O que devo fazer para proteger os dados ao atravessar a fronteira dos EUA com um computador?

21

Quando imigrar com sucesso (legalmente) para os EUA, tive que mover alguns dos meus computadores que contêm dados / projeto confidenciais de um cliente.

Fiquei surpreso quando encontrei um artigo que diz que o CBP tem o direito de verificar um computador (e pode me forçar a digitar a senha do truecrypt!)

Não consigo limpar nenhum dado, mas o vazamento de dados extremamente sensíveis é um grande problema para mim (o que devo dizer ao cliente: "o governo quer o seu projeto"?)

Juro que não sou terrorista, é claro, mas quero saber o que outros empresários fazem nesse tipo de situação.

Poster
fonte
10
btw. esta pergunta não seria mais adequada para segurança.SE ?
vartec
1
@vartec +1, não tenho certeza se é mais adequado aqui ou ali, mas alguns aspectos da pergunta (por exemplo, os detalhes técnicos de como você deve colocar seus dados na nuvem ou recuperá-los) seriam claramente mais relevantes no outro site.
Descontraído
4
Você conhece volumes ocultos? Em poucas palavras, você pode ocultar os dados na unidade e fazer com que pareça que não há dados. Links úteis: truecrypt.org/docs/plausible-deniability truecrypt.org/hiddenvolume truecrypt.org/docs/hidden-operating-system
ike
Espero que seja entendido que as leis de importação e exportação se aplicam e que pode ser completamente ilegal importar / exportar dados de um país para outro (especialmente onde a criptografia) tem fins lucrativos. (obviamente, dependendo dos dados e dos países). Isso se aplica ao download de informações da nuvem e ao transporte manual das informações com você.
Xantix
3
Você deve ler esta pergunta sobre Segurança: security.stackexchange.com/q/11612/485
Rory Alsop

Respostas:

14

Isenção de responsabilidade: IANAL

Alegadamente, se os oficiais da CBP encontrarem algo claramente marcado como "confidencial dos negócios" , eles não poderão prosseguir sem a autorização de superiores.

As diretrizes foram descritas no documento do DoHS "Avaliação de Impacto na Privacidade: Pesquisas de Fronteiras CBP e ICE de Dispositivos Eletrônicos" . Parece que, de acordo com isso, se os oficiais da CBP divulgassem algum de seus segredos comerciais, eles ainda seriam legalmente responsáveis.

No entanto, se você não quiser se arriscar com isso, o curso de ação recomendado é ( por exemplo, para advogados estrangeiros ):

  • use criptografia de alto nível e faça upload de arquivos criptografados em uma nuvem
  • armazenar chaves de criptografia (protegidas por senha) em dispositivos pequenos (por exemplo, cartão microSD)
  • higienize seu computador excluindo dados confidenciais e chaves de criptografia
  • faça o download e decodifique seus dados conforme necessário

Observe que isso está parecendo um lado paranóico.

vartec
fonte
No lado receptor, o procedimento interno do PFC dificilmente faz qualquer diferença. A agência e, além da agência, o governo dos EUA como um todo ainda pode pesquisar computadores, exigir senhas ou descriptografia, sem qualquer justificativa específica ou devido processo.
Descontraído
@ Irritado: é verdade, mas só porque eles não podem significar que é algo comum que Joe experimentará.
vartec
Claro (eu escrevi o máximo na minha resposta, aliás), mas esse foi o caso de qualquer maneira e não tem nenhuma relação com esse detalhe do procedimento.
Descontraído
10

Uma pesquisa aleatória de seus computadores parece muito improvável, mas o que eu li também sugere que você basicamente não tem nenhum recurso legal contra isso, caso isso aconteça. A única solução viável que conheço é fazer o upload dos dados em algum lugar e fazer o download quando você estiver nos EUA.

Obviamente, isso cria todos os tipos de novos problemas de segurança (como proteger a transferência e o servidor contra quaisquer riscos com os quais você esteja preocupado etc.), mas impediria que os guardas de fronteira acessassem seus dados sem fazer nada ilegal. Não tenho idéia se muitas pessoas (de negócios) realmente se dão ao trabalho de fazê-lo.

Relaxado
fonte
3
Para viajar para fora dos EUA, meu empregador emite laptops emprestados que não possuem dados além do mínimo necessário para a viagem que não pode ser VPN na chegada; mas a AIUI está mais preocupada com roubo / perda do que sendo espionada na própria fronteira.
Dan Neely
5

Uma possibilidade é fazer uma criptografia de unidade completa com alguns softwares como o TrueCrypt . Em seguida, você pode armazenar a chave em uma unidade USB e pedir que alguém em quem você confia envie a você assim que atravessar a fronteira.

Dessa forma, você não é capaz de descriptografar o computador se for solicitado / forçado. Certifique-se de que o pen drive só seja enviado quando você estiver atravessando a fronteira com segurança. Os únicos problemas seriam se o governo fizesse uma cópia dos dados criptografados e interceptasse a unidade no correio.

Outra alternativa é ter um amigo criptografar a chave e enviá-la para a nuvem. Eles poderiam informar a senha assim que você estivesse em segurança nos EUA.

Ric
fonte
Com o TrueCrypt, você também pode criptografar um "arquivo", que é realmente apenas um contêiner que armazena os arquivos que você deseja criptografar. A partir daí, você também pode ter duas senhas diferentes. Um que revela um conjunto de dados, outro que gera um conjunto separado. Portanto, se forçado a fornecer uma senha, você pode fornecer a menor das duas: negação plausível. TrueCrypt é ótimo para o viajante internacional com dados confidenciais.
Eric
4
Se isso realmente acontecer, não poder descriptografar o conteúdo pode resultar em ainda mais problemas, possivelmente confiscando o material ou detenção. As pessoas que pensam em computador amam contramedidas técnicas elaboradas, mas isso realmente não importa como elas funcionam, não faz nada para tirá-lo da situação criada pelo fato de que você não tem o direito de não compartilhar seus dados nem recorrer contra guardas de fronteira 'demandas.
Descontraído
3

Embora eu me pergunte o que poderia ser tão exigente para importar um PC inteiro (um desktop) - acho que literalmente não há opções se o CBP estiver empenhado em verificar o que você está trazendo para os EUA. Incluindo as porcas e parafusos que prendem o seu PC.

Eu enviei discos rígidos externos (imagens de VM) no passado e a FedEx / UPS não teve problemas em enviar para e de países do terceiro mundo. Eu me mudei livremente para o mundo todo com dois laptops na mochila, sem problemas e sem nenhuma inspeção (além de executá-los nos scanners de segurança do aeroporto).

Eu sinto , no máximo, os caras CBP quero inspecionar o que está na torre de CPU versus o que está no disco rígido. Se a informação não for um terabyte, você também pode movê-la temporariamente para um pen drive. Nunca ouvi o laptop de pen drive de alguém sendo procurado por dados.

happybuddha
fonte
3

De nossa pergunta relacionada sobre o Security Stack Exchange :

A resposta principal de tylerl menciona as recomendações do FEP:

  • Leve o mínimo de dados possível além da fronteira.
  • Mantenha um backup dos seus dados em outro lugar.
  • Criptografe os dados no seu dispositivo.
  • Armazene as informações necessárias em outro local e faça o download quando chegar ao seu destino.
  • Proteja os dados em seus dispositivos com senhas.

... A política alfandegária dos EUA se concede permissão e responsabilidade para examinar todos os dispositivos recebidos (e dados sobre esses dispositivos), incluindo computadores, telefones celulares etc.

... vários casos de funcionários aduaneiros que colocam software de monitoramento / rastreamento em computadores em trânsito

... Por fim, não esqueça o valor dos volumes ocultos do Truecrypt. A negação plausível é útil quando se lida com governos.

E eu sugeriria que essas não são atividades limitadas aos paranóicos, mas que deveriam ser seguidas por qualquer pessoa de negócios que viajasse para os EUA. Eu não uso nenhum dispositivo com dados corporativos se puder ajudá-lo e, sempre que possível, também evito coletar dados pessoais.

Rory Alsop
fonte
0

Você pode estar interessado em ler este artigo. http://www.cba.org/CBa/PracticeLink/tayp/laptopborder.aspx

"Quando estão no destino, os funcionários trabalham com dados armazenados nos servidores da empresa por meio de uma rede virtual privada segura (VPN). (Conexões seguras são obrigatórias, pois, em certas circunstâncias, a lei dos EUA permite a interceptação de emails e conexões de servidores remotos.) pode baixar arquivos em seus computadores, carregar os resultados de seu trabalho nos servidores da empresa e "limpar forense" seus computadores antes de viajar novamente ".

jingyang
fonte
Considerando os eventos recentes relacionados às operações da NSA e de outras agências dos EUA, a declaração "A lei dos EUA permite a interceptação de conexões de e-mail e servidor remoto" é pelo menos discutível.
Simon