Slik beskytter du dine private data ved oss-grensen

27. januar undertegnet president Donald Trump en utøvende ordre som umiddelbart endret USAs innvandrings- og reisepolitikk da de hadde tilknytning til syv majoritetsmuslimske land. Endringen utløste protester som berørte teknologibransjen, såpass at over 100 selskaper til slutt medunderskrev et dokument som gjorde motsetter seg ordren.

En revidert versjon av ordren, beregnet på å være i sterkere lovlig stand enn den første, ble signert 6. mars og skulle etter planen tre i kraft 16. mars, men også den ble stoppet av domstolene.

Midt i historiene om visuminnehavere, grøntkortbærere og til og med amerikanske statsborgere som ble varetektsfengslet ved USAs grense, ble det også rapportert om at noen menneskers telefoner ble ransaket av agenter for tollvesen og grenser. I noen tilfeller ser det ut til at CBP tvang individer til å låse opp telefonene sine som del av et søk.

Ta deg tid til å vurdere smarttelefonen din. I det er alle tekstmeldingene og bildene dine. Kontaktlisten din og anropsloggen viser hvem du har kommunisert med - en kritisk del av informasjonen i terrorundersøkelser.

Tenk også på alle appene på telefonen som ikke krever ekstra godkjenning. Når telefonen din er åpen, kan hvem som helst bla gjennom hele Facebook-profilen din, lese alle meldingene dine på krypterte meldingstjenester som WhatsApp eller Signal. Å ha umiddelbar, fysisk tilgang til en enhet - til og med en låst enhet - er en stor sikkerhetsrisiko.

Nathan Wessler, en advokatfullmektig ved ACLU-tale- og teknologiprosjektet, sa at CBP-agenter har to taktikker når de utfører søk på digitale enheter. (Merk at forfatteren er en ACLU-giver.)

"I noen tilfeller vil de gjøre et flyktig søk og stå der og tommel gjennom eller klikke gjennom enheten for å se om de kan se gjennom e-postmeldinger, bilder og kontakter, bare se etter noe mistenkelig, " sa han. "Så er det de virkelige rettsmedisinske søkene, der de laster ned innholdet på enheten til sitt eget datasystem og kjører rettsmedisinske søkealgoritmer på tvers av det, noe som kan avsløre alle dataene, inkludert slettede filer som ennå ikke er overskrevet og metadata at eieren ikke en gang visste at var der."

Med tanke på hva som står på spill, kan det hende reisende ikke ønsker å bare overlate enhetene sine til rettshåndhevelsesagenter som skal søkes. Men Wessler fortalte meg at rettspraksis for akkurat denne saken er uutviklet og uklar.

"CBP hevder myndigheten til å søke noens elektroniske enhet ved grensen når som helst de vil, uansett grunn eller ingen grunn i det hele tatt, og en person har ikke noen reelle, praktiske alternativer for å forhindre at en grenseagent tar beslag på telefonen din, " sa han sa.

Det er ingen måte, forklarte han, å forhindre at en CBP-agent tar bagasjen av et transportbånd på flyplassen. Byrået har tross alt en klar rett til å søke i bagasjen og reisende. Det er slik lovhåndhevelse fungerer. "Tilsvarende er det ingen god måte å forhindre dem i å ta telefonen ut av vesken eller ut av hånden, " ifølge Wessler.

Amerikanske borgere ved grensen

Å ha enheten i hånden betyr selvfølgelig ikke at det lett kan søkes, noe som antagelig er grunnen til at CBP-agenter tvinger enkeltpersoner til å låse opp disse enhetene. Wessler sa at for amerikanske statsborgere, som ikke kan nektes reinngang til USA, har færre risikoer å nekte å låse opp telefonene sine. Men det vil nesten helt sikkert få konsekvenser.

"Vi tror ikke kan lovlig tvinges til å snu passordene sine, men hver person må ta sin egen praktiske avgjørelse, " sa Wessler. "Det er mulig at grenseagenter vil ta tak i mobiltelefonen din, og du vil ikke få den tilbake på flere uker eller måneder mens de sender den til et annet anlegg for en sensor som skal prøve å bryte seg inn i den.

"Vi har hørt fra folk som har prøvd å nekte å snu passordene sine, og CBP-agenter ga dem det som ble presentert som et valg - selv om det er ganske tvang: Enten gir du oss passordet, eller så vil du ikke se telefonen din i en måned mens vi prøver å få tilgang til disse dataene selv."

Jeg presset Wessler på dette punktet om CBP eller andre byråer innen etterretning eller rettshåndhevelse faktisk jobbet for å bryte inn borgerens telefoner. "Vi har ingen informasjon om hvor ofte eller om de noen gang lykkes med å knekke passordene. Men når de tar tak i en telefon, er det ganske tydelig hva de har tenkt å gjøre, " sa han. Jeg nådde CBP for kommentar, men hørte ikke tilbake i tid for publisering.

Green Card og Visa Carriers, Alle andre

Å være statsborger ved USAs grense betyr at CBP og annen rettshåndhevelse ikke bare kan sende deg tilbake til landet du kom fra. Du kan i verste fall havne i CBP eller politiets varetekt, men selv da forblir du på USAs jord og innenfor rammen av det amerikanske rettssystemet.

Det er ikke tilfelle for ikke-borgere, som ganske enkelt kan nektes innreise til USA og settes tilbake på et fly. Dette skaper et enormt incentiv for ikke-borgere til å samarbeide fullt ut med CBP og andre grenseagenter.

- Grønne kortholdere har en mye sterkere rett til å reise inn igjen i landet etter en kort utenlandsreise, mens visuminnehavere kan være mer utsatt, sier Wessler. "Folk i den situasjonen bør vurdere å snakke med en innvandringsadvokat før turen, så de har et godt tak på hva risikoen er."

Biometriske eller passord?

Apple og andre smarttelefonprodusenter inkluderer nå et biometrisk alternativ for å låse opp telefoner. Dette ble for det meste gjort som et middel for raskere autentisering, men også for å oppmuntre folk til å låse telefonene sine. Smarttelefonbrukere hadde motstått å låse enhetene sine med en passord i årevis, men den raske og enkle handlingen ved å bruke biometriske autentisatorer er veldig fristende.

Når det er sagt, er det mange argumenter mot å bruke biometri alene som et autentiseringsmiddel. Forskere har vist at Apples Touch ID kan lure med dumme. Og sikkerhetseksperter har kritisert overtillit til biometri, fordi kroppens unike fysiske egenskaper ikke kan endres slik vi endrer passord. Hvis biometriske data er kompromittert, er de uopprettelige.

Biometri kan også være et juridisk ansvar ved grensen. Wessler sa at det foreløpig ikke er noen rettspraksis om rettshåndhevelse som krever biometrisk informasjon ved grenseovergangene. Men det er mer etablert presedens for å tvinge enkeltpersoner til å bli fingeravtrykt i hjemlige politisammenhenger enn for bare å overlevere passord. Det kan bety at CBP og rettshåndhevelse kan være på en sterkere juridisk fot når de prøver å tvinge reisende til å låse opp enheter biometrisk enn ved å tvinge dem til å utlevere passord. Dessverre forklarte Wessler at det ikke er klart hvordan dette ville oversette til konteksten av et grenseovergang.

Med det i bakhodet anbefaler Wessler å slå av biometrisk beskyttelse ved grensen og i stedet bare stole på en passord. Du kan selvfølgelig alltid aktivere telefonens biometriske evner igjen når du har fjernet tollkontrollen.

Risikoen for avslag

Juridiske spørsmål til side, det er også problemet med om telefoner og andre digitale enheter er sikre nok til å tåle fokusert gransking. Generelt er regelen at hvis en angriper - eller etterforsker - fysisk kan få tilgang til enheten, vil den til slutt bli sprukket.

Når det gjelder smarttelefoner, er mange av risikoen avhengig av hva slags telefon du eier. "Noen telefoner er veldig sikre rett utenfor boksen fordi de har forhåndsinnstilte sikkerhetsfunksjoner. Eieren trenger ikke å gjøre noe for å få robust sikkerhet. Andre telefoner krever at eieren setter sikkerhetsstandardene, " sier Leo Taddeo, Chief Security Offiser for Cryptzone og tidligere spesialagent med ansvar for Cyber ​​og spesialoppgaver for FBI.

Vi vet fra den nylige dumpen av CIA-dokumenter fra WikiLeaks at amerikanske etterretningsbyråer aktivt jobber for å få tilgang til forbruker smarttelefoner. Sårbarhetene som er beskrevet i disse dokumentene som påvirker Android-telefoner ser imidlertid ut til å være ganske gamle, og Apple sier at problemene allerede er adressert.

"Uansett hva innstillingene er, om telefonen din (eller nettbrettet eller den bærbare datamaskinen) er åpen og kjører når myndighetene griper den, vil de ha omtrent full tilgang til hva som helst på den, " sa Taddeo. Dette har vært et problem i andre tilfeller også. Da rettshåndhevelsen flyttet for å arrestere Silk Road-mastermind Ross Ulbricht, var de sikre på å sikre den bærbare datamaskinen hans før han kunne slå den av. Det kan være mye vanskeligere å hente informasjonen fra en passordlåst datamaskin enn å bare forhindre at den låser seg i utgangspunktet.

Etter å ha hørt Wesslers advarsler om myndighetsagenter som overførte mobiltelefoner og andre enheter med den hensikt å sprekke beskyttelsen og høste brukerdata, spurte jeg Taddeo hva (hvis noen) evner lovhåndhevelse har til disposisjon.

"Som vi har sett i nylige tilfeller, som terrorangrepet i 2015 i San Bernardino, har rettshåndhevingsbyråer som FBI tilgang til svært sofistikerte teknikker for å få tilgang, undersøke og trekke ut bevis fra beslaglagte telefoner, " sa han.

I så fall hevdet FBI at den ikke kunne få tilgang til data på en låst enhet uten hjelp fra Apple. Til slutt sa FBI at den var i stand til å få tilgang til informasjonen ved hjelp av en ekstern entreprenør.

En viktig faktor for om rettshåndhevelse vil kunne få tilgang til data på telefonen har mindre å gjøre med teknologi og mer å gjøre med penger: Taddeo forklarte at ikke alle byråer eller politidistrikter har et budsjett stort nok for sofistikerte data-rettsmedisinske. FBI og New York Police Department er eksempler på organisasjoner som har tilgang til ekspertisen og teknologien for potensielt å omgå sikkerhetstiltak og hente informasjon fra låste enheter.

"Mange mindre avdelinger vet imidlertid hvor de kan finne den nødvendige kompetansen når bevisets betydning krever det, " sa han. "Til slutt, hvis saken er alvorlig nok, vil en statlig kriminalteknisk enhet eller et føderalt byrå bli kalt inn."

Personvern ved utelatelse

Gitt alt det, foreslår Wesler at den beste måten å sikre informasjonen din når du reiser til USA, ganske enkelt er å ta med så lite som mulig. "Det første folk trenger å tenke på er om de trenger å reise med alle enhetene sine eller ikke når de skal på internasjonal tur."

Alternativt kan du tørke telefonen før du går inn i tollen, eller beholde en egen telefon bare for reiser. Dette kan være gode alternativer, siden skybaserte tjenester som Google Drive og Google Photos kan kobles til og kobles fra enheter etter behov. Merk imidlertid at veldig avansert digital rettsmedisin kan være i stand til å hente informasjon som er blitt slettet fra enheter, men som ennå ikke er overskrevet.

Taddeo foreslo å bruke ekstra sikkerhetstiltak på toppen av de som er tilgjengelige på din telefon eller datamaskin. "Dette kan inkludere et andre lag med kryptering og krever separat multifaktor-godkjenning for filer og applikasjoner du må holde deg trygg, " sa han.

Mens folk kan være uenige om Trump-administrasjonens politikk, er det ubestridelig at atmosfæren ved USAs grense har endret seg. Den nye virkeligheten er merkelig for alle som har tenkt på dette landet som en bastion for personlig privatliv. "Vi kommer dessverre til et sted der folk må ta noen av de samme valgene som reisende til Kina og Russland har måttet ta i noen år nå, " sa Wessler.