Sådan beskyttes dine private data ved us-grænsen

Den 27. januar underskrev præsident Donald Trump en udøvende ordre, der straks ændrede den amerikanske immigrations- og rejsepolitik, da de vedrørte syv majoritetsmuslimske lande. Ændringen udløste protester, der berørte teknologibranchen, så meget, at over 100 virksomheder til sidst medunderskrev et dokument, der modsatte sig ordren.

En revideret version af kendelsen, der var beregnet til at have en mere lovlig status end den første, blev underskrevet den 6. marts og skulle efter planen træde i kraft den 16. marts, men også den blev stoppet af domstolene.

Midt i historier om visumindehavere, green card-transportører og endda amerikanske statsborgere, der blev tilbageholdt ved den amerikanske grænse, blev der også rapporter om, at nogle folks telefoner blev søgt af told- og grænsebeskyttelsesagenter (CBP) agenter. I nogle tilfælde ser det ud til, at CBP tvang individer til at låse deres telefoner op som en del af en søgning.

Tag et øjeblik til at overveje din smartphone. I det er alle dine tekstbeskeder og fotos. Din kontaktliste og opkaldslog viser, hvem du har kommunikeret med - et kritisk stykke information i terrorbekæmpelsesundersøgelser.

Overvej også alle de apps på din telefon, der ikke kræver yderligere godkendelse. Når din telefon er åben, kan enhver gennemse hele din Facebook-profil og læse alle dine beskeder på krypterede meddelelsestjenester som WhatsApp eller Signal. At have øjeblikkelig, fysisk adgang til en enhed - endda en låst en - er en stor sikkerhedsrisiko.

Nathan Wessler, en medarbejderadvokat med ACLUs tale-privatliv og teknologi-projekt, sagde CBP-agenter har to taktikker, når de udfører søgninger på digitale enheder. (Bemærk, at forfatteren er en ACLU-donor.)

"Under nogle omstændigheder vil de foretage en kortvarig søgning og stå der og tommelfinger igennem eller klikke gennem enheden for at se, om de måske kigger gennem e-mails og billeder og kontakter, og bare leder efter noget mistænkeligt, " sagde han. "Så er der de rigtige retsmedicinske søgninger, hvor de downloader enhedens indhold til deres eget computersystem og kører forensiske søgealgoritmer på tværs af det, hvilket kan afsløre alle data, inklusive slettede filer, der endnu ikke er overskrevet og metadata at ejeren ikke engang vidste var der."

I betragtning af hvad der står på spil kan rejsende muligvis ikke blot overlevere deres enheder til de retshåndhævende agenter, der skal søges. Men Wessler fortalte mig, at retspraksis for denne særlige sag er uudviklet og uklar.

"CBP hævder myndigheden til at søge noens elektroniske enhed ved grænsen, når som helst de vil, uanset af hvilken som helst grund eller ingen grund, og en person har ikke nogen reelle, praktiske muligheder for at forhindre, at en grænseagent griber fat i din telefon, " siger han sagde.

Der er ingen måde, forklarede han, til at forhindre en CBP-agent i at tage din taske af et transportbånd i lufthavnen. Agenturet har trods alt en klar ret til at søge bagage og rejsende. Sådan fungerer retshåndhævelse. "Tilsvarende er der ingen god måde at forhindre dem i at tage din telefon ud af din taske eller ud af din hånd, " ifølge Wessler.

Amerikanske borgere ved grænsen

At have enheden i hånden betyder naturligvis ikke, at det let kan søges, hvilket sandsynligvis er grunden til, at CBP-agenter tvinger individer til at låse disse enheder op. Wessler sagde, at for amerikanske borgere, som ikke kan nægtes genindrejse til USA, har færre risici at nægte at låse deres telefoner op. Men der vil næsten helt sikkert få konsekvenser.

"Vi tror ikke, at det lovligt kan tvinges til at vende deres adgangskoder, men enhver person skal tage sin egen praktiske beslutning, " sagde Wessler. ”Det er muligt, at grænseagenter griber fat på din mobiltelefon, og du får den ikke tilbage i uger eller måneder, mens de sender den til en anden facilitet for en eksaminator for at prøve at bryde ind i den.

"Vi har hørt fra folk, der har forsøgt at nægte at vende deres adgangskoder, og CBP-agenter gav dem, hvad der blev præsenteret som et valg - selvom det er ganske tvang: Enten giver du os adgangskoden, eller så ser du ikke din telefon i en måned, mens vi selv prøver at få adgang til disse data."

Jeg pressede Wessler på dette punkt om, hvorvidt CBP eller andre agenturer inden for efterretning eller retshåndhævelse faktisk arbejdede for at bryde ind i borgerens telefoner. "Vi har ingen oplysninger om, hvor ofte, eller om de nogensinde har succes med at knække adgangskoder. Men når de griber fat i en telefon, er det helt klart, hvad de har til hensigt at gøre, " sagde han. Jeg nåede ud til CBP for kommentar, men hørte ikke tilbage i tiden til udgivelse.

Grønt kort- og visumfartsselskaber, alle andre

At være statsborger ved den amerikanske grænse betyder, at CBP og anden retshåndhævelse ikke blot kan sende dig tilbage til det land, du kom fra. Du kan i værste fald ende i CBP eller politiets varetægtsfængsel, men selv da forbliver du på USA's jord og inden for det amerikanske retssystem.

Det er ikke tilfældet for ikke-borgere, der simpelthen kunne nægtes adgang til USA og sat tilbage på et fly. Dette skaber et enormt incitament for ikke-borgere til at samarbejde fuldt ud med CBP og andre grænseagenter.

”Grønne kortholdere har en meget stærkere ret til at komme ind igen i landet efter en kort udlandsrejse, mens visumindehavere muligvis er mere sårbare, ” sagde Wessler. "Folk i denne situation bør overveje at tale med en indvandringsadvokat inden deres rejse, så de har et godt greb om, hvad deres risici er."

Biometriske eller adgangskoder?

Apple og andre smartphone-producenter inkluderer nu en biometrisk mulighed for at låse op for telefoner. Dette blev for det meste gjort som et middel til hurtigere godkendelse, men også for at opmuntre folk til at låse deres telefoner. Smartphone-brugere havde modstået at låse deres enheder med en adgangskode i årevis, men den hurtige og enkle handling ved at bruge biometriske autentificatorer er meget fristende.

Når det er sagt, er der adskillige argumenter imod at bruge biometri alene som et middel til godkendelse. Forskere har vist, at Apples Touch ID kan narre med dumme. Og sikkerhedseksperter har kritiseret overtro til biometri, fordi vores krops unikke fysiske egenskaber ikke kan ændres på den måde, vi ændrer adgangskoder. Hvis biometriske data kompromitteres, er de uforenelige.

Biometri kan også være et juridisk ansvar ved grænsen. Wessler sagde, at der i øjeblikket ikke er nogen retspraksis om retshåndhævelse, der kræver biometrisk information ved grænseovergange. Men der findes en mere etableret præcedens for at tvinge enkeltpersoner til at blive fingeraftrykt i indenlandske politimæssige sammenhænge end for blot at udlevere adgangskoder. Det kan betyde, at CBP og retshåndhævelse muligvis er på et fast lovligt grundlag i forsøget på at tvinge rejsende til at låse op enheder biometrisk end ved at tvinge dem til at udlevere adgangskoder. Desværre forklarede Wessler, at det ikke er klart, hvordan dette ville oversætte til konteksten af ​​en grænseovergang.

Med det for øje anbefaler Wessler at slukke for biometrisk beskyttelse ved grænsen og i stedet kun stole på en adgangskode. Du kan naturligvis altid genaktivere din telefons biometriske evner, når du har fjernet toldkontrol.

Risikoen for afslag

Bortset fra juridiske spørgsmål er der også problemet med, om telefoner og andre digitale enheder er sikre nok til at modstå fokuseret kontrol. Generelt er reglen, at hvis en hacker - eller efterforsker - fysisk kan få adgang til enheden, vil den i sidste ende blive brudt.

I tilfælde af smartphones afhænger mange af risiciene af, hvilken slags telefon du ejer. "Nogle telefoner er meget sikre lige uden for kassen, fordi de har forudindstillede sikkerhedsfunktioner. Ejeren behøver ikke at gøre noget for at få robust sikkerhed. Andre telefoner kræver, at ejeren indstiller sikkerhedsstandarder, " sagde Leo Taddeo, Chief Security Officer for Cryptzone og tidligere Special Agent med ansvar for Cyber ​​og Special Ops for FBI.

Vi ved fra den nylige dump af CIA-dokumenter fra WikiLeaks, at amerikanske efterretningsbureauer aktivt arbejder for at få adgang til forbrugersmartphones. Sårbarhederne, der er beskrevet i disse dokumenter, der påvirker Android-telefoner ser ud til at være ganske gamle, og Apple siger, at dets problemer allerede er blevet løst.

"Uanset hvilke indstillinger der er, hvis din telefon (eller tablet eller bærbar computer) er åben og kører, når myndighederne griber den, vil de næsten have fuld adgang til alt, hvad der er på den, " sagde Taddeo. Dette har også været et problem i andre tilfælde. Da retshåndhævelsen flyttede for at arrestere Silk Road-mastermind Ross Ulbricht, var de sikker på at sikre hans bærbare computer, før han kunne lukke den. Det er meget vanskeligere at hente oplysningerne fra en adgangskodelåst computer end blot at forhindre, at de låses i første omgang.

Efter at have hørt Wesslers advarsler om regeringsagenter, der beslaglægger mobiltelefoner og andre enheder med det formål at revne deres beskyttelse og høste brugerdata, spurgte jeg Taddeo, hvad (hvis nogen) evner, retshåndhævelse har til rådighed.

"Som vi har set i de seneste sager, såsom terrorangrebet i 2015 i San Bernardino, har retshåndhævende agenturer som FBI adgang til meget sofistikerede teknikker til at få adgang, undersøge og udtrække beviser fra beslaglagte telefoner, " sagde han.

I dette tilfælde hævdede FBI, at det ikke var i stand til at få adgang til data på en låst enhed uden hjælp fra Apple. I sidste ende sagde FBI, at det var i stand til at få adgang til oplysningerne ved hjælp af en ekstern entreprenør.

En vigtig faktor med hensyn til, om retshåndhævelse vil være i stand til at få adgang til data på din telefon, har mindre at gøre med teknologi og mere at gøre med penge: Taddeo forklarede, at ikke ethvert agentur eller en politikontor har et budget, der er stort nok til sofistikerede dataforretik. FBI og New York Police Department er eksempler på organisationer, der har adgang til ekspertisen og teknologien til potentielt at omgå sikkerhedsforanstaltninger og hente information fra låste enheder.

”Mange mindre afdelinger ved imidlertid, hvor man kan finde den krævede ekspertise, når bevisets betydning kræver det, ” sagde han. "I sidste ende, hvis sagen er alvorlig nok, vil en statspolitisk retsmedicinsk enhed eller et føderalt agentur blive indkaldt."

Privatliv ved udeladelse

I betragtning af alt dette foreslår Wesler, at den bedste måde at sikre dine oplysninger på, når du rejser til USA, blot er at bringe så lidt som muligt. "Den første ting, folk skal tænke på, er, om de har brug for at rejse med alle deres enheder, når de tager en international tur."

Alternativt kan du tørre din telefon, før du går ind i tolden, eller opbevare en separat telefon bare til rejser. Dette kan være gode muligheder, da skybaserede tjenester som Google Drev og Google Fotos kan forbindes og frakobles enheder efter behov. Bemærk dog, at meget avanceret digital forensik muligvis kan hente oplysninger, der er blevet slettet fra enheder, men som endnu ikke er overskrevet.

Taddeo foreslog at bruge yderligere sikkerhedsforanstaltninger oven på dem, der er tilgængelige på din telefon eller computer. "Dette kan omfatte et andet lag kryptering og kræve separat multifaktor-godkendelse til filer og applikationer, som du skal beskytte, " sagde han.

Mens folk kan være uenige om Trump-administrationens politikker, er det ubestrideligt, at atmosfæren ved den amerikanske grænse har ændret sig. Den nye virkelighed er underlig for enhver, der har tænkt på dette land som en bastion for privatlivets fred. ”Vi kommer desværre til et sted, hvor folk er nødt til at tage nogle af de samme valg, som rejsende til Kina og Rusland har været nødt til at tage i nogle år nu, ” sagde Wessler.