¿Qué debo hacer para proteger los datos cuando cruzo la frontera de los EE. UU. Con una computadora?

21

Cuando inmigré exitosamente (legalmente) a los EE. UU., Tuve que mover algunas de mis computadoras que contienen datos / proyectos confidenciales de un cliente.

Me sorprendió cuando encontré un artículo que dice que el CBP tiene derecho a escanear una computadora (¡y puede obligarme a ingresar la contraseña de TrueCrypt!)

No puedo borrar ningún dato, pero la filtración de datos extremadamente confidenciales es un gran problema para mí (¿Qué debo decirle al cliente, "el gobierno quiere su proyecto"?)

Juro que no soy un terrorista, por supuesto, pero quiero saber qué hacen otros empresarios en este tipo de situación.

usa borders electronic-items Póster
fuente
10
por cierto. ¿No sería esta pregunta más adecuada para la seguridad ?
vartec
1
@vartec +1, no estoy seguro de si encaja mejor aquí o allá, pero algunos aspectos de la pregunta (por ejemplo, los detalles técnicos de cómo debe colocar sus datos en la nube o recuperarlos) serían claramente más relevantes en el otro sitio.
Relajado
44
¿Conoces los volúmenes ocultos? En pocas palabras, puede ocultar los datos en el disco y hacer que parezca que no hay datos allí. Enlaces útiles: truecrypt.org/docs/plausible-deniability truecrypt.org/hiddenvolume truecrypt.org/docs/hidden-operating-system
ike
Espero que se entienda que se aplican las leyes de importación y exportación, y que puede ser completamente ilegal importar / exportar datos de un país a otro (especialmente en el cifrado) con fines de lucro. (obviamente, dependiendo de los datos y los países). Esto se aplicaría a la descarga de información de la nube, así como a llevar la información manualmente con usted.
Xantix
3
Debe leer esta pregunta sobre Seguridad: security.stackexchange.com/q/11612/485
Rory Alsop

Respuestas:

14

Descargo de responsabilidad: IANAL

Supuestamente, si los oficiales de CBP encuentran algo claramente marcado como "confidencial comercial" , no pueden proceder sin autorización de los superiores.

Las pautas se han descrito en el documento del documento de DoHS "Evaluación del impacto de la privacidad: CBP e ICE Border Search de dispositivos electrónicos" . Parece que de acuerdo con esto, si los oficiales de CBP revelaran cualquiera de sus secretos comerciales, aún serían legalmente responsables.

Sin embargo, si no quiere arriesgarse con eso, el curso de acción recomendado es ( por ejemplo, para abogados extranjeros ):

  • usa encriptación de alto grado y sube archivos encriptados a una nube
  • almacenar claves de cifrado (protegidas con frase de contraseña) en un dispositivo pequeño (por ejemplo, tarjeta microSD)
  • desinfecte su computadora eliminando datos confidenciales y claves de cifrado
  • descargue y descifre sus datos según sea necesario

Tenga en cuenta que esto va un poco paranoico.

vartec
fuente
En el extremo receptor, el procedimiento interno de CBP casi no hace ninguna diferencia. La agencia y más allá de la agencia, el gobierno de los Estados Unidos en su conjunto todavía puede buscar computadoras, requerir contraseñas o descifrar sin ninguna justificación específica o debido proceso.
Relajado
@ Enfadado: cierto, pero solo porque pueden no significa que sea algo normal que Joe experimentará.
vartec
Claro (escribí tanto en mi respuesta, por cierto), pero ese fue el caso de todos modos y no tiene ninguna relación con este detalle del procedimiento.
Relajado
10

Una búsqueda aleatoria de sus computadoras parece muy poco probable, pero lo que leí también sugiere que, básicamente, no tiene ningún recurso legal en su contra en caso de que ocurra. La única solución viable que conozco es cargar los datos en algún lugar y luego descargarlos una vez que esté en los EE. UU.

Por supuesto, esto crea todo tipo de nuevos problemas de seguridad (cómo proteger la transferencia y el servidor contra cualquier riesgo que le preocupe, etc.) pero evitaría que los guardias fronterizos accedan a sus datos sin hacer nada ilegal. No tengo idea si muchas personas (de negocios) realmente se toman la molestia de hacerlo.

Relajado
fuente
3
Para viajar fuera de los EE. UU., Mi empleador emite computadoras portátiles prestadas que no tienen datos sobre ellas más allá del mínimo necesario para el viaje que no se puede VPNar a la llegada; pero AIUI están más preocupados por el robo / pérdida que por ser espiados en el cruce fronterizo.
Dan Neely
5

Una posibilidad es hacer un cifrado de disco completo con algún software como TrueCrypt . Luego puede almacenar la clave en una unidad USB y hacer que alguien de su confianza se la envíe una vez que cruce la frontera.

De esta manera, físicamente no puede descifrar la computadora si se le solicita / obliga. Asegúrate de que la unidad de memoria solo te sea enviada una vez que estés seguro cruzando la frontera. Los únicos problemas en esto serían si el gobierno hiciera una copia de los datos cifrados y luego interceptara la unidad por correo.

Otra alternativa es hacer que un amigo cifre la clave y la suba a la nube. Luego podrían decirle la contraseña una vez que esté seguro en los EE. UU.

Ric
fuente
Con TrueCrypt también puede cifrar un "archivo", que en realidad es solo un contenedor que almacena los archivos que desea cifrar. Desde allí también puede tener dos contraseñas diferentes. Uno que revela un conjunto de datos, otro que produce un conjunto separado. Entonces, si se le obliga a proporcionar una contraseña, puede proporcionar la menor de las dos: negación plausible. TrueCrypt es ideal para el viajero internacional con datos confidenciales.
Eric
44
Si realmente se trata de eso, no ser capaz de descifrar el contenido podría provocar aún más problemas, posiblemente la confiscación del material o la detención. A las personas con mentalidad informática les encantan las contramedidas técnicas elaboradas, pero realmente no importa cómo funcionen, no hace nada para sacarlo de la situación creada por el hecho de que no tiene derecho a no compartir sus datos y no recurrir a los guardias fronterizos ' demandas.
Relajado
3

Aunque me pregunto qué podría ser tan exigente para importar una PC completa (una computadora de escritorio), creo que literalmente no hay opciones si la CBP está decidida a verificar lo que está trayendo a los EE. UU. Incluyendo las tuercas y tornillos que sujetan su PC.

He enviado discos duros externos (imágenes de VM) en el pasado y FedEx / UPS no tuvo problemas para enviar desde y hacia países del tercer mundo. Me he mudado libremente por todo el mundo con un par de computadoras portátiles en mi mochila sin problemas y sin ninguna inspección (aparte de pasarlas por los escáneres de seguridad del aeropuerto).

Me siento en el máximo de los muchachos CBP Wanna inspeccionar lo que hay en la torre de la CPU en comparación con lo que está en el disco duro. Si la información no es un terabyte, también podría mover temporalmente la información a un pen drive. Nunca escuché la laptop de un pen drive de alguien siendo examinada en busca de datos.

happybuddha
fuente
3

De nuestra pregunta relacionada sobre Security Stack Exchange :

La respuesta principal de tylerl menciona las recomendaciones de EFF:

  • Lleve la menor cantidad de datos posible a través de la frontera.
  • Mantenga una copia de seguridad de sus datos en otro lugar.
  • Cifre los datos en su dispositivo.
  • Almacene la información que necesita en otro lugar, luego descárguela cuando llegue a su destino.
  • Proteja los datos en sus dispositivos con contraseñas.

... La política aduanera de los Estados Unidos se otorga permiso y responsabilidad para examinar todos los dispositivos entrantes (y los datos en estos dispositivos), incluidas las computadoras, los teléfonos celulares, etc.

... varios casos de funcionarios de aduanas que colocan software de monitoreo / seguimiento en computadoras en tránsito

... Finalmente, no olvide el valor de los volúmenes ocultos de Truecrypt. La negación plausible es útil cuando se trata con gobiernos.

Y sugeriría que estas no son actividades limitadas a los paranoicos, sino que deben ser seguidas por cualquier persona de negocios que viaje a los Estados Unidos. No puedo usar ningún dispositivo con datos comerciales si puedo evitarlo, y cuando sea posible, también evito tomar datos personales.

Rory Alsop
fuente
0

Quizás te interese leer este artículo. http://www.cba.org/CBa/PracticeLink/tayp/laptopborder.aspx

"Una vez en sus destinos, los empleados trabajan con los datos almacenados en los servidores de la compañía a través de una red privada virtual segura (VPN). (Las conexiones seguras son obligatorias ya que, bajo ciertas circunstancias, la ley de los EE. UU. Permite la interceptación de conexiones de correo electrónico y servidores remotos). Empleados puede descargar archivos a sus computadoras, subir los resultados de su trabajo a los servidores de la compañía y "limpiar forensemente" sus computadoras antes de viajar nuevamente ".

jingyang
fuente
Teniendo en cuenta los recientes acontecimientos relacionados con las operaciones de la NSA y otras agencias de EE. UU., La declaración "la ley de EE. UU. Permite la interceptación de correo electrónico y conexiones remotas de servidores" es al menos discutible.
Simon