Data bewaren, transporteren en uitwisselen, verwijderen, versleutelen
Je moet met verschillende risico’s rekening houden als je data opslaat of meeneemt. Je data kan worden onderschept, gestolen, je kunt data verliezen en de data kan corrupt raken. Het verschil tussen onderscheppen en diefstal is dat je als eigenaar onderschepping meestal niet merkt, maar diefstal wel. Onderschepping betekent dat er in het geheim een kopie is gemaakt, terwijl diefstal betekent dat het opslagapparaat fysiek is weggenomen (dus de laptop, USB-stick of harddisk met de data). Dat laatste merk je uiteraard, terwijl onderschepping misschien onontdekt blijft.
In dit hoofdstuk leer je hoe je op een veilige manier met je data kunt omgaan. Risico’s:
- verlies
- corrupt/onbetrouwbaar/defect
- interceptie
- diefstal
- herstelmogelijkheden ‘verwijderde’ data
- anonimiseren ongedaan maken/compromitteren van metadata
Acties voor informatiebeveiliging:
- back-up van data
- versleutelen van data
- op een veilige manier delen van bestanden
- op een veilige manier bestanden/data verwijderen
- metadata verwijderen
Als gevoelige data in de handen komt van je tegenstander, kan dit ernstige gevolgen voor de journalist en/of zijn bron met zich meebrengen. Het is dus verstandig je digitale bestanden te beveiligen. Je kunt je digitale bestanden op verschillende manieren beveiligen. Je kunt het bijvoorbeeld eenvoudigweg opslaan op een klein opslagapparaat (USB-drive, geheugenkaart of externe harddisk) en die zo goed mogelijk verbergen. Dat kan in bepaalde gevallen effectief zijn, maar de volledige veiligheid van de data is er in dat scenario ervan afhankelijk of het apparaat onontdekt blijft.
Om je data te beschermen tegen ongeautoriseerde toegang is het belangrijk om de data te versleutelen. Dat kun je bijvoorbeeld doen met VeraCrypt. Dit is een opensource-programma waarmee je bestanden of volledige schijven kunt versleutelen en zelfs het bestaan ervan kunt verbergen.
VeraCrypt voor versleuteling
Met VeraCrypt kun je een versleutelde container maken die als een soort digitale kluis voor bestanden werkt, beveiligd met een wachtwoord. Als de kluis is gemaakt en er zijn bestanden in opgeslagen, kun je deze naar een extern opslagapparaat verplaatsen, bijvoorbeeld een USB-drive, of je verstuurt de kluis via het internet naar anderen. Zelfs als het bestand wordt onderschept kan niemand in de digitale kluis kijken, zodat de inhoud ervan veilig blijft. De inhoud is alleen toegankelijk voor degenen met het wachtwoord.
Belangrijk! Vergeet je wachtwoord niet, want er is geen enkele manier om de data terug te krijgen als het bestand is versleuteld. Verlies van wachtwoord betekent verlies van data.
Download VeraCrypt
VeraCrypt is opensource-software voor het
versleutelen van bestanden
Download: https://www.veracrypt.fr/en/Downloads.html
(Mac-gebruikers moeten ook FUSE voor macOS downloaden: https://osxfuse.github.io/)
Hier vind je goede, begrijpelijke documentatie over VeraCrypt (de site ziet er wat shabby uit, maar je zit goed):
https://www.veracrypt.fr/en/Documentation.html
Installatie van VeraCrypt/Fuse
Download VeraCrypt en installeer deze op je apparaat. De installatie werkt op dezelfde manier als die van andere programma’s. VeraCrypt werkt op dezelfde manier in Windows, Mac en Linux-systemen. De versleutelde containers zijn bovendien onderling compatibel op die systemen. Dat helpt je om veilig met andere mensen samen te werken, omdat je niet hoeft te weten met welk besturingssysteem iemand werkt. Hier vind je een uitgebreide tutorial voor VeraCrypt. Mac-gebruikers moeten naast Veracrypt ook FUSE for macOS downloaden.
Een bestand versleutelen met VeraCrypt
Stap 1 – maak een versleuteld volume
Om een volume met encryptie te maken, start je VeraCrypt. Je maakt van tevoren een leeg bestand aan op de plek die als container gaat fungeren (bijvoorbeeld een leeg kladblok-bestand). Vervolgens:
- Op harde schijf: selecteer ‘Volumes’ → ‘Create New Volume’ (creëer nieuw volume) → ‘Create an encrypted file container’ (maak een versleutelde container voor bestanden) -> selecteer ‘Standard VeraCrypt volume’-> en selecteer het bestand waarin de container op je computer moet worden opgeslagen. Kies ‘ja’ als om overschrijven wordt gevraagd. Je kunt het bestand later verplaatsen. Geef de container een onopvallende naam.
- Op een USB-stick of externe harde schijf: selecteer ‘Volumes’ → Create New Volume’
→ Encrypt a non-system partition/drive’ (versleutel een externe partitie of drive). Bij ‘Volume Location’ kies je ‘Select device’. Tip: om de USB-drive te ontsleutelen heb je VeraCrypt ook nodig, dus als je van plan bent om bestanden te ontsleutelen op een computer waarop VeraCrypt niet is geïnstalleerd, zet dan ook het installatiebestand van VeraCrypt op de USB-stick, naast de versleutelde container.
- Het volgende venster is getiteld ‘Encryption Options’ (versleutelingsopties). De standaardinstellingen volstaan.
- Daarna zie je het scherm ‘Volume size’. Selecteer hier de grootte van de container. De grootte bepaalt hoeveel data je in de container kunt opslaan. Je losse bestand mag niet groter zijn dan 4 GB (in verband met de formatmogelijkheden, zie hieronder).
- Vervolgens word je gevraagd het wachtwoord voor het volume in te stellen. Kies een veilig wachtwoord (zie hoofdstuk 8) en … vergeet deze niet!!!
- Het volgende venster is getiteld ‘Format Options’. Selecteer ‘FAT’.
- Het programma gaat nu het volume versleutelen. Maak een paar willekeurige muisbewegingen – daarmee kan de computer een betere encryptiesleutel aanmaken – voordat je op ‘Format’ (formatteren) klikt. Vervolgens wordt het volume aangemaakt. Afhankelijk van de grootte, het gekozen encryptie-algoritme en de snelheid van je computer duurt het aanmaken een paar seconden of wat langer.
- Als het volume is aangemaakt, klik dan op ‘Exit’ om naar het hoofdscherm van het programma terug te keren.
Gefeliciteerd – je hebt nu een veilig volume aangemaakt.
Stap 2 – Te versleutelen bestanden in het volume met encryptie plaatsen
Nu kun je het volume openen en daar bestanden in plaatsen. Binnen VeraCrypt kies je een Drive en vervolgens ga je naar ‘Select File’ (selecteer bestand) → zoek het bestand dat je als container hebt aangemaakt en selecteer deze, kies vervolgens ‘Mount’ (activeren). Voer het wachtwoord in en klik op OK. De VeraCrypt-container verschijnt nu op je systeem als een aparte drive (op dezelfde wijze als je C-schijf, een USB-stick of een externe harde schijf). Je kunt nu bestanden in de container plaatsen op dezelfde manier zoals je dat met een USB-stick zou doen. Ga naar Mijn Computer of de Finder (Mac), selecteer de gewenste bestanden en sleep ze naar de container.
Als je de bestanden in de container hebt geplaatst, kun je de container sluiten door te klikken op ‘Dismount’ in VeraCrypt. De container ziet er nu uit als een willekeurig bestand op je computer.
Verborgen volumes met encryptie
Binnen het VeraCrypt-volume kun je een verborgen volume aanmaken. Verborgen, versleutelde volumes zijn volumes die binnen het normale VeraCrypt-volume niet zomaar te zien zijn. Hiermee creëer je extra veiligheid als je gedwongen bent het wachtwoord te verstrekken. Je zet dan wat bestanden in het normale volume als afleiding. In het verborgen volume zet je de gevoelige informatie.
Eerst geef je het normale VeraCrypt-volume, zoals hierboven beschreven, een wachtwoord. Dit is als het ware de buitenste schil. Deze container is zichtbaar in je bestandenlijst als een willekeurig bestand. In deze container kun je verschillende gevoelige bestanden die je wilt versleutelen en geheim wilt houden. Je kunt het ook gebruiken als afleiding, voor het geval een tegenstander je dwingt om het wachtwoord te geven. Met een verborgen volume binnen VeraCrypt ben je hierop voorbereid.
Niemand kan het verborgen volume binnen je VeraCrypt-container zien. Voor zover bekend is, kan het bestaan van dit verborgen volume niet worden aangetoond, ook niet met het meest verfijnde onderzoek. Niemand kan het volume zien en alleen de maker weet dat het bestaat. Je kunt het openen door een extra wachtwoord in te voeren, dat je speciaal voor de toegang tot het verborgen volume hebt gemaakt. Dit wachtwoord kun je veel langer voor je houden dan het wachtwoord van de (als willekeurig bestand) zichtbare container, omdat het volume eigenlijk niet lijkt te bestaan.
Verborgen volume binnen VeraCrypt aanmaken
- Creëer het volume voor de buitenschil
Start VeraCrypt en klik:
- ‘Create Volume’ → ‘Create an encrypted container’ → selecteer ‘Hidden VeraCrypt volume’ (verborgen VeraCrypt-container) → selecteer de locatie waar de container moet worden opgeslagen (je kunt het later verplaatsen) en geef de container een onopvallende naam.
- Om een volledige externe harde schijf, zoals een USB-stick, te versleutelen, selecteer je ‘Create Volume’ → ‘Create a volume within a partition/drive’ (creëer een volume op een partitie of drive). Om de USB-drive te ontsleutelen heb je VeraCrypt ook nodig, dus als je van plan bent om bestanden te ontsleutelen op een computer waar VeraCrypt niet op is geïnstalleerd, is het verstandig om naast de versleutelde container op de USB-drive met je bestanden ook het programma VeraCrypt op de USB-stick op te slaan.
- Het volgende venster is getiteld ‘Encryption Options’ (versleutelingsopties). De standaardinstellingen voldoen. Voor de sterkste encryptie (die meerdere keren versleuteld), kies je bij ‘Encryption Algorithm’, voor ‘AES twoFish-Serpent’, en bij ‘Hash Algorithm’, selecteer je ‘SHA-512’.
- Daarna zie je het scherm ‘Volume size’. Selecteer hier de grootte van de container. De grootte bepaalt hoeveel data je in de container kunt opslaan.
- Vervolgens word je gevraagd het wachtwoord voor het volume in te stellen. Kies een veilig wachtwoord (zie hoofdstuk 8) en … Vergeet.Deze.Niet!!!
- Het volgende venster is getiteld ‘Format Options’. Selecteer ‘FAT’.
Expert-info: FAT is compatibel met alle systemen, maar kent een maximum aan de grootte van bestanden die je kunt opslaan. Losse bestanden mogen niet groter zijn dan 4 GB). Dit zal in de meeste gevallen geen probleem zijn. Als je grotere bestanden moet kunnen opslaan en je weet zeker dat een ander format je geen problemen oplevert met het delen van de bestanden, kies dan een van de andere opties.
- Het programma maakt nu een willekeurige dataset om het volume te versleutelen. Maak een paar willekeurige muisbewegingen (de computer kan daarmee een betere encryptiesleutel aanmaken) voordat je op ‘Format’ (formatteren) klikt. Vervolgens wordt het volume aangemaakt. Afhankelijk van de grootte, het gekozen encryptie-algoritme en de snelheid van je computer duurt het aanmaken een paar seconden tot een paar uur (voor zeer grote volumes).
- Het volgende scherm is getiteld ‘Outer Volume Contents’ – lees dit zorgvuldig door. Je moet nu een wat bestanden die de indruk wekken gevoelige informatie te bevatten, in het buitenste volume plaatsen (het kopiëren/plakken van een aantal bestanden in de VeraCrypt-container die je in de bestandenlijst ziet. Daarna klik je op ‘Next’ (volgende).
- Je krijgt nu een venster in beeld met de titel ‘Hidden Volume’. Lees dit door en klik ‘Next’.
2. Creëer het verborgen volume
Nu het buitenste volume is aangemaakt, volg je de stappen om een verborgen volume aan te maken. Dit volgt dezelfde procedure als bij het aanmaken van het buitenste volume in de vorige stap, maar nu voor je verborgen volume. Ook hier krijg je de schermen voor ‘Encryption Options’, grootte van het ‘Hidden Volume Size’ en wachtwoord aanmaken via ‘Hidden Volume Password’. Let op, de beschikbare grootte is uiteraard de grootte van het buitenste volume minus de grootte van de bestanden die je daar als afleiding in hebt geplaatst. Verder moet* je een ander wachtwoord kiezen voor het verborgen volume dan die van de buitenste schil. Kies vervolgens ‘Format Options’ (kies FAT, zie hierboven).
* Het is belangrijk dat je een ander wachtwoord voor het verborgen volume kiest dan voor de buitenschil. Doe je dit niet, dan heb je met één wachtwoord toegang tot beide containers. De verborgen container verliest daarmee zijn functie.
3. Plaats de bestanden die je wilt versleutelen in je verborgen volume
Nu kun je het volume activeren. Open je bestandenlijst. Klik op ‘Select File’ (selecteer bestand)> ga naar het volume dat je zojuist hebt gemaakt en selecteer deze, kies vervolgens ‘Mount’ (activeren). Voer het wachtwoord in voor het volume waarvoor je toegang wilt (in dit geval het verborgen volume) en klik OK.
Let op als je later meer data in de buitenschil plaatst, kan tot gevolg hebben dat ruimte/data in het verborgen volume wordt overschreven. Let er dus op dat je geen nieuwe bestanden meer in de buitenschil plaats nadat je het verborgen volume hebt aangemaakt.
Je kunt nu bestanden in de verborgen container plaatsen. Dat doe je op dezelfde manier zoals je dat met een USB-stick zou doen. Ga naar Mijn Computer of de Finder (Mac), selecteer de gewenste bestanden en sleep ze naar de container. Als je de bestanden in de container hebt geplaatst, kun je de container sluiten door te klikken op ‘Dismount’ in VeraCrypt. De container lijkt nu op een willekeurig bestand op je computer.
Encryptie van harddrives
Naast het gebruik van bestanden als VeraCrypt-containers kun je er ook voor kiezen om de complete harde schijf te versleutelen. De meeste actuele besturingssystemen hebben een ingebouwde optie om de harde schijf te versleutelen. Zorg ervoor dat je de systeembestanden en programma’s op een andere schijf opslaat als je data. De schijf met de data versleutel je.
Windows
Zoek op ‘Bitlocker’ (Configuratiescherm\Systeem en
beveiliging\BitLocker-stationsversleuteling), kies welke schijf je wilt
versleutelen en stel eventueel een wachtwoord in. Je kunt er ook voor kiezen om
een externe schijf of USB-stick te versleutelen met ‘Bitlocker to go’.
Linux/Ubuntu
In het onderdeel Ubuntu installeren (hoofdstuk 2), geven we de instructie om de
opties ‘encrypt the Ubuntu installation’ en ‘encrypt the home folder’ te
selecteren. Dit zorgt ervoor dat de complete harde schijf en de home-directory
worden versleuteld, beide met een ander wachtwoord.
Mac
Ga naar Systeemvoorkeuren → Security en Privacy → FileVault (kluis) → zet FileVault aan.
Data veilig delen
Data kun je op twee manieren met elkaar delen: fysiek of digitaal. Zodra je data moet uitwisselen, krijg je te maken met veiligheidsrisico’s.
Risico’s:
- Interceptie;
- Interventie;
- vernietiging van je brondocumenten;
- identificatie van je bron;
- identificatie van de journalist.
Infosec-actie:
- wissel versleutelde USB-drives of harddrives uit (als je elkaar in persoon kunt ontmoeten);
- wissel data van beperkte hoeveelheid uit via versleutelde bijlagen in versleutelde e-mails;
- wissel data met groter volume versleuteld uit via een filesharing-dienst (zie hierna).
Fysieke uitwisseling
De veiligste manier om grote hoeveelheden data uit te wisselen is fysiek (in persoon) een opslagmedium (bij voorkeur een USB-stick of harddrive) met daarop de data in versleutelde vorm uit te wisselen. De hele stick/drive kan worden versleuteld, of een aantal mappen kunnen worden versleuteld en beveiligd met verschillende wachtwoorden. Op die manier kan de bron op een gecontroleerde manier toegang tot de data geven, bijvoorbeeld door de wachtwoorden op verschillende momenten via veilige kanalen (zoals versleutelde mail of OTR-chat, zie hoofdstuk 5 en 6) vrij te geven. Dus, alles wat je nodig hebt voor het fysiek uitwisselen van gegevens is versleutelingssoftware (zoals VeraCrypt) en een USB-stick.
Digitale
uitwisseling van data
Als jij en je bron elkaar niet fysiek, face-to-face, kunnen ontmoeten om de
documenten in ontvangst te nemen, moet je je documenten op een veilige manier
online uitwisselen. Kleine hoeveelheden data kunnen worden gedeeld als
versleutelde bijlage bij een versleuteld e‑mailbericht als je beiden e‑mailencryptie
gebruikt (zie hoofdstuk 5).
Grotere hoeveelheden data kunnen worden versleuteld met VeraCrypt. Je geeft het bestand een onopvallende naam die geen relatie heeft met de inhoud en vervolgens kun je het uitwisselen via een filesharing-dienst. Je kunt de ontvanger via een veilig kanaal (zoals encrypted mail of chat) een link naar het online-bestand sturen met het wachtwoord om het bestand te ontsleutelen.
Maar let op, je moet er zeker van zijn dat je een veilig systeem hebt als je de optie van digitale data-uitwisseling gebruikt. Als je hardware of je besturingssysteem niet veilig is, dan kunnen de bestanden en wachtwoorden die je deelt, gecompromitteerd zijn. Een tegenstander heeft dan wellicht op afstand toegang of zelfs controle over je computer. Bij voorkeur wissel je documenten alleen uit tussen twee veilige computers waarop je allebei Tails gebruikt. Voor de hoogste vorm van veiligheid bekijk je de documenten alleen op een airgap-computer.
Mega voor het delen
van bestanden
‘Mega’ (https://mega.nz/)
is een goed alternatief voor platforms als Dropbox en Google Drive om bestanden
te delen. Mega zorgt eerst voor een bepaalde mate van versleuteling in de
browser voordat het bestand wordt geüpload om zo de gebruiker te beschermen
tegen nieuwsgierigen met beperkte vaardigheid en om zichzelf te beschermen
tegen beschuldigingen over het faciliteren van inbreuk op copyright (omdat ze
niet weten wat de inhoud is van de bestanden die worden gedeeld). De mate van
versleuteling door Mega is weliswaar niet overheidsproof, maar het geeft wel
een extra laagje bescherming tegen nieuwsgierige blikken in de data als het via
een open wifi-verbinding wordt verstuurd, bijvoorbeeld in het door jou gekozen
café of de bibliotheek (voor het anoniem versturen van de bestanden). Zoals bij
de meeste providers van online-bestandsopslag gebruikelijk is, krijg je ook bij
Mega gratis opslagruimte. Mega biedt 50 GB voor elk uniek e-mailadres dat je
gebruikt. Zoals met ieder ander onderdeel van informatiebeveiliging is het ook
nu aan te raden om data te verspreiden over verschillende accounts die niet met
elkaar in relatie staan.
SecureDrop
Sommige journalistieke organisatie met goede voorzieningen en IT-mogelijkheden,
hebben hun eigen systemen gemaakt om het veilig delen van bestanden te faciliteren,
waaronder SecureDrop. SecureDrop is een opensourcesysteem waar klokkenluiders
documenten kunnen achterlaten en het is goed nieuws dat er organisaties zijn die
SecureDrop gebruiken. Maar de juiste setup van zo’n systeem instellen en deze
veilig houden is een moeilijke taak en moet niet zonder de hulp van
specialisten met uitgebreide ervaring – mensen die zichzelf in het veld bewezen
hebben – worden gedaan. Daarom is SecureDrop geen werkbare oplossing voor
onafhankelijke journalisten.
Neem contact op met de IT-serviceprovider van je organisatie voor vragen hierover. Die kan wellicht helpen (maar vraag altijd of ze iets dergelijk eerder hebben gedaan en als dat niet zo is, vraag dan hulp aan een ander). De CIJ kan je eventueel helpen door je in contact te brengen met mensen die ervaring hebben op dit gebied.
OnionShare
https://onionshare.org
OnionShare is een opensourcetool die je veilig en anoniem via het Tork-netwerk bestanden van willekeurige grootte laat delen. OnionShare biedt een veilig systeem van bestanden delen aan, omdat het ervoor zorgt dat gebruikers bestanden rechtstreeks van computer naar computer delen, via Tor-verbindingen, zonder bestanden te uploaden naar een server van een derde. In plaats daarvan wordt de computer van de zender de server voor de uitwisseling. OnionShare is gemakkelijk te installeren en te gebruiken op zowel Windows, Mac, Ubuntu en Tails. Voor de installatie op Ubuntu moet je de command-regel beperkt gebruiken. Je kunt OnionShare hier downloaden (inclusief installatie-instructies): https://onionshare.org
Het gebruik van OnionShare: om bestanden met OnionShare te kunnen versturen, moet je je Tor-browser op de achtergrond laten draaien. Je moet de Tor-browser ook gebruiken om bestanden te downloaden via OnionShare. De zender kiest de bestanden die hij wil delen en OnionShare stelt deze bestanden beschikbaar ter download via een URL in de Tor-browser. Als de ontvanger het bestand downloadt (rechtstreeks vanaf de computer van de zender), kan de zender de voortgang en voltooiing van de download volgen.
Als je je zorgen maakt over gerichte surveillance en pogingen om je te delen bestanden te onderscheppen, wees dan voorzichtig met het delen van de URL met je contactpersoon. Je moet dat op een veilige manier doen, bijvoorbeeld via versleutelde OTR-chat of versleutelde e-mail (zie hoofdstuk 5 en 6) of anoniem, bijvoorbeeld via een nieuw anoniem e-mailaccount dat je aanmaakt via de Tor-browser en dat je na gebruik verwijdert.
Als de download is voltooid of wanneer de zender OnionShare sluit, worden de bestanden volledig van het internet verwijderd (tenzij je ‘Stop sharing automatically’ in OnionShare uitvinkt; hierdoor wordt het mogelijk de bestanden verschillende keren te downloaden). Meer instructies vind je hier: https://github.com/micahflee/onionshare
Bestanden veilig verwijderen
Op de meeste systemen verdwijnt een bestand niet echt van de harde schijf of USB-stick als je het verwijdert. Het bestand blijft bestaan, maar de plek waar het staat krijgt het label ‘niet meer in gebruik’. Hierdoor weet het systeem dat het die plek mag overschrijven met andere data. Maar, pas tot die plek wordt overschreven, blijft het oude bestand onzichtbaar aanwezig en kan deze ook worden teruggehaald met forensische tools en ervaring.
Om ervoor te zorgen dat een bestand echt veilig en compleet wordt verwijderd, kun je een extra tool gebruiken die de ruimte waar het bestand was opgeslagen een paar keer overschrijft. Deze methode is heel veilig, maar het kan veel tijd kosten bij grotere datavolumes (dat wil zeggen, tot een aantal uren voor USB-sticks met een opslagcapaciteit van meerdere GB’s).
Windows, Linux/Ubuntu
Op Linux- en Windows-systemen is BleachBit (http://bleachbit.sourceforge.net/)
de belangrijkste opensource-verwijdertool die als zeer betrouwbaar staat
aangeschreven.
Tails
Het Tails-systeem heeft een functie waarmee je veilig kunt verwijderen. Die kun
je gemakkelijk openen als je met de rechtermuisknop op een bestand klikt en
vervolgens kiest voor ‘Wipe’. Je kunt alle “lege” plekken in een map veilig
overschrijven/verwijderen door in een map met de rechtermuisknop te klikken en
te kiezen voor ‘Wipe available diskspace’.
Mac
Voor het veilig verwijderen van losse bestanden hadden de oude versies van macOS
(OS X) binnen ‘El Capitan’ de functie ‘Secure Empty Trash’. Die functie bestaat
niet meer omdat men niet kon garanderen dat dit daadwerkelijke op een veilige
manier gebeurde. Daarom is er op een Mac nu geen manier meer om losse bestanden
op een veilige manier te verwijderen. Het is daarom belangrijk dat je de
harddrive versleutelt, en toegang alleen mogelijk maakt met een wachtwoord.
Voor het veilig wissen/opschonen van een USB-stick (of willekeurige externe harde schijf): doe de USB-disk in het apparaat: start ‘Disk Utility’à selecteer de drive die je wilt wissen (kijk in het menu links) → selecteer de erase-tabe (verwijder-tab). Selecteer ‘Security Options’ en schuif de slider naar ‘Most Secure’* → ‘OK’ → “Erase’.
Fysiek vernietigen van
gegevens
Als een volledige disk moet worden gewist, heb je ook de optie om het
opslagapparaat fysiek te vernietigen. Om er zeker van te zijn dat er geen data
meer van het medium kan worden teruggehaald, moet je het apparaat in zeer
kleine onderdelen, niet groter dan 1 mm, verdelen. Je kunt er dus niet van
uitgaan dat je forensische technieken kunt omzeilen door bijvoorbeeld een
schijf met een hamer kapot te slaan of hem in water onder te dompelen. Het
apparaat werkt dan waarschijnlijk niet meer, maar het voorkomt helaas niet dat
een tegenstander de data er vanaf kan halen, zeker als deze de middelen en de
tijd heeft om voor het dataherstel geavanceerde technieken in te zetten.
Kies voor USB-drives
Het opslaan van data op de harde schijf van
een laptop zorgt ervoor dat je data aan meer risico’s blootstaan en vaak is het
moeilijker om ze veilig te verwijderen. Daarom is het aan te raden om gevoelig
materiaal op een extern opslagmedium op te slaan, zoals een USB-stick of een
externe harde schijf (voor grotere volumes). Versleuteling van die apparaten en
van de bestanden erop is ook belangrijk om ze te beschermen tegen verlies of
diefstal door kwaadwillenden.
Metadata
Metadata zijn de data over data. Digitale bestanden bevatten verschillende metadata die als het ware in een schil om het bestand hangen. Je moet daarbij denken aan de auteur van een Word-document, de GPS-coördinaten van de locatie van een foto. Audio, video, en PDF-bestanden bevatten ook metadata en verborgen data (zoals commentaar, tracking-gegevens, bestandsnamen, etc.). De meeste kleurenlaserprinters printen hun type- en serienummer in onzichtbare puntjes op iedere vierkante centimeter van het papier. De herkomst van het papier of stukjes daarvan zijn dus te traceren naar de printer en uiteindelijk naar jou als die printer naar jou leidt (bijvoorbeeld als je de printer online hebt besteld). Bedenk ook dat moderne printers/copiers een harde schijf hebben waarop data wordt bewaard.
Elk programma dat je gebruikt kan specifieke metadata-instellingen hebben. Zorg er dus voor dat je weet welke informatie wordt opgeslagen in (bestanden van) het programma dat je wilt gebruiken en of en hoe je die informatie kunt verwijderen. Zo zorg je ervoor dat de metadata onschadelijk voor je zijn. Je kunt dit bijvoorbeeld achterhalen via onlineonderzoek naar het bewuste programma en de gebruikte bestandsformaten.
LibreOffice
LibreOffice is een gratis, opensource set applicatie voor het kantoor
(vergelijkbaar met MS Office).
https://www.libreoffice.org/
In LibreOffice kun je gebruikersgegevens (userdata) zien en verwijderen via File → Properties → tab General (Bestand, Instellingen, tab Algemeen):
- Klik ‘Reset’ om algemene gebruikersgegevens te resetten (bijvoorbeeld de totale tijd gebruikt voor editen, het revisienummer, etc.)
- Vink uit ‘Apply user data’ (uitschakelen van het toepassen van userdata).
- Ga naar de tabs ‘Description’ en ‘Custom Properties’ en haal daar de data weg waarvan je niet wilt dat deze bekend wordt/zichtbaar is.
- Bij de tab ‘Security’ vink je uit ‘Record changes’ als dat nog niet is uitgeschakeld. Bij Edit → Changes → Accept or Reject kun je deze verwijderen als de ontvanger ze niet nodig heeft.
Als je de optie Versions gebruikt, ga je naar File → Versions. Hier delete je oudere versies van het document die wellicht zijn opgeslagen. Voor Writer: controleer of alle verborgen paragrafen zichtbaar zijn bij Hidden Paragraphs, voor Calc controleer je op verborgen werkbladen bij Format → Sheet.