image

Australische man aangeklaagd voor niet afstaan wachtwoord usb-stick

dinsdag 29 augustus 2023, 09:24 door Redactie, 17 reacties

Een 69-jarige man is in Australië aangeklaagd voor het niet afstaan van het wachtwoord van zijn beveiligde usb-stick. De man kan hiervoor een gevangenisstraf van maximaal tien jaar krijgen, zo laat de Australische politie weten. De man wordt verdacht van het voeren van 'geseksualiseerde gesprekken' met minderjarigen en het bekijken en in bezit hebben van misbruikmateriaal.

Tijdens een huiszoeking afgelopen juni werden meerdere elektronische apparaten en usb-sticks van de man in beslag genomen waarvan de Australische politie beweert dat die misbruikmateriaal bevatten. Australië kent een decryptieplicht voor verdachten. De politie vroeg de verdachte om het wachtwoord van één van de usb-sticks, maar die wilde de man niet geven. Daarom is hij nu ook aangeklaagd voor het niet afstaan van zijn wachtwoord, waarop zoals gezegd een gevangenisstraf van maximaal tien jaar staat.

Eerder dit jaar werd een 39-jarige Australische man nog veroordeeld tot een jaar gevangenisstraf voor het niet afstaan van zijn inloggegevens aan de Australische politie. De autoriteiten hadden de man om de inloggegevens gevraagd van een apparaat waarvan werd vermoed dat het kindermisbruikmateriaal bevatte.

Reacties (17)
29-08-2023, 10:16 door Anoniem
De zaak is ernstig, maar je ziet wel in deze zaak dat een goed , dus sterk wachtwoord het belangrijkste beveiligingsmiddel is.
met een Yubikey beveiliging (als dit mogelijk zou zijn op USB , was je al de sjaak.
Dat is dan weer het voordeel van een wachtwoord.
29-08-2023, 10:26 door Anoniem
Tsja... Meewerken aan je eigen veroordeling. Het is triest met de rechtstaat. In Nederland nog niet, maar dat is een kwestie van tijd.
Gegevens afstaan aan de politie? Ik dacht het niet. Politie is overheid en dus hoe dan ook onbetrouwbaar.
29-08-2023, 10:32 door Anoniem
Kan je wel makkelijk doen wat je wilt zolang je maar zegt dat je iets vermoed he.
29-08-2023, 10:44 door Anoniem
Klassiek voorbeeld van morele chantage; niet afstaan van wachtwoorden moet gestraft worden - want kindermisbruik vinden wij allen verfoeilijk, nietwaar?

Dat argument zorgt ervoor dat iedereen altijd een password moet afstaan - ondanks het "nemo tenetur" beginsel.
29-08-2023, 11:58 door Anoniem
En wat nou als je doet alsof je wél meewerkt en zegt :

" oef, dat is een tijd geleden dat ik die (usb's) heb gebruikt, volgens mij was het paswoord 'USB1!' of mss 'MijnUsB' ";

en dan na mislukte pogingen van popo

" Sorry, maar ik heb deze (usb's) al zo'n jaar in mijn laatje ongebruikt liggen en weet niet meer welke wachtwoorden ik toendertijd heb gebruikt! "
Je werkt(e) dan wel mee , maar ach, syndroom van Rutte, kan iedereen overkomen, toch ?

Mogen ze je dan nog straffen , je hebt wel meegewerkt , je wilde (de paswoorden) écht wel overdragen maar weet ze simpelweg niet meer, kom ik ben al 69, watwilje!
29-08-2023, 12:07 door Anoniem
Door Anoniem: Klassiek voorbeeld van morele chantage; niet afstaan van wachtwoorden moet gestraft worden - want kindermisbruik vinden wij allen verfoeilijk, nietwaar?

Dat argument zorgt ervoor dat iedereen altijd een password moet afstaan - ondanks het "nemo tenetur" beginsel.

je weet al wat op de USB stick staat?
Misschien wel gegevens over zijn vorige huwelijk of andere prive zaken
29-08-2023, 12:08 door Anoniem
met een Yubikey beveiliging (als dit mogelijk zou zijn op USB , was je al de sjaak).
Afhankelijk hoe je het doet.
Als OTP, ja; wordt je fysieke sleutel afgetroggeld, dan ben de sjaak.

Wat je ook kunt doen is een wachtwoord middels een prefix/midden/suffix.
Voor het midden gebruik je een tering-lange keystroke op je YubiKey.
29-08-2023, 15:21 door Robert Elsinga
Voor dit soort gevallen is TrueCrypt, waar je plausible deniability kunt regelen door op een USB stick 2 containers te hebben met verschillende encryptie sleutels. Alle geheime zaken staan op de ene, wat soort van geheim spul op de andere. Is niet bulletproof (en TrueCrypt is al een tijdje End of Life), helaas.

Laat ik voorop stellen dat ik ook graag wil dat criminelen/terroristen/kinderporno bestraft wordt. Alleen is het gebruik van dat argument inmiddels zo doorzichtig als wat. En kunnen de opsporingsdiensten soms de aanwijzingen al niet eens vinden in nu al beschikbare informatie. Dus als ze er nog meer info bij krijgen... speld, hooiberg, maak spreekwoord. Ik ben dan ook tegen verzwakte encryptie (TETRA TAE1`als voorbeeld), achterdeurtjes en de verplichting om je encryptiesleutels af te geven.

Zodra dat soort dingen gemeengoed worden gebruiken degenen waarvoor we die dingen doen domweg andere apps of methoden, want dat soort mensen heeft nou eenmaal lak aan de wet. En dan lijden alleen de gezagsgetrouwe mensen er onder.
29-08-2023, 15:32 door Anoniem
Door Anoniem:
met een Yubikey beveiliging (als dit mogelijk zou zijn op USB , was je al de sjaak).
Afhankelijk hoe je het doet.
Als OTP, ja; wordt je fysieke sleutel afgetroggeld, dan ben de sjaak.

Wat je ook kunt doen is een wachtwoord middels een prefix/midden/suffix.
Voor het midden gebruik je een tering-lange keystroke op je YubiKey.
Ik dacht aan google enhanced protection programma waarbij je uitsluitend met een sleutel kan inloggen
Dat is voor journalisten ed
Maar best kwetsbaar als ze je sleutel pakken
Dus eigenlijk een gevaarlijke beveiliging
29-08-2023, 15:58 door Anoniem
Door Anoniem: En wat nou als je doet alsof je wél meewerkt en zegt :

" oef, dat is een tijd geleden dat ik die (usb's) heb gebruikt, volgens mij was het paswoord 'USB1!' of mss 'MijnUsB' ";

en dan na mislukte pogingen van popo

" Sorry, maar ik heb deze (usb's) al zo'n jaar in mijn laatje ongebruikt liggen en weet niet meer welke wachtwoorden ik toendertijd heb gebruikt! "
Je werkt(e) dan wel mee , maar ach, syndroom van Rutte, kan iedereen overkomen, toch ?

Mogen ze je dan nog straffen , je hebt wel meegewerkt , je wilde (de paswoorden) écht wel overdragen maar weet ze simpelweg niet meer, kom ik ben al 69, watwilje!

3 pogingen en dan automatsich wissen.


Of een schone partitie openen.
Oh, zie je wel. de stick was leeg.

:-)
29-08-2023, 22:00 door Anoniem
Door Robert Elsinga: Is niet bulletproof (en TrueCrypt is al een tijdje End of Life), helaas.

TrueCrypt is gereincarneerd in VeraCrypt.

https://en.wikipedia.org/wiki/VeraCrypt
29-08-2023, 22:34 door Anoniem
Als ik daar zou wonen ( en hier miscchien ook wel ) is een password dat de keys wiped niet z'n gek idee en dan een default decryption met wat decoy files.
29-08-2023, 23:41 door Anoniem
Plausible deniabilty: als een partitie volledig versleuteld is met bv veracrypt dan is op geen enkele manier het verschil aan te tonen tussen een versleutelde USB stick of een waarop een random wipe gedaan is.

Met LUKS, Bitlocker, containers etc. werkt dat niet, ook niet met een systeempartitie. Eerder genoemde hidden containers kennen ook plausible deniability.
30-08-2023, 02:59 door Anoniem
Als het mij zou overkomen; met of zonder verdenking, niemand komt aan mijn persoonlijke spulletjes, het kan me niet schelen als mensen verkeerd over me denken, dat is hun probleem, ik weet zelf dat alles in orde is, meer bewijs dan dat heb ik niet nodig, het kan me niet schelen of de politie weet dat ik onschuldig ben, zolang ik dat zelf maar weet.
Geen schuldig voordat onschuldig bewezen, nee dank u.
Dus mijn familiefotos, digitale bonnetjes en andere belangrijke zaken zitten bij mij achter een zeer lang en onwillekeurig wachtwoord (120 tekens) waarvan één deel in de werkelijke wereld te vinden is en het andere deel in mijn hoofd.
Ik gebruik daarnaast niet de industriële standaard, (teveel mensen zijn erop gefocussed om deze (AES) te kraken) maar toch een bewezen veilig algoritme. (Heeft alle aanvallen doorstaan in tests en is nooit gekraakt)
Alles is offline in een versleuteld archief.
Het is ietwat overdreven, maar wat beveiliging betreft is het voor mij alles of niets.
Io ben nu inmiddels bezig om te oriënteren op quantumbestendige algoritmes, die zijn momenteel in opkomst.
En ja, Australië heeft walgelijke wetten, allemaal erg over the top, die man kan aan de ene kant best onschuldig zijn, maar zo worden mensen als schuldig beoordeeld bij gebrek aan bewijs, heel raar.
Ik zou nog steeds hetzelfde doen als deze persoon, gewoon voet bij stuk, wil niet met andermans problemen worden lastiggevallen, zo sociaal ben ik niet.
30-08-2023, 04:48 door Anoniem
"3 pogingen en dan automatsich wissen" Dit inderdaad. Kon je onder LUKS makkelijk instellen. Heeft Veracrypt nog hidden containers? Het is al weer een tijdje geleden dat ik daar mee heb gewerkt. En anders kun je nog de steno route kiezen. Nadeel zijn dan beperkte file size, temp files/cache info leak risico.

Of een out-of-the-box oplossing: gebruik ransomware op je eigen systeem. Er zijn genoeg publieke exemplaren te vinden. Laat ze dan maar aantonen dat je de key weet. Wel het risico op slechte code en daardoor ongewilde decryptie. Zie https://www.nomoreransom.org/

Leg gegevensdragers ook gewoon op je bureau of in een lade. Stop je ze ergens weg en een hond vind ze dan ben je gelijk al verdacht(er).
30-08-2023, 09:29 door Anoniem
Door Robert Elsinga: Voor dit soort gevallen is TrueCrypt, waar je plausible deniability kunt regelen door op een USB stick 2 containers te hebben met verschillende encryptie sleutels. Alle geheime zaken staan op de ene, wat soort van geheim spul op de andere. Is niet bulletproof (en TrueCrypt is al een tijdje End of Life), helaas.

Laat ik voorop stellen dat ik ook graag wil dat criminelen/terroristen/kinderporno bestraft wordt. Alleen is het gebruik van dat argument inmiddels zo doorzichtig als wat. En kunnen de opsporingsdiensten soms de aanwijzingen al niet eens vinden in nu al beschikbare informatie. Dus als ze er nog meer info bij krijgen... speld, hooiberg, maak spreekwoord. Ik ben dan ook tegen verzwakte encryptie (TETRA TAE1`als voorbeeld), achterdeurtjes en de verplichting om je encryptiesleutels af te geven.

Zodra dat soort dingen gemeengoed worden gebruiken degenen waarvoor we die dingen doen domweg andere apps of methoden, want dat soort mensen heeft nou eenmaal lak aan de wet. En dan lijden alleen de gezagsgetrouwe mensen er onder.

VeraCrypt is hier de oplossing. Die is nog niet end of life.
01-09-2023, 00:30 door Anoniem
Door Anoniem: Als ik daar zou wonen ( en hier miscchien ook wel ) is een password dat de keys wiped niet z'n gek idee en dan een default decryption met wat decoy files.
Ah, een Duress-wachtwoord bedoelt u!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.