overdreven egaliserend naar vrouwen moeten gaan doen, maar dit slaat nergens op.
Ik vind de titel nog vreemder, eigenlijk: "Vrouw moet laptop op Frans vliegveld ontsleutelen". Alsof haar geslacht nieuwswaardig genoeg is om in die kleine beschikbare ruimte te passen. Waarom niet "Security-expert moet ..."? (Iedereen is tegenwoordig toch "expert", dus die vrijheid kan je je wel permitteren.)
Het is toch ook geen schande dat het een vrouw is? Ik zie het probleem niet zo. Het lijkt me niet het meest opmerkelijk aan het artikel. Dat het en security expert betreft is op zich ook niet perse nieuwswaardig, maar is wel een indicatie dat het iemand betreft die de wetgeving kent, weet wat ze encrypt en waarom, en wat de impact kan zijn van het verplicht decrypten.
Het is vooral een waarschuwing aan ons allen om niet te denken dat het moeten ontsleutelen bakerpraatjes zijn. En wat betreft allemaal weigeren in de hoop op een cellentekort: als ik door zoiets mijn vlucht moet missen en zelfs een maand in de bak zitten, is het maar een verdraaid schrale troost dat ik niet de enige security.nl lezer ben die daar zit...
Op vrijlating ivm een cellentekort zou ik niet zo gauw rekenen, als men een voorbeeld wil stellen dan laat men desnoods een groepje beroepscriminelen vrij om plaats te maken. Of het aantal gevangenen per cel wordt uitgebreid.
Overigens snap ik nog steeds het nut van de scan bij een vliegtocht niet, wordt het vliegen veiliger als mensen moeten laten zien wat ze op hun laptop hebben staan?
Het is vooral een waarschuwing aan ons allen om niet te denken dat het moeten ontsleutelen bakerpraatjes zijn. En wat betreft allemaal weigeren in de hoop op een cellentekort: als ik door zoiets mijn vlucht moet missen en zelfs een maand in de bak zitten, is het maar een verdraaid schrale troost dat ik niet de enige security.nl lezer ben die daar zit...
Op vrijlating ivm een cellentekort zou ik niet zo gauw rekenen, als men een voorbeeld wil stellen dan laat men desnoods een groepje beroepscriminelen vrij om plaats te maken. Of het aantal gevangenen per cel wordt uitgebreid.
Overigens snap ik nog steeds het nut van de scan bij een vliegtocht niet, wordt het vliegen veiliger als mensen moeten laten zien wat ze op hun laptop hebben staan?
07-01-2015, 19:25 door
BadAss.Sx
Encrypted container in een encrypted container en alle data was alsnog veilig ook al had ze haar HDD ontgrendelt.
Doe zelf altijd USBstick met /boot erop. Moment dat ik de stick erin heb. Laadt m'n luks encryped linux install. Zonder USB stick start hij gewoon een standaard windows install op. Gaat niemand raar kijken naar wat ik nu weer voor een OS op mn laptop heb en vul ik graag mijn passwd voor je in.
Tja laat ik zeggen dat ik een macbook heb met daarin een verborgen VM ware sessie die daarin weer een versleutelde versie van windows draait en alleen kan verbinden naar het internet via tor. Ik kan rustig mijn pasword afgeven maar dan moeten ze nog maar in staat zijn de verborgen VM sessie te vinden die dan ook weer beveiligd word met 3 pass frases.
Door Anoniem:
Door Anoniem:
Want een cloud dienst is zo lekker veilig? Juist.
Ja dat is zeer veilig, een door truecrypt versleutelde image is niet even te bekijken.Door Anoniem: Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Want een cloud dienst is zo lekker veilig? Juist.
TrueCrypt is niet veilig. Een half jaar geleden is al duidelijk gemaakt dat de software toch niet zo veilig is als men dacht. De ontwikkelaars hebben de stekker eruit getrokken. Iets met NSA.....?
Door Anoniem:
TrueCrypt is niet veilig. Een half jaar geleden is al duidelijk gemaakt dat de software toch niet zo veilig is als men dacht. De ontwikkelaars hebben de stekker eruit getrokken. Iets met NSA.....?
Door Anoniem:
Door Anoniem:
Want een cloud dienst is zo lekker veilig? Juist.
Ja dat is zeer veilig, een door truecrypt versleutelde image is niet even te bekijken.Door Anoniem: Er is ooit eens een advies uitgebracht om een versleuteld image op een cloud dienst op te slaan en met lege laptop te reizen. De image kan dan bij aankomst gedownload en teruggezet worden. Voor de terugreis weer het zelfde truukje.
Want een cloud dienst is zo lekker veilig? Juist.
TrueCrypt is niet veilig. Een half jaar geleden is al duidelijk gemaakt dat de software toch niet zo veilig is als men dacht. De ontwikkelaars hebben de stekker eruit getrokken. Iets met NSA.....?
Als Truecrypt niet me4er veilig was, was er dan al niet allang een zaak naar voren gekomen waaruit ook daadwerkeliujk bleek dat de encryptie doorbroken is...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
