Experts vertellen hoe China je laptop kan leeghalen - dit is hoe je je daartegen kunt wapenen

Nederlanders die naar China reizen, moeten alleen laptops en smartphones meenemen waarop geen gevoelige data staan. Anders lopen ze het risico dat hun apparaat op afstand wordt leeggetrokken. Experts leggen uit hoe je data worden ontfutseld. En wat je ertegen kunt doen.

Een Chinese vrouw gebruikt haar laptop. Beeld AFP

‘Eindelijk, zou ik bijna zeggen’, reageert Frank Groenewegen, chief security expert bij Fox-IT. ‘Wij zeggen dit al heel lang.’ Medewerkers van het beveiligingsbedrijf die naar risicolanden reizen, krijgen al jaren reislaptops mee; lege laptops waar alleen de hoogst noodzakelijke software op staat. ‘Op je werklaptop staat vaak voor jaren aan documenten en e-mail en dat is een prachtige bron van informatie voor inlichtingendiensten van landen als China, Iran, Rusland, maar ook bijvoorbeeld de Verenigde Staten.’ Een handelsmissie is voor inlichtingendiensten extra interessant, omdat veel belangrijke personen met belangrijke data op een plek zitten.

De angst voor het op afstand ‘even leegtrekken’ van een laptop is overigens niet terecht, zegt Loran Kloeze van Ralon cybersecurity. ‘Dat je laptop wordt leeggehaald terwijl je op een vliegveld langsloopt, zulke technologie bestaat niet voor zover ik weet.’ Maar als het lukt malware op het apparaat te installeren, wordt het een ander verhaal, zegt Bernard van Gastel, universitair docent computerwetenschap aan de Open Universiteit en de Radboud Universiteit. Die stuurt alle gegevens door, zonder dat de gebruiker het doorheeft.

Een ander potentieel lek schuilt in de moderne processor, die uit meerdere onderdelen bestaat die vaak weer eigen software hebben, en soms een compleet besturingssysteem. ‘Neem een 3G-chip. Die kan zelfstandig met de buitenwereld communiceren’, aldus Van Gastel. Hoe ze werken en wat er precies gebeurt, is vaak onbekend. ‘Het zijn black boxen. Veel van deze dingen komen uit China of worden daar geproduceerd.’ Gevaarlijk dus.

Bij handelsmissie is het risico extra groot, omdat de gasten vaak in hetzelfde hotel verblijven. Inlichtingendiensten hoeven alleen maar het internetverkeer af te tappen of aan te passen om alle communicatie te onderscheppen. Groenewegen: ‘Ze hoeven dan niet eens in je laptop.’ Fox-IT heeft een hackergroep op de korrel die is gespecialiseerd in het kraken van interne boekingsystemen van luxehotels, waardoor ze precies weten welke gast in welke kamer verblijft. ‘Als dan ergens een G20 wordt gehouden, kunnen ze precies achterhalen welke minister in welke kamer zit en die eventueel prepareren met camera’s’, aldus Groenewegen.

Een ander risico is dat iemand zijn laptop achterlaat in de hotelkamer, bijvoorbeeld als hij ’s ochtends naar de ontbijtzaal loopt. Dankzij snelle ssd-schijven die in veel laptops zitten, kunnen alle data in een halfuurtje worden overgepompt, zegt Groenewegen. Hou je apparatuur daarom altijd bij je, adviseert ook Kloeze.

Volstrekt onvoldoende

De ict-beveiliger heeft kritiek op het advies om laptops op te schonen voor ze worden meegenomen naar risicolanden. ‘Even door de map Mijn Documenten gaan en daar alle gevoelige files verwijderen, is volstrekt onvoldoende’, stelt hij. Met deze handeling wordt slecht de link naar het bestand verbroken, maar de onderliggende data zijn er gewoon nog en kunnen worden gekopieerd. ‘Met een recoveryprogramma heb je de oorspronkelijke documenten zo boven water.’ Data op een laptop zijn pas echt verwijderd na een zogenoemde secure wipe, waarbij elke bit op de schijf wordt gewist.

Beveiliging met een wachtwoord of het versleutelen van de harde schijf zijn kleine stapjes om snelle datadiefstal te voorkomen, maar inlichtingendiensten weten doorgaans wel de achterdeurtjes te vinden, stelt Groenewegen van Fox-IT. ‘Of ze kopiëren eerst je hele laptop, halen de accu eruit, installeren een cameraatje en kijken vervolgens mee hoe de gebruiker zijn wachtwoord invoert als de laptop opnieuw moet worden opgestart.’

René Pluis, cyber securityexpert bij Cisco Nederland, zegt dat ‘een gezonde dosis inzicht en een beetje boerenverstand’ de beste verdediging is tegen mogelijke dataroof. ‘Documenten waar potentieel levensbedreigende informatie op staat, horen sowieso niet op een laptop.’ Een beetje secuur selecteren wat je meeneemt en zorgen voor een goede cyberhygiëne (software up-to-date, antivirussoftware actueel) bieden doorgaans voldoende bescherming, zegt Pluis. ‘Je kunt wel alle documenten printen en in een koffertje meenemen, maar dan ga je toch erg terug naar de jaren zeventig.’

Hetzelfde geldt voor het meenemen van een lege laptop, stelt Pluis. ‘Vergelijk het met het gebruik van een autogordel. Die kun je dragen en vervolgens ook niet sneller gaan dan 20 kilometer per uur. Dan ben je veilig. Maar het duurt ook wel erg lang voor je in Parijs bent.’

Tips:

-Update alle software kort voor vertrek. In het risicoland, update geen enkele software.

-Versleutel de complete harde schijf voor vertrek. Besturingssystemen als Windows 10 en MacOS bieden deze functies standaard. De kans bestaat echter dat u uw wachtwoord bij de douane moet vertellen.

-Koop ter plaatse een telefoon en gebruik die na de reis niet meer. Log niet in op de voicemail van de reguliere mobiele telefoon, omdat de toegangscode mogelijk wordt afgeluisterd. Verander de toegangscode van de voicemail na afloop van de reis.

-Plug mobieltjes en tablets nooit in op openbare laadkabels. Daar kan een kwaadaardige computer achter schuil gaan.

-Hotelkluisjes zijn niet veilig.

-Skypegesprekken kunnen afgeluisterd worden.

-Zorg voor een beveiligde vpn-verbinding met een server in Nederland en kies een aanbieder die het ip-adres om de zoveel tijd verandert, adviseert beveiliger Kloeze. Daarmee verklein je de kans dat ‘er een kurk in de verbinding naar de server in Nederland wordt geduwd’.

-Veel security-onderzoekers nemen op reis een Chromebook mee. Die zijn goedkoop, hebben een goede beveiliging en zijn volgens Van Gastel makkelijk te wissen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.