Cosa devo fare per proteggere i dati quando attraversi il confine degli Stati Uniti con un computer?

21

Quando sono immigrato (legalmente) con successo negli Stati Uniti, ho dovuto spostare alcuni dei miei computer che contengono dati / progetti sensibili di un cliente.

Sono stato sorpreso quando ho trovato un articolo che dice che il CBP ha il diritto di scansionare un computer (e può costringermi a inserire la password TrueCrypt!)

Non riesco a cancellare alcun dato, ma la perdita di dati estremamente sensibili è un grosso problema per me (cosa devo dire al cliente, "il governo vuole il tuo progetto"?)

Giuro che non sono un terrorista, ovviamente, ma voglio sapere cosa fanno gli altri uomini d'affari in questo tipo di situazione.

usa  borders  electronic-items 
Manifesto
fonte
10
btw. questa domanda non sarebbe più adatta per security.SE ?
vartec,
1
@vartec +1, non sono sicuro se si adatta meglio qui o là, ma alcuni aspetti della domanda (ad esempio i dettagli tecnici su come inserire i dati nel cloud o recuperarli) sarebbero chiaramente più pertinenti sull'altro sito.
Rilassato l'
4
Conosci volumi nascosti? In breve, è possibile nascondere i dati sull'unità e far sembrare che non ci siano dati. Link utili: truecrypt.org/docs/plausible-deniability truecrypt.org/hiddenvolume truecrypt.org/docs/hidden-operating-system
ike,
Spero che sia chiaro che si applicano le leggi sull'importazione e sull'esportazione e che può essere del tutto illegale importare / esportare dati da un paese a un altro (specialmente dove la crittografia) a scopo di lucro. (ovviamente a seconda dei dati e dei paesi). Ciò si applicherebbe al download di informazioni dal cloud e al trasporto manuale delle informazioni con te.
Xantix,
3
Dovresti leggere questa domanda sulla sicurezza: security.stackexchange.com/q/11612/485
Rory Alsop,

Risposte:

14

Disclaimer: IANAL

Presumibilmente se gli ufficiali del CBP trovano qualcosa di chiaramente contrassegnato come "riservato agli affari" , non possono procedere senza l'autorizzazione dei superiori.

Le linee guida sono state descritte nel documento DoHS "Valutazione dell'impatto sulla privacy: ricerche di frontiera CBP e ICE su dispositivi elettronici" . Sembra che, in base a ciò, se gli ufficiali del CBP rivelassero qualcuno dei tuoi segreti commerciali, sarebbero comunque legalmente responsabili.

Tuttavia, se non vuoi rischiare, la linea di condotta raccomandata è ( ad esempio per gli avvocati stranieri ):

  • utilizzare la crittografia di alto livello e caricare file crittografati su un cloud
  • memorizzare le chiavi di crittografia (passphrase) su dispositivi di piccole dimensioni (ad es. scheda microSD)
  • disinfetta il tuo computer eliminando i dati sensibili e le chiavi di crittografia
  • scaricare e decrittografare i dati secondo necessità

Si noti che questo sta andando un po 'sul lato paranoico delle cose.

Vartec
fonte
Per quanto riguarda la ricezione, la procedura interna di CBP non fa praticamente alcuna differenza. L'agenzia e oltre l'agenzia il governo degli Stati Uniti nel suo insieme può ancora cercare i computer, richiedere password o decrittografia senza alcuna giustificazione specifica o processo adeguato.
Rilassato l'
@Annoyed: vero, ma solo perché non possono significare che è qualcosa che Joe vivrà nella media.
vartec,
Certo (ho scritto altrettanto nella mia risposta, per inciso) ma quello era comunque il caso ed è totalmente estraneo a questo dettaglio della procedura.
Rilassato l'
10

Una ricerca casuale dei tuoi computer sembra molto improbabile, ma ciò che ho letto suggerisce anche che in pratica non hai ricorso legale contro di esso. L'unica soluzione praticabile di cui sono a conoscenza è quella di caricare i dati da qualche parte e quindi scaricarli una volta che sei negli Stati Uniti.

Naturalmente, ciò crea ogni sorta di nuovi problemi di sicurezza (come proteggere il trasferimento e il server da qualsiasi rischio di cui ti preoccupi, ecc.) Ma impedirebbe alle guardie di frontiera di accedere ai tuoi dati senza fare nulla di illegale. Non ho idea se molte persone (di affari) effettivamente si preoccupino di farlo.

Rilassato
fonte
3
Per viaggi al di fuori degli Stati Uniti, il mio datore di lavoro emette laptop in prestito che non contengono alcun dato oltre il minimo necessario per il viaggio che non può essere inviato in VPN all'arrivo; ma AIUI sono più preoccupati per il furto / smarrimento che per essere stato curiosato al confine stesso.
Dan Neely,
5

Una possibilità è quella di eseguire una crittografia completa dell'unità con alcuni software come TrueCrypt . Puoi quindi archiviare la chiave su un'unità USB e farti spedire da qualcuno di cui ti fidi una volta superata la frontiera.

In questo modo non è fisicamente in grado di decrittografare il computer se richiesto / forzato. Assicurati che la chiavetta USB ti venga inviata solo dopo aver attraversato il confine in modo sicuro. Gli unici problemi in questo caso sarebbero se il governo facesse una copia dei dati crittografati e poi intercettasse l'unità nella posta.

Un'altra alternativa è quella di far crittografare la chiave da un amico e caricarla sul cloud. Potrebbero quindi dirti la password una volta che sei al sicuro negli Stati Uniti.

Ric
fonte
Con TrueCrypt puoi anche crittografare un "file", che è in realtà solo un contenitore che memorizza tutti i file che vuoi crittografare. Da lì puoi anche avere due password diverse. Uno che rivela un set di dati, un altro che produce un set separato. Quindi, se costretto a fornire una password, è possibile fornire il minore dei due: negabilità plausibile. TrueCrypt è ottimo per i viaggiatori internazionali con dati sensibili.
Eric,
4
Se si tratta davvero di questo, non riuscire a decifrare il contenuto potrebbe comportare ancora più problemi, forse la confisca del materiale o la detenzione. Le persone che pensano al computer amano elaborate contromisure tecniche ma in realtà non importa come funzionano, non fa nulla per farti uscire dalla situazione creata dal fatto che non hai il diritto di non condividere i tuoi dati e nessun ricorso contro le guardie di frontiera ' richieste.
Rilassato l'
3

Anche se mi chiedo cosa potrebbe essere così impegnativo per importare un intero PC (un desktop) - penso che non ci siano letteralmente opzioni se il CBP è deciso a controllare qualsiasi cosa tu stia portando negli Stati Uniti. Compresi i dadi e le viti che tengono il tuo PC.

Ho spedito dischi rigidi esterni (immagini VM) in passato e FedEx / UPS non ha avuto problemi a consegnare da e verso paesi del terzo mondo. Mi sono trasferito liberamente in giro per il mondo con un paio di laptop nel mio zaino senza problemi e senza ispezione (oltre a farli passare attraverso gli scanner di sicurezza dell'aeroporto).

Mi sento al massimo i ragazzi CBP Wanna ispezionare cosa è nella torre CPU rispetto a ciò che è nel disco rigido. Se le informazioni non sono un terabyte, è anche possibile spostare temporaneamente le informazioni su una pen drive. Non ho mai sentito il laptop di qualcuno di pen drive essere sfogliato per i dati.

happybuddha
fonte
3

Dalla nostra domanda correlata sullo scambio di stack di sicurezza :

La risposta principale di tylerl menziona le raccomandazioni del FEP:

  • Trasporta il minor numero di dati possibile oltre il confine.
  • Conserva un backup dei tuoi dati altrove.
  • Crittografa i dati sul tuo dispositivo.
  • Memorizza le informazioni che ti servono altrove, quindi scaricale quando raggiungi la destinazione.
  • Proteggi i dati sui tuoi dispositivi con password.

... Politica doganale degli Stati Uniti che si autorizza e si assume la responsabilità di esaminare tutti i dispositivi in ​​arrivo (e i dati su questi dispositivi), inclusi computer, telefoni cellulari, ecc.

... una serie di casi di funzionari doganali che applicano software di monitoraggio / localizzazione su computer in transito

... Infine, non dimenticare il valore dei volumi nascosti di TrueCrypt. La negabilità plausibile è utile quando si tratta di governi.

E suggerirei che queste non sono attività limitate ai paranoici, ma dovrebbero essere seguite da qualsiasi uomo d'affari in viaggio negli Stati Uniti. Non accetto alcun dispositivo con dati aziendali se posso aiutarlo e, ove possibile, evito anche di prendere dati personali.

Rory Alsop
fonte
0

Potresti essere interessato a leggere questo articolo. http://www.cba.org/CBa/PracticeLink/tayp/laptopborder.aspx

"Una volta arrivati ​​a destinazione, i dipendenti lavorano con i dati archiviati sui server aziendali tramite una rete privata virtuale protetta (VPN). (Le connessioni sicure sono indispensabili poiché, in determinate circostanze, la legge degli Stati Uniti consente l'intercettazione delle connessioni e-mail e dei server remoti.) Dipendenti può scaricare file sui propri computer, caricare i risultati del proprio lavoro sui server aziendali e "ripulire in modo forense" i propri computer prima di spostarsi nuovamente. "

Jingyang
fonte
Considerando i recenti eventi riguardanti le operazioni della NSA e di altre agenzie statunitensi, la dichiarazione "La legge statunitense consente l'intercettazione di connessioni e-mail e server remoti" è almeno discutibile.
Simon,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.