Het zal beslist van je "target profiel" afhangen .

Loop met je een enorme roos op je voorhoofd (defensie attaché , lead negotiator ASML ), of ben je alleen maar Sinoloog/Slavist uit Leiden die een uitwisselingsprogramma gaat bespreken of conferentie bezoekt ; Inkoper van de Blokker naar Shenzen ?

Ik denk trouwens dat het handjevol mensen dat dit soort keuzes echt moet maken hier waarschijnlijk niet aanwezig zijn - en hun beleid niet publiek beschrijven in elk geval.
(nee, ik zit ook niet op zo'n stoel nu.)

Ik ben ook best benieuwd naar wat _werkelijk gedaan_ wordt , en inderdaad in relatie tot risicoprofiel van persoon en organisatie .
Pubertheorie van "laptop met tails en thermiet bij thuiskomst" is niet zo interessant .

Heb je voldoende profiel om echt risico te lopen (of ben je uberhaupt hele of halve overheid) kun je ook contact zoeken met kenniscentra daar . (Er zijn wsl wel organisaties die bij de AIVD/MinDef terecht kunnen voor tips/beleid, en bij NCSC ).

De goedkoopste devices kopen die je kunt krijgen. Na terugkomst weg doen. Dat uiteraard als het risico hoog is.

Bij een hoog kritisch bedrijf waarbij werkte, was de blackberry van een medewerker voorzien van malware na terugkomst uit Peking. De man had in het hotel alleen e-mail geraadpleegd via de hotspot van het hotel.

Een BlackBerry dus. In de tijd dat iedereen riep dat die goed beveiligd waren.

Be afraid. Be very afraid.

AIVD.nl > Onderwerpen > Economische veiligheid > Documenten

https://www.aivd.nl/onderwerpen/economische-veiligheid/

Op reis naar het buitenland
Veiligheidsrisico’s onderweg [PDF]

In deze informatiefolder staan nuttige tips voor zakelijke reizigers.

Schroevendraaier set mee schone laptop en 1 extra losse SSD in handbagage.
Laptop bevat standaard installatie microfoon en camera kabel doorgeknipt.

Qua telefoon simpele burnerphones, geen internetbrowser geen mms.
Prive apparaten niet toegestaan.

Medewerker komt op plaats bestemming aan van te voren al uitgezocht welk IP dat is.
Medewerker start het systeem op gaat naar een link welke wijst naar een Preboot eXecution Environment server (PXE) server.
Medewerker vult gegevens in en een code die hij zij mee heeft gekregen van IT afdeling (secret-ID)
PXE server pust image naar systeem Medewerker belt met IT en verifieert correcte plaatsing image.
Medewerker stuurt alle werkdata via VPN naar afgeschermd account in bedrijfsnetwerk.


Einde van bezoek medewerker runt programma dat basis overschrijving doet haalt SSD eruit en plaatst deze in hun handbagage. Medewerker plaatst losse SSD met standaard installatie erop terug en vertrekt uit het land.

Medewerker levert laptop in oude SSD wordt vernietigd
Ingeval er fysieke controle is geweest door doaune etc wordt nieuwe SSD ook vernietigd.
Vernietiging geschied met een metaal shredder.

Data in het afgeschermde account wordt gecontroleert op tampering bij geen bijzonderheden overgezet naar reguliere medewerker hun account bij terugkomst kantoor. Hierna is het standaard procedure.


Laptops zelf worden wel vaak herbruikt maar hebben hun eigen safety check.
Laptops worden geleverd via speciale leverancier laptops hebben schroeven die voorzien zijn van glitternagelak en HD Foto's voor levering wordt gemaakt van de spots en van te voren aangeleverd.
Laptops komen binnen gaan onder een camera rig en registreren of foto overeenkomt met glitter patroon. Klopt het dan gaan ze magazijn in klopt niet dan wordt contact met leverancier opgenomen kopie foto's gestuurd en nieuwe levering via andere postdienst.

Dit was beleid toen ik nog bij een grote partij in dienst was en al jaren oud.
Ga er dus maar van uit dat er betere methodes al op de markt zijn want dreigingen veranderen ook constant.
Je wilt een cybersecurity firma raadplegen hiervoor die internationale bedrijven ondersteunt als dit meer is dan nieuwsgierigheid.


Een van de technieken die in onderzoek waren maar uiteindelijk niet gebruikt zijn was het toepassen van een speciaal dun stukje polymeer bestaand uit een patroon geplaatst in chipsets van een laptop. De polymeer zelf was biodegradable fructose basis wat proces begint moment dat het in aanraking kwam met specifieke hoeveelheid UV straling, golflengte.

Idee was is systeem dus opengeweest dan was dat te zien door dat het patroon van de strip veranderd was en was er geen patroon dan was de chipsets vervangen. Controle middel zou gaan via darkroom met safelights die buiten golflengte opereren van de polymeer.

Maar was toen te gecompliceerd, te fout gevoelig, te duur. Kan veranderd zijn maar betwijfel het e-ink is een waarschijnlijkere opvolger minder foutmarge mee te maken in theorie. Al is nagelak nog steeds veelgebruikt gezien het heel goedkoop is en lowtech oplossing betreft.

Dat is heel duidelijk de situatie dat medewerker naar een eigen kantoor gaat met - blijkbaar- een lokaal trusted omgeving .
Het (re)imagen ter plaatse op een trusted manier (e.d.) is zo niet te doen als je alleen maar een hotel-hotspot hebt , of misschien een gasten net van de "lokale business partner" .


China probeert nogal om VPN gebruik lastig te maken vanaf 'normale' internet aansluitingen .


Wat is precies de gedachte achter twee SSDs ?
De eerste in de laptop is er om "niet verdacht" te lijken op de heenweg ?

[knip tamper-evident checks van laptop - nice.]

Een goed voorbeeld van een "Physically Unclonable Function" (PUF) is glitternagellak. :)

https://www.security.nl/posting/373925/Hackers+beveiligen+laptop+met+nagellak

Hotels altijd vermijden en ja met lokale partners werken die net zoveel te verliezen hebben bij diefstal is de key.

Maar mocht je niet zulke mogelijkheden hebben ga gewoon naar een lokaal niet touristisch horeca tentje druk de eigenaar wat geld toe en vraag of je even met het internet verbinding kan maken. Zeker niet zo veilig als eerst genoemde maar veiliger dan welk hotel of internetcafe dat je kan bedenken.

Ben jaren terug zelfs brutaal genoeg geweest een lokale bewoner ervoor te vragen. Tuurlijk niet in je zakelijke kleding dat soort fratsen uithalen. Dat is sowieso iets dat je beste kan doen bij binnenkomst van land lokaal kleding zaakje struinen goedkoop niet toeristische kledig kopen en blenden met bevolking. En als je naar je afspraak gaat simpel wijd shirt aan doen over je pak en uitdoen als je bij receptie bent. Al intereseert het meeste bedrijven niet meer als je in een sportkleding komt zolang je geld in het laatje brengt dus dat pak kan vaak sowieso achterwege. Mijne liggen al jaren stof te verzamelen in de kast.

Proberen is het woord inderdaad maar zulke landen zijn corrupt je kan zo door het net glippen als je maar wat geld in de juiste handen drukt. Wij werkte echter meer met Amerika en kan je zeggen China mag brutaal genoeg zijn je gewoon te hacken, Amerika maakt gewoon gebruik van hun douane, tsa bevoegdheden onder mom anti terrorisme en eist de toegang tot het apparaat of je komt land niet binnen.

Sommige landen vinden laptops die niet opstarten nogal verdacht dat moet wel smokkelwaar zijn of bomdreiging.
En je kan lastig je schijf erin laten die je wilt gebruken voor je image want als ze wel iets ermee doen dan kan je niet naar je PXE, VPN verbinden.

Je wilt daarnaast niet overkomen als tegenwerkend, je wilt zo snel mogelijk bij enige controle punt weg. Vaak zie je adviezen als fake account aanmaken en partitie encryptie etc maar dat werkt sneller avarechts. Ze kennen die truukjes ook ze zijn niet dom je kan dat soort beveiliging niet verbergen. Hoe groter het slot op een deur hoe verder je deze op afstand ook ziet. De kans is groot dat ze er heisa om maken en dat wil je niet.

Plausible deniability werkt niet als het land waar je zit niet geeft om rechten van de mens of rechtsgang.Je brengt je medewerkers in onnodig gevaar. De worst case die je wilt is dat iemand toegang geweigerd wordt met of zonder in beslagname apparaatuur. Niet dat hij, zij ondervraagt wordt waarom er data op staat die ze niet bij kunnen en druk wordt gezet op de gene door betichten van spionage.

Bij grotere deals, projecten had je sowieso altijd een partner die los van je reisde andere dag en andere aankomst locatie. Kwam de eerste niet door dan had je hem, haar die de case overnam. Kwam de eerste wel door dan had de tweede een korte betaalde vakantie. Dat zijn de kosten niet op grote projecten.


Laatste is counter intel. Een schone laptop schijf heeft geen logs geen run time gehad op fabrieks test na en bij ons opstart test. Het is kind eenvoudig om zonder vertroebeling van de data veel te leren van de pogingen die ze doen. Wat slurpen ze weg ,wat infecteren ze. welke kwetsbaarheden misbruiken ze. Dat soort indicators of compromise kun je dan delen met partner netwerk. Uitlezen daarvan wel los van je normale netwerken. Maar meestal ging de schijf meteen de shredder in.

Hm, de lokale partner heeft nog wel eens een parallel belang dat divergeert .
Ze willen zaken doen - maar een vooruitblik op je onderhandelingspositie , of portfolio, of de data/designs en niet alleen het eindproduct kan ook in hun belang zijn .


Het onderscheid "internetcafe" en "horeca tentje met internet" maakt het wel een verhaal uit de oude doos.
Nu is de plek om even te internetten (met je eigen device) gewoon het horecatentje - ook trouwens voor locals .


Dat lukt mij niet China... (noch Afrika,Zuid Amerika etc) . Een beetje oplettende Rus ziet ook dat ik een andere kop heb.
Blenden als domme tourist (ipv van bigshot business of official ) is het beste wat ik kan doen, buiten de VS of het meeste van Europa.

[..]

Hier wordt het echt borrelpraat . FYI : China doet de VPN blocking op de staatsfirewall bij de borders .
Hoe stel je je voor dat je de juiste handen vindt om wat in te stoppen om iets te regelen voor de aansluiting die je dan ergens gebruikt ? In je beste Chinees, natuurlijk .

Verder is het overal in de wereld een risico om een official (proberen) om te kopen - het is strafbaar, en kan zonodig ideaal gebruikt worden om jou zwaar onder de druk te zetten juist in de zaak waarvoor je naar het land kwam .
Je witte gezicht en bordeaux paspoort is niet overal een 'get out of jail' card.

Nu is die VPN blocking niet perfect - en men kan uitzonderingen bestellen (sommige hotels e.d.) . Alleen dat maakt je optie om als bezoeker je plan van aanpak te baseren op "alles over VPN" een heel stuk lastiger, als dat sporadisch,niet, of telkens met aanpassingen (protocol, endpoint etc ) moet werken .


Ah -de VS - dan is 'blenden met locals' voor het merendeel van de wereld redelijk haalbaar.



Ok, wat ik dacht mbt tot de twee devices.


Ook een goed punt. Maar het blijft met al deze zinvolle adviezen een domme uitglijder om hierboven te roepen "corrupt , gewoon iemand omkopen om dingen open te zetten "
Betichten van spionage weet iedereen dat het een drukmiddel is, maar de poging tot omkoping kan zeer wel keihard bewijsbaar zijn als je pech hebt .


Kan inderdaad leerzaam zijn .

Maar dan ga je ervan uit dat de lokale partner ook betrokken is bij het type project en sector waar je voor gaat.
Zoals gezegd het is een methode niet de beste maar een methode. En gebeurt het wel dan is het de beurt aan legal om zich erin vast te bijten.

Klopt het is ook al vele jaren geleden. Maar had het daarin niet over hoog vertrouwelijke informatie dat zou je baan kosten. Enkel dat je als je niet de benodigde middelen hebt beter van de touristen grid af kan gaan en iets veiliger zit. Ik zelf doe het als ik op vakantie ga welk land dan ook. Je weet namelijk niet of er iemand een soort pineapple netwerkje op heeft gezet.

Klopt ze doen aan staatsfirewall ook wel het Golden Shield Project maar wie denk je die de apparatuur hebben geleverd en het ontwerp? Dat waren partijen als Cisco IBM etc inlichtingen diensten in andere landen wij zijn als Nederland ook niet vies ervan om oppressie voor geld te ondersteunen. Noldus een van de bekendere die zich ermee bezig hield niet de firewall maar wel andere oppressie. Of nouja er zich mee bezig houdt naar alle waarschijnlijkheid. Was paar jaar terug nog een rel om.

Denk dat je nu wel kan raden hoe je door de staatsfirewall kon komen zonder het exacte antwoord te zeggen. Of dat nog gebeurt geen idee maar zijn tal van methode te verzinnen zonder bijzondere toegang. Het is namelijk nog steeds het internet in tegenstelling tot wat Noord Korea heeft opgezet en dat betekend dat er bepaalde protocollen aangeroepen kunnen worden die je niet op bepaalde netwerk lagen kan blokkeren met een firewall.

Daarom dat we ook Governance hebben als IETF, IANA, etc en zolang China zijn economie draaiend wil houden zijn ze afhankelijk van de Amerikaanse opbouw van meeste gebruikte netwerkprotocollen.

Zie Cisco, IBM verhaal hierboven.

Elke keer als ik naar Rusland ga neem ik een gewone laptop mee zonder rare software.

Ze zijn alert op Linux-gebruikers want die weten vaak iets meer dan de gewone zakenman.

Tails en USB sticks met crypto schreeuwt om " hacker " of " spion " . Dat kan een probleem zijn tenzij je zoals mij al 50 x in Rusland bent geweest en ze je wel kennen.

Verder geen problemen met de Russen maar terug in Nederland (of Europa) kun je wel een tijd gevolgd worden om uit te sluiten of je niet bekeerd bent.


Z

Maar wacht even -
Het hele verhaal begon met de vraag wat je kunt/moet doen als je voor *zaken* naar een (spionage) risico-land gaat . TS sprak specifiek over China en Rusland

Jij komt met een plausibel antwoord dat je in jouw situatie een remote re-install deed bij een lokale partner .

En dan kom je nu met de mogelijkheid dat je *voor zaken* naar een land gaat *met een lokale partner* - die blijkbaar _WEL_ partner is - en wiens eigenbelang oa bestaat uit zorgen dat _jouw_ werkplek vertrouwelijk blijft - maar dan NIET in jouw sector/project zit ?!
Ik vraag me werkelijk af wat een "lokale partner" voor een "grootzakelijk project" is maar die toch niet met het project van doen heeft .
Heb je de lokale hotelsector tot partner gebombardeerd ? Of doel je op een of andere big4 die je betaalt om aan jouw kant van de tafel erbij te zitten ?

[..]

Wanneer je op het niveau "glitterlak over de schroeven en foto vergelijking" zit moet je install ook dusdanig zijn dat je heel hard kunt lachen om een pineapple netwerkje in een starbucks .
Dat niveau van installatie hardening (en opletten op je browser warning) is voor de amateur prima haalbaar - het is 'douane speelt voor evil maid' waarvoor je tien extra miles moet gaan.


Wie de boel geleverd heeft is hier niet relevant . Punt is dat je van zinvol advies voor een high-profile business bezoek naar kansloze borrelpraat ging van "ff iemand omkopen om de centrale landelijke firewall open te zetten voor de aansluiting waar ik toevallig zit zodat ik mijn remote-install over VPN kan doen " .

Vast , maar noem gewoon man en paard . Het is soms rete irritant die mensen die interessant zitten te doen met hinten over "bepaalde agencies" en noem maar op. Er zijn er veel om uit te kiezen .

Ik zeg niet dat die chinese firewall perfect of ondoordringbaar is . Het is een soort van whack-a-mole . Ze tweaken voortdurend. Het doel van de Chinezen is ook alleen maar om te zorgen dat "het gros van de bevolking" niet zomaar "all of the internet" kan zien .
Het ene of andere obscure protocol, low-bandwidth tunnel maakt ze niet enorm uit - als het te populair wordt vernaggelen ze het.

Maar - de vraag was nog steeds hoe je je zakelijke reiziger op pad stuurt - en - jouw scenario "stuur 'm met een blanco installed image in de laptop , en doe ter plaatste een remote re-install op een verse SSD via VPN vereist dat die zakelijke reiziger een behoorlijk betrouwbaar VPN met behoorlijke bandbreedte kan opzetten .

Dat scenario wordt erg onhandig als dat VPN voortdurende tweaks nodig heeft of soms net weer niet werkt wanneer de operators van de staatsfirewall wat aangepast hebben.


Het is geen _open_ internet .


De wereldpolitie staat echt niet op de stoep als je een protocol stack sloopt . En de nationaliteit van wie ze ooit beschreef is ook irrelevant .
Best een stuk internet (oa google services, facebook, nieuws media) zijn gewoon niet toegankelijk voor de meeste internet aansluitingen in China.
En een hoop VPNs worden geblokkeerd - botweg op protocol (standaard IPSec) , of gewoon op endpoint (allerhande vpn services) .
Het meeste werkt wel - en er zijn genoeg eigen equivalenten dat "men" die services grosso modo niet echt mist .

Maar een advies (en client image) om een bepaalde stijl/server voor VPN te gebruiken kan stoppen met werken.


Dat slaat als een tang op een varken.
Jij liep te blaten dat je gewoon wat geld in een lokale handen moest drukken om iets te ritselen .

Dat is geen advies dat je als security officer van big corporate aan je zakelijke reiziger kan geven .

Het omzeilen van de great firewall is een voortdurende race , en zo'n situatie waarin er telkens tweaks nodig kunnen zijn is lastig wanneer je een beleid en standaard install wilt meegeven.

Er staat *zoals* dat betekend niet dat het speciek gaat over China en Rusland

Je mag zelf nagaan op welk niveau ik doel. Er bestaan bedrijven die de vinger in de pap hebben in meerdere sectors tegelijk. Dat is alles dat ik daarover kan melden behalve dat we niet hier Big four bij betrekken als je doelt op Sillicon Valley.

Nee wat ik zeg is dat als je *niet* de middelen hebt beter van de touristen grid weg kan blijven. Pineapple is een gangbaar voorbeeld voor de meeste. Maar je kan ook denken aan juicejacking en nog tal van voorbeelden.

Als je denkt dat ik in mijn vakantie tijd gebruik maak van een hardened laptop, cybersecurity redactie, blueteam en IDS dan moet ik je helaas teleurstellen ik ga gewoon met simpel spul naar een ver land en een reisverzekering. Ik ben me waarschijnlijk bewuster over welk risico ik mogelijk loop dan de gemiddelde tourist maar ben met vakantie ik ben bezig met relaxen zover dat ooit mogelijk is.

Wie de boel levert heeft temaken gehad met onderhandeling positie. Wie de boel geleverd heeft intieme kennis van de opbouw van systemen. En die is zeer interessant voor inlichtingen diensten. Zeker gezien backdoors soms wel 10 of meer jaar erover doen op firmware of hardware niveau gevonden te worden. Denk aan HP, Lenovo.

Niemand koopt even iemand om maar als je denkt dat grote bedrijven hun handen niet vuilmaken geen deals sluiten die voor de normale burger een enkeltje herplaatsing opleverd dan bij deze ze zijn niet heilig en ze hebben het geld, kennis en macht om de regels om te buigen tot een zekere mate. En dat zijn spelletjes die jaren in beslag nemen.

Dus ik weet niet hoe je wilt argumenteren dat het niet uitmaakt wie iets levert en kennis bezit. Als jij afhankelijk bent van een software pakket en ik als bedrijf maak het als enige en jij krijgt later een meningverschil dat uitloopt tot een ruzie met mij wie denk je die de macht naar zich toe trekt in de ruzie? Is dat eerlijk nee is dat een reden om het niet te doen voor de meeste helaas niet. Ik hoef enkel maar een lullige overtreding te vinden van onze service level agreement en kan je vervolgens toegang ontzeggen tot updates en ondersteuning. Kan je verzekeren dat tenzij je veel geld hebt je machteloos bent op dat moment.

En dat kun je zo door zetten naar Geopolitiek toneel. Amerika heeft handels escalatie met China momenteel wegens wapen industrie richting Rusland. Heel toevallig komt de FBI nu ineens out of the blue met een statement dat het COVID virus toch uit een lab in China komt. Of dat nu waar is of niet dat doet er niet toe in dit geval wel dat het als middel dus wordt gebruikt om het toneel te beinvloeden. En dat doet elk land op een bepaald niveau en elk groot bedrijf zo beetje modder gooien om hun zin te krijgen of de ander iedergeval dwars te zitten.

Net zoals je next gen firewalls hebt met machine learning heb je dat ook voor tunneling en kun je gebruik maken van databases repositories. Maar zo geweldig is die firewall helemaal niet. Ja voor normale bevolking is het afdoende en daar gaat ze het ook om in meeste gevallen om.

Er is geen open internet. Het internet is het internet.
Ik heb het over onderliggende protocollen waar het internet onder andere gebruik van maakt om uberhaubt te kunnen werken.

Beetje raar antwoord we hebben het niet over politie maar als jij een specifiek protocol herbouwd en de landen om je heen met rootservers kunnen daar niet mee overweg wat denk je dat er gebeurt met rest van je communicatie? Het is gestandaardiseerd om een reden het gaat niet om de nationaliteit van de gene die het voorstel indiend het gaat om de consensus van de aangewezen vertegenwoordigers, engineers zodat het *overal* kan werken. Dat je vervolgens als een land bepaalde zaken blokkeerd dat is goed recht maar ze kunnen niet zeggen we staan het protocol X niet meer toe in enige verbinding zonder dat ze zichzelf in de vingers snijden.

Als China of welk landt morgen zou besluiten we gaan ons internet ombouwen naar httpz in plaats van https en we hebben het over een protocol verandering niet een lettertje dat veranderd dan is het land meteen hermetisch afgesloten van gros van de wereld.

Niet hoe de wereld economie werkt en daarbinnen de bedrijven met elkaar werken.


Je valt in herhaling en legt woorden in de mond die nergens zijn gezegd. Je maakt zeer slechte aannames er ook nog mee. Corruptie is gebruik maken van een machtspositie, geld is een middel maar niet de enige vorm. Afhankelijkheid is vele male effectiever. Waarom denk je dat Amerika zo zat te drammen erop dat onze chip industrie niet meer mocht leveren richting Rusland en China?

Maar geld werkt vaak ook goed genoeg. Als ik als bedrijf dat sancties ondervind jou een deal kan maken met goede winst en belofte dat de overheid er geen probleem van maakt dan gaat moraliteit heel snel de deur uit want de mensen in de top zijn niet er gekomen voor wereldverbetering. De mensen aan de top in een land hebben geen persoonlijke last van beperkingen die worden pas gehinderd als ze zich persoonlijk tegen een regime gaan uitspreken of als ze een zonde bok nodig hebben die toch niet rendabel is. Houden ze hun mond dan interreseert het de lokale overheden niet wat ze uitspoken zolang ze maar geld in het laatje brengen. Of denk je dat ons belasting klimaat voor bedrijven zo geworden is omdat we zo graag eerlijk willen spelen? De wereldeconomie draait en bestaat door corruptie ik kan het niet simpeler verwoorden dan dat.

Welk advies van CSO? als je denkt dat er met adviezen gewerkt wordt moment dat er sprake is van zo situatie dan heb je het mis. Je hebt te maken met strikte regels de personen die gaan zijn getrained in basis gebruik ze weten wat ze wel niet moeten doen aan de hand van training. Je stuurt niet iemand met een blaadje op van en nu ga je naar stap 2 dat wordt maanden van te voren al gepland. Ik heb cases meegemaakt uit verleden zat een jaar voorbereiding aan. Zeker bij overnames in gevoelige situaties.

Alles in de IT is een voortduurerende race anders hadden we ook niet constant updates nodig.
Een standaard installatie is een standaard installatie. De fabrikant knalt dat op het systeem update het tot het op een magazijn plank komt en wij schrijven het over met een andere image en die wordt wel geupdate maar *voor* hij bij de medewerker erop gezet wordt. Of je hebt contracten met de fabrikant en laat er een custom image opzetten in de fabriek.