geplaatst door: Robert
https://www.macfreak.nl/modules/news/images/Vault-icoon.jpg
Alleen 'lege' devices naar China, Rusland, Iran en Turkije
Of het toeval is of niet, net voordat minister president Mark Rutte met een groot gevolg en een grote handelsmissie naar China afreisde laat het ministerie weten dat je voor een reis naar dat land beter je devices leeg kan maken.

Dit advies geldt trouwens niet alleen voor China, ook voor Rusland, Iran en Turkije wordt hetzelfde geadviseerd. De reden om daar extra voorzichtig te zijn met gevoelige data, waaronder natuurlijk ook je wachtwoorden, is dat deze landen die data kunnen kopiëren, zelfs op afstand. Deze informatie is ook met iedereen uit die eerder genoemde handelsmissie gedeeld, een ambtenaar die anoniem wilde blijven zei dat echt belangrijke stukken uitgeprint in de koffer meegaan.

https://www.iesabroad.org/files/blog/images/WeChatImage635650390788556879.jpg
Alleen 'lege' devices naar China, Rusland, Iran en Turkije


Minister Stef Blok van Buitenlandse Zaken zei twee weken geleden over de risico's van cybercriminaliteit nog dat de digitale weerbaarheid van Nederland achterloopt op de groeiende dreiging. Volgens hem wordt Nederland "geconfronteerd met uiteenlopende vormen van digitale aanvallen gericht op politieke- en economische spionage en cybercriminaliteit."

De tekst die Buitenlandse Zaken aan de deelnemers van de handelsmissie stuurde laat in ieder geval weinig aan de verbeeldingen over:

Citaat
De Chinese overheid zal alles over u en uw bedrijf of organisatie willen weten. U kunt er dus van uitgaan dat alle computers en telefoons die China binnenkomen continu worden gemonitord om deze informatie te verkrijgen.

Naast het alleen meenemen van 'schone' devices wordt bijvoorbeeld ook aangeraden om daar een pre-paid telefoon aan te schaffen, en je telefoon van hier helemaal niet te gebruiken. Ook USB-sticks die je daar mogelijk cadeau krijgt worden afgeraden, mogelijk zijn die een bron van spyware.

Mocht je toch je eigen telefoon in deze landen willen gebruiken dan wordt het gebruik van een VPN aangeraden. Twitter, Facebook en Whatsapp zijn trouwens in China zonder zo'n VPN, waarmee je kan inloggen via een ander land dan China, niet eens bereikbaar. Die worden in China standaard door de overheid geblokkeerd.

Tips voor laptop- en telefoongebruik in China

  • Neem een 'schone' laptop mee waarop u niet standaard werkt. Update de beveiligingssoftware.
  • Zet alleen informatie op uw computer die u echt nodig heeft. Delete de rest.
  • Kluisjes in hotelkamers voorkomen niet dat achtergelaten apparatuur wordt uitgelezen.
  • Schakel de bluetooth-functionaliteit op uw apparaten uit.
  • Beveilig uw laptop met een opstart-password en een account-password.
  • Zorg dat uw harddisk beveiligd is met encryptiesoftware.
  • Gebruik alleen datadragers (usb-sticks) met encryptiesoftware. Laat ze liever helemaal thuis.
  • Gebruik geen datadragers die u in China cadeau krijgt.
  • Schakel uw Nederlandse telefoon uit voordat u in China aankomt.
  • Koop bij aankomst een lokale mobiele telefoon met prepaid kaart, die bij vertrek kan worden vernietigd. Houd er rekening mee dat telefoongesprekken worden meegeluisterd door de overheid.
  • Hetzelfde geldt voor sms'jes en andere berichten.
  • Ga ervan uit dat spyware wordt geïnstalleerd als u WeChat download.
  • Installeer voor vertrek een VPN-verbinding op telefoon en laptop om veilig te kunnen internetten.

Als je meer over dit onderwerp wilt lezen, en dan met name wat de toekomstvisie hierover is van het huidige kabinet, dan kan dat in de Geïntegreerde Buitenland- en Veiligheidsstrategie 2018-2022.


Het nieuws op MacFreak wordt gesponsord door Upgreatest (ssd upgrades op locatie)
Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
geplaatst door: peterdh
De reden om daar extra voorzichtig te zijn met gevoelige data, waaronder natuurlijk ook je wachtwoorden, is dat deze landen die data kunnen kopiëren, zelfs op afstand

dus wat de CIA en de rest niet eens voor elkaar krijgt als ze je iPhone in handen hebben, kan China remote?
Fit & Firm Massage, Groet, Peter
geplaatst door: boiing
Precies.. Dat je in China voorzichtig moet zijn begrijp ik. En dat het hele internet daar gefilterd en afgeluisterd wordt is ook bekend. Maar 'uitlezen op afstand'? Kan ik me niet voorstellen...
geplaatst door: anraadts
In het gelinkte artikel lees ik het volgende: "De apparatuur zou op afstand kunnen worden 'leeggetrokken' of zelfs worden overgenomen."

Lijkt mij ook sterk, misschien een geval van mensen bang maken, in de hoop dat ze zich dan 'netjes' (in de ogen van die landen) zullen gedragen?
geplaatst door: zwap

geblokkeerd

Is dat zo? Hangt het af van je voorstellingsvermogen of iets wel of niet kan? Wanneer dat zo zou zijn is de Aarde gewoon plat en kunnen we tijdreizen.
geplaatst door: boiing
Hangt het af van je voorstellingsvermogen of iets wel of niet kan?

Je hebt gelijk, ik probeerde het voorzichtig te formuleren. In mijn voorstellingsvermogen kan alles. Laat ik het duidelijker zeggen: ik geloof er geen zak van. 'Uitlezen op afstand', wat is dat? Als dit gaat om data van mijn iPhone of Macbook halen zonder fysieke verbinding terwijl ik alleen via een VPN werk dan hoor ik graag hoe dat kan.

Ik zie graag een theorie, een bewijs, een mogelijkheid gestaafd met feiten, een plausibel verhaal, of iets meer achtergrond bij de bewering: "De reden om daar extra voorzichtig te zijn met gevoelige data, waaronder natuurlijk ook je wachtwoorden, is dat deze landen die data kunnen kopiëren, zelfs op afstand."

(voor de duidelijkheid: het gaat mij niet om het bericht van Robert hierover, het is juist goed om hier over na te denken of te discussiëren. De tekst komt van onze overheid en wordt kritiekloos door de media overgenomen, daar gaat het mij om)
geplaatst door: cyrano
Dat kan prima hoor. Als voorbeeld de Turkse overheid. Ze controleren DNS. Dus zij bepalen waar jij denkt mee verbonden te zijn. En de root certificaten van de Turkse overheid zitten al jaren in OSX en iOS. Kijk maar eens in Sleutelhanger, daar zal je Türktrust terugvinden. Ze zijn ook niet verlegen om apps met een ingebouwd Trojaans paard te maken. Wat zou ze dus tegenhouden om even je iphone of je Mac te stofzuigen?

Een VPN kan dat veel moeilijker maken, maar de meeste commerciële VPS'en deugen niet.

En vergeet ook niet dat dat overheidsdocument ook geldt voor Windows en Android devices...
I'd tell you a UDP joke but you might not get it.
geplaatst door: jaco123
@boing: Waarom denk je dat er zoveel VPN-diensten niet werken in China? En waar komen al die verhalen vandaan dat gebruik van VPN's illegaal is in China?

Ik ben er zelf nooit geweest en kan ook niet inschatten of het een nep-nieuws-campagne van de Chinezen is om VPN-gebruik te ontmoedigen, maar voor mijn voorstellingsvermogen is het een duidelijke hint dat de Chinezen kunnen doen en laten wat ze willen met je telefoon of laptop.

Ministerie is natuurlijk ook niet gek, die hebben veel meer informatie dan wij, dus als het ministerie al zegt: maak je apparaten leeg voordat je naar China gaat, dan zit daar vast wel een goede reden achter.
geplaatst door: Flix
De Chinezen zijn tegenwoordig niet blij met een VPN verbinding, dat is wel duidelijk als je daar bent.
Het kost vaak moeite om de verbinding te leggen, en vaak wordt je, als je dan verbinding hebt, er na enige tijd afgegooid. Bij mij gaat het om de verbinding met een eigen VPN server thuis, en geen betaalde (of gratis) 3e partij dienst.
Maar het waarom daarvan zou ik geen harde conclusies uit trekken. Ik denk niet dat dat is omdat ze dan niet je 'apparaat kunnen leeghalen'. Het gaat ze m.i. dat ze niet willen dat je via deze omweg op de daar niet-toegestane diensten als FB, Twitter, e.d. komt. Het passeren van The Great Firewall of China, zeg maar.

Maar zomaar 'programma's/app's installeren op je Mac/iDevice zoals Cyrano schrijft? Tja, wat ga ik daar nu op zeggen...?

NB: geen TurkTrust in mijn Sleutelhanger (en ben daar ook wel verschillende keren geweest).
Bewerkt: 13 april 2018 - 01:02 door Flix
geplaatst door: HEXDIY
Opnieuw dus:
Turktrust is idd. een "krachtterm die balzak wil zeggen" (blijkbaar is er een "newspeak" plugin op de nieuwe Mac Freak aanwezig die de flow van sommige posts de kop wenst in te drukken, typisch protestantse reflex).

Test (weggefilterd). Test (weggefilterd).

Ik had Turktrust wél aan mijn broek, jaaaren geleden.
Géén tin foil hat stuff dus...

Maar ken je Airgap al?

https://en.wikipedia.org/wiki/Air_gap_(networking)

Een oudje wellicht, maar dat de overheid dat al niet kent lijkt me een voorbeeld van verregaande incompetentie.

Hier in België zijn we dat al gewend met de FGOV sites... Antieke Java en zo...

Wat het gebruik van gekregen USB of andere externe media betreft lijkt me het gebruik van extreme prejudice ( i.e. "shoot to kill aka security format aka military grade 7 pass erase) wél aangewezen.
If it ain't broke, don't fix it! Recycle the planet, we're gonna need it! Think different, think twice, Apple!
M1 is a success! Please do not forget Mac OS.
geplaatst door: boiing
@boing: Waarom denk je dat er zoveel VPN-diensten niet werken in China? En waar komen al die verhalen vandaan dat gebruik van VPN's illegaal is in China?

Ministerie is natuurlijk ook niet gek, die hebben veel meer informatie dan wij, dus als het ministerie al zegt: maak je apparaten leeg voordat je naar China gaat, dan zit daar vast wel een goede reden achter.

Mijn betaalde VPN werkt prima in China. Of die wel of niet deugt (Cyrano) weet je natuurlijk nooit 100% zeker, hij deugt in iedere geval beter dan de Chinese overheid. Ik kom er meerdere keren per jaar, sterker nog: dit bericht komt er vandaan  :thumbs-up:.

Het gaat mij om die tweede quote. Wat zegt de overheid nou eigenlijk en wat ís die reden? Als ik de koppen moet geloven dan 'trekken ze in China zomaar je apparaat leeg', op afstand. Dat lijkt over iets anders te gaan dan het onveilige en gefilterde internet. Een mooi voorbeeld is dit Volkskrant artikel. Ook hier een onheilspellende kop en eerste alinea. Even later staat er gelukkig 'De angst voor het op afstand 'even leegtrekken' van een laptop is overigens niet terecht, zegt Loran Kloeze van Ralon cybersecurity. 'Dat je laptop wordt leeggehaald terwijl je op een vliegveld langsloopt, zulke technologie bestaat niet voor zover ik weet.' En als je verder leest blijkt het over de zaken te gaan die we al jaren kennen: zorg dat er geen malware op je laptop komt, gebruik een VPN, versleutel je data en laat je apparaat niet onbeheerd achter. De 'gewone' voorzorgsmaatregelen die altijd gelden. In die zin dus geen nieuws wat mij betreft, maar ik zal extra goed opletten de komende dagen  :smile:.

('Airgap', ja bekend HEXDIY. Een aantal 'proof-of-concepts' van wetenschappers en hackers maar bij mijn weten geen praktisch toepasbare mogelijkheid om met hoge snelheid grote hoeveelheden data te onderscheppen.. En Cyrano, in mijn sleutelhanger geen Türktrust. Mocht ik binnenkort 'ChinaTrust' of 'XiJinpingTrust' vinden dan laat ik het weten)
geplaatst door: jaco123
Mijn betaalde VPN werkt prima in China. Of die wel of niet deugt (Cyrano) weet je natuurlijk nooit 100% zeker, hij deugt in iedere geval beter dan de Chinese overheid. Ik kom er meerdere keren per jaar, sterker nog: dit bericht komt er vandaan  :thumbs-up:.

Kijk, jij hebt duidelijk meer praktijk-ervaring dan ik. Goed om te horen dat niet alle VPN's geblokkeerd worden.

Citaat
Het gaat mij om die tweede quote. Wat zegt de overheid nou eigenlijk en wat ís die reden? Als ik de koppen moet geloven dan 'trekken ze in China zomaar je apparaat leeg', op afstand. Dat lijkt over iets anders te gaan dan het onveilige en gefilterde internet.

Tja, dat internet-filter van China kun je inderdaad zien als manier om bepaalde sites te censureren. Het is echter OOK de perfecte plek voor een man-in-the-middle aanval om apparaten te infecteren met allerlei handige "meekijk"-functies.

In de enkele keer dat ik voor mijn werk met de AIVD te maken heb gehad is mij in ieder geval duidelijk geworden dat ze je nooit vertellen wat ze doen. Ze laten het topje van de ijsberg zien en laten echt niks los over de achterliggende redenen. Ik ga er van uit dat die mensen daarop geselecteerd worden, want ze zijn er erg goed in.

Veel meer dan het advies aan de buitenwereld ga je dus niet zien. De echte reden kom je niet achter, maar als onze overheid besluit om dit reisadvies te publiceren, dan kun je er op vertrouwen dat er een heleboel aanwijzingen (en wellicht zelfs al incidenten) zijn dat dat nodig is.

Citaat
Een mooi voorbeeld is dit Volkskrant artikel. Ook hier een onheilspellende kop en eerste alinea. Even later staat er gelukkig 'De angst voor het op afstand 'even leegtrekken' van een laptop is overigens niet terecht, zegt Loran Kloeze van Ralon cybersecurity. '

Die uitspraak verbaast me, zeker voor een expert. Zo moeilijk is het niet om via de great-firewall een extra bestand naar een browser te sturen, waarna je de browser een verbinding met je hackers laat maken en vervolgens alles van een laptop af kunt kopiëren. Dat mag zelfs onze nederlandse overheid al doen, (mits er een aanleiding voor is).

Het helpt wel als je alle security-updates goed bijhoud, maar je kunt er donder op zeggen dat de chinese overheid ook nog achterdeurtjes weet waar nog geen update voor beschikbaar is.



geplaatst door: boiing
Die uitspraak verbaast me, zeker voor een expert. Zo moeilijk is het niet om via de great-firewall een extra bestand naar een browser te sturen, waarna je de browser een verbinding met je hackers laat maken en vervolgens alles van een laptop af kunt kopiëren.

Als je goed leest gaat die uitspraak over het op afstand leegtrekken van je laptop, zonder dat je ergens mee verbonden bent. Dat is ook het onderscheid wat ik steeds probeer te maken! Ik geloof er niets van dat dat kan en denk ook niet dat dat bedoeld wordt in het advies van de overheid. De click-bait achtige koppen in de media suggereren dat dit wel kan en dat stoort mij.

Als je wél verbinding maakt in China: indien je met een betrouwbare VPN werkt lijkt het me juist héél moeilijk voor de Chinese overheid om 'een extra bestand naar je browser te sturen ... en vervolgens je laptop leeg te halen' zoals jij beschrijft. Dat lijkt me zelfs onmogelijk, daar is die VPN toch voor?  :wink:
geplaatst door: GeorgeM
@ boiing: op veel devices staat Wi-Fi altijd aan, dan zouden ze toch een open netwerk kunnen gebruiken om daar contact mee te krijgen?
geplaatst door: boiing
Ik ga er natuurlijk vanuit dat je je voorzorgsmaatregelen neemt zoals eerder genoemd :cool:. Je WiFi aan laten zonder VPN bescherming lijkt me niet heel verstandig in China, of een van die andere verdachte landen.. Geldt ook voor Bluetooth trouwens.
geplaatst door: Flix
Wat zou er via BT kunnen gebeuren, Boiing?
Want ik ben het met je eens: er wordt door de overheid met grote woorden gewaarschuwd, maar een technische onderbouwing van het gevaar  ben ik nog niet tegen gekomen. Verder dan: Pas op! China is héél gevaarlijk! komen ze eigenlijk niet...
geplaatst door: boiing
Daar was vorig jaar veel over te doen (dit onder andere). Vast gepatched inmiddels maar ik heb altijd het gevoel gehad dat het BT protocol vrij kwetsbaar is. Cyrano weet daar vast veel meer van :music:.
geplaatst door: jaco123
Als je goed leest gaat die uitspraak over het op afstand leegtrekken van je laptop, zonder dat je ergens mee verbonden bent. Dat is ook het onderscheid wat ik steeds probeer te maken! Ik geloof er niets van dat dat kan en denk ook niet dat dat bedoeld wordt in het advies van de overheid. De click-bait achtige koppen in de media suggereren dat dit wel kan en dat stoort mij.

Excuses, dat had ik niet goed gelezen. Op afstand kan wel, maar niet zonder verbinding. Echter de aanname is dat >99% van de mensen hun apparaat gebruiken om te voorzien in de dagelijkse informatiebehoefte en er een netwerkverbinding mee zal maken. De enkeling die een laptop meeneemt zonder hem ergens mee te verbinden is safe (tenzij ze bij de douane-controle je dwingen het apparaat aan te zetten en te ontgrendelen).

Citaat
Als je wél verbinding maakt in China: indien je met een betrouwbare VPN werkt lijkt het me juist héél moeilijk voor de Chinese overheid om 'een extra bestand naar je browser te sturen ... en vervolgens je laptop leeg te halen' zoals jij beschrijft. Dat lijkt me zelfs onmogelijk, daar is die VPN toch voor?  :wink:

Klopt, dat is dan ook de reden waarom men in China zo hard probeert VPN-gebruik te blokkeren...
geplaatst door: mayo
ik ben blij dat het in onze vrije democratische wereld niet voor komt.
USA, GB bv doen helemaal niets als het gaat om het volgen van hun onderdanen en andere lieden.
Daar kun je dus rustig met je volle apparatuur naar toe zonder bang te hoeven zijn dat ze worden leeg gehaald.

Of heb ik de laatste jaren toch enige berichten gehoord die juist wel over die landen gingen als het gaat over dit soort praktijken, zal wel nep nieuws zijn geweest dan.
It ain't what you don't know that gets you into trouble. It's what you know for sure that just ain't so - Mark Twain
geplaatst door: cyrano
Zoals ik al schreef, het gaat niet alleen over Macs en iphones.

Zeer recent onderzoek toonde dat Android devices niet alleen achterlopen op patching. Dat wisten we al. Nieuws was voor mij dat meer dan 60% van die devices valse patches bevatten. De leverancier is te lui en te dom om patches uit te brengen, en knoeit dus met de datum.

Een andere recente vaststelling is dat er geen einde schijnt te komen aan de backdoors in Cisco routers. Vermits deze de backbone van het net controleren, is het niet zo moeilijk voor eender wie om in een MITM (Man In The Middle) positie te gaan zitten. Als je daar zit en de roots certificaten controleert, kan je eender welke SSL encryptie breken. Je versleutelde mail is dan gewoon leesbaar...

Dat maakt dat advies voor mensen die geheimen hebben, toch waardevol. Zeker als ze de "verkeerde" devices gebruiken.

@Flix: geen idee waarom jij Türktrust niet kan vinden. Waarschijnlijk omdat je niet goed gekeken hebt, want dat zit op elke Mac waar ik ooit naar keek. Je moet wel goed zoeken, want het zit niet onmiddelijk zichtbaar. Je kan ze ook alleen uitschakelen, niet wissen. Hier is trouwens het lijstje van root certifiacten in iOS11:

https://support.apple.com/nl-be/HT208125

En daar staat Türktrust gewoon tussen, net als alle andere dubieuze overheidscertificaten.
I'd tell you a UDP joke but you might not get it.
geplaatst door: boiing
En daar staat Türktrust gewoon tussen, net als alle andere dubieuze overheidscertificaten.

Ik had dit al uitgezocht maar vond het een beetje off-topic voor dit draadje. Dus omdat je het weer noemt: als je écht goed gezocht had kun je zien dat dit Türktrust certificaat verlopen is en inmiddels in het rijtje geblokkeerde certificaten staat. Het staat dus niet bij de certificaten in je sleutelhanger. Buiten dat heeft het weinig met het onderwerp te maken, met een dubieus root certificaat (als daar al sprake van is in dit geval) trekt je nog steeds geen laptop leeg.
geplaatst door: cyrano
Eerst vind je ze niet, dan zijn ze uitgeschakeld. Bij mij zijn ze ook uitgeschakeld. Omdat ik ze zelf uitschakelde, omdat ik ze niet kon wissen...

Dit was de status in 2013:

https://nakedsecurity.sophos.com/2013/01/04/turkish-certificate-authority-screwup-leads-to-attempted-google-impersonation/

Verwarring alom. Apple zegt niks. Alleen Opera en Chrome gebruikers kunnen zelf actie ondernemen en de certificaten wissen. Waarom kunnen Sleutelhanger/Safari gebruikers dat niet?

En dan blijkt ook dat de Turkse overheid niet verlegen is om slinks een Google certificaat te vervalsen in 2011, wat pas in december 2012 ontdekt werd. Dat was zogezegd per vergissing. Is er iemand die geloofd dat je per vergissing een Google certificaat aanvraagt? Tikfoutje?

En volgens Sophos werden die verkeerde certificaten "waarschijnlijk" niet misbruikt. Ondertussen weten we beter, want het stadsbestuur van Ankara heeft ze wel degelijk misbruikt om dissidente werknemers op te sporen.

Ik geloof ook niet dat de Turkse overheid democratischer geworden is sinds 2013. Is er iemand die dat wel gelooft?

Moet er nog meer zand zijn?
I'd tell you a UDP joke but you might not get it.
geplaatst door: boiing
Eerst vind je ze niet, dan zijn ze uitgeschakeld.

Ik weet niet of je mij hier mee aanspreekt? Voor de helderheid: in de link naar de lijst van Apple die je post had je zelf kunnen zien dat het Türktrust certificaat verlopen is, dat bedoelde ik.

Screen Shot 2018-04-14 at 16.28.09.png Alleen 'lege' devices naar China, Rusland, Iran en Turkije

Screen Shot 2018-04-14 at 16.28.31.png Alleen 'lege' devices naar China, Rusland, Iran en Turkije


Het is niet uitgeschakeld bij mij, ik heb geen Türktrust certificaat in mijn sleutelhanger zoals ik al zei.

Moet er nog meer zand zijn?

Nee liever niet. Het was weer ruim voldoende zo  :happy:.
geplaatst door: Flix
Geen idee waarom jij Türktrust niet kan vinden. Waarschijnlijk omdat je niet goed gekeken hebt, want dat zit op elke Mac waar ik ooit naar keek. Je moet wel goed zoeken, want het zit niet onmiddelijk zichtbaar.

Leg uit! Hoe moet ik 'goed kijken & zoeken'?
geplaatst door: cyrano
Türktrust is niet meer: TurkishCA TURKTRUST has announced that they will be suspending their SSL business as a result of not getting their new roots added to Apple’s store. Their current root will expire in December 0f 2017.

Dat neemt niet weg dat het jaren geduurd heeft. En de Turkse overheid heeft gewoon een nieuw root certificaat, de nieuwe naam ontsnapt me.
I'd tell you a UDP joke but you might not get it.