Visitando gli Stati Uniti per una conferenza sulla sicurezza [duplicato]

34

Sto programmando di visitare una conferenza sulla sicurezza negli Stati Uniti e non sono sicuro su come preparare me stesso ei miei dispositivi per l'immigrazione. Quali sono le misure tecniche ragionevoli da prendere e le situazioni da aspettarsi?

A livello personale, temo che a causa del mio background e dell'intenzione di visitare una conferenza sulla sicurezza, potrei essere scelto per l'interrogatorio o addirittura negato l'ingresso se i funzionari di frontiera decidessero che " hacker "non può essere permesso. A livello tecnico, temo che mi verrà chiesto di dare accesso al mio portatile e telefono per il quale voglio prepararmi in modo appropriato. Quali sono le cose da considerare per qualcuno con uno sfondo infosec quando passa l'immigrazione degli Stati Uniti - soprattutto per quanto riguarda l'installazione tecnica?

(Non sto principalmente chiedendo pareri ma ho fondato consigli su quali misure (tecniche) sono importanti quando si recano negli Stati Uniti come qualcuno dal campo dell'infosec.)

    
posta Arminius 28.02.2017 - 18:21
fonte

8 risposte

31

Ho viaggiato in diversi paesi per tenere discorsi durante le conferenze sulla sicurezza. IMHO, l'approccio giusto non sta nel mentire, ma nel non dire più del necessario. Alla domanda sullo scopo del mio viaggio alla frontiera, sinceramente dico che sono in viaggio d'affari, andando a una conferenza IT. Nessuno mi ha mai chiesto dettagli sulla conferenza e nessuno mi ha mai chiesto se fossi un visitatore o un oratore. E se un giorno mi interrogano più profondamente, tutto ciò che ho detto è vero al 100%.

Per le misure tecniche, il post di Gruqq su Medium è corretto, la maggior parte dei consigli forniti sono cazzate e ti metteranno nei guai.

Tuttavia, abbiamo tutti cose da nascondere. Sia che si tratti di segreti commerciali dei nostri affari, di foto nude delle nostre amiche o del nostro diario personale. Il modo migliore per nascondere le cose che vuoi nascondere è, ovviamente, non averle sul dispositivo con cui viaggi. Memorizzali crittografati nel cloud o su un file server.

Allo stesso tempo, mantieni i tuoi segreti non-molto-segreti sul dispositivo. Nascondi solo ciò che davvero ha bisogno di essere nascosto. Se il tuo dispositivo è selezionato, il risultato migliore per te non è che appare vuoto o appena installato o crittografato in modo sicuro, ma sembra noioso e ordinario.

    
risposta data 01.03.2017 - 10:28
fonte
19

Ricorda che mentre è del tutto possibile che ciò accada e che il numero di incidenti sia aumentato, è ancora molto improbabile. (impatta X verosimiglianza e tutto il resto)

An unnamed CBP spokesman told The New York Times on Tuesday that such electronic searches are extremely rare: he said that 4,444 cellphones and 320 other electronic devices were inspected in 2015, or 0.0012 percent of the 383 million arrivals (presuming that all those people had one device). (source)

Ecco una guida ai meccanismi per garantire che, se venissi selezionato per un'attenzione extra, l'impatto sarà ridotto al minimo o ridotto:

  • crittografare ciò che puoi
  • usa le password, non i dati biometrici
  • avvisa un contatto fidato quando entri in dogana per controllarti se lo fai non uscire dopo un certo tempo
  • disinfettare completamente i dispositivi
  • non portare dispositivi - spediscili e scarica i dati una volta arrivati
  • nega accesso a te stesso - imposta l'autenticazione a due fattori e rimuovi l'accesso al token.
  • evita la steganografia: solleva domande che non vuoi vengano poste

link

    
risposta data 28.02.2017 - 18:50
fonte
8

I tribunali hanno deciso di avere zero protezioni sulla privacy alla frontiera. Non solo possono ispezionare la tua attrezzatura, ma possono prenderla per l'esame e persino spedirla alla NSA per decifrare la tua crittografia, se lo ritengono che valga la pena. Tutto questo è legale. Detto questo, è anche molto raro.

Ecco un ottimo articolo con molti suggerimenti: difendendo-privacy-us--guide-viaggiatori di confine-trasporto-digitali-dispositivi .

Se la tua ricerca è al 100% fino all'agente di frontiera. Hanno completa discrezione. potrebbe contribuire ad avere una lettera ufficiale sulla carta intestata della tua azienda che spiega lo scopo del tuo viaggio e l'attrezzatura che stai trasportando ( esempio ).

Se sei molto preoccupato, puoi sempre spedire il laptop in anticipo.

Un'altra opzione è quella di rimuovere il disco rigido e sostituirlo con uno pulito, e spedire il disco rigido, o rendere disponibili i file per il download una volta raggiunta la destinazione.

    
risposta data 28.02.2017 - 23:46
fonte
7

Dipende molto da quanto probabilmente pensi che stiano andando a cercarti in modo specifico.

Negare te stesso l'accesso è necessario solo se la tua esperienza è che di solito sei separato per un controllo extra. Qualsiasi drastica misura di sicurezza attirerà l'attenzione indesiderata, il che è vantaggioso solo se non si perde la discrepanza.

In caso contrario, porta il tuo hardware (presumo FDE) come normale. Se vuoi essere sicuro, esegui un'installazione non crittografata in qualche modo pulita e civile e trasferisci i tuoi file quando sei lì.

Ho sentito esperienze di viaggio da alcune decine di viaggiatori internazionali, e se le probabilità di essere perquisite sono dello 0,0012%, posso dirvi che le persone che sono "degne di nota" online (blogger / attivisti, esperti tecnici schietti) ne sperimentano alcuni aumento di ordini di grandezza in quelle quote.

Se la tua presenza online non è stata troppo apertamente critica nei confronti dei progetti del governo degli Stati Uniti, non prendi parte a attività giuridicamente discutibili e non viaggi da un paese ad alto rischio, le possibilità di essere disturbate con hardware normale sono trascurabili .

    
risposta data 01.03.2017 - 00:12
fonte
4

Questa è una domanda interessante. Non penso che viaggiare con un laptop sia un problema, visto che molte persone "normali" viaggiano con loro. Puoi viaggiare con denaro contante, e puoi usare internet quando arrivi lì, quindi sarebbe una sciocchezza come che differenza fa se hai impostato la stessa configurazione negli Stati Uniti?

La crittografia del laptop è una sorta di banalità, escluderei ogni possibilità di accusa a causa del fatto che il mio laptop è stato sequestrato e indagato. Penso che sia più semplice recuperare i dispositivi digitali sequestrati tramite le delegazioni piuttosto che dimostrare alla legislazione statunitense che non sei un rischio per la sicurezza basato sui contenuti trovati sui tuoi dispositivi.

Se hai bisogno di descrivere te stesso o il motivo del tuo viaggio in modo ufficiale, etichettati come consulente per la sicurezza piuttosto che come hacker.

    
risposta data 28.02.2017 - 22:26
fonte
3

Porta con te dispositivi monouso che non ti dispiaceranno essere custoditi da sicurezza e / o rubati.

Quando sono andato a una conferenza Cisco in Sud Africa, ho lasciato il mio Macbook Pro a casa, e ho portato con me solo un netbook da 200USD per tenermi connesso, avere un po 'di Facebook, chat, controllare la posta elettronica o lo strano sistema / skype Manutenzione. Oggigiorno le macchine da 200-300 USD sono molto più potenti ...

Ho portato con me anche il mio telefono da lavoro, tuttavia ho lasciato il mio telefono personale a casa. Non ero stato per il telefono di lavoro, che dovevo portare sempre con me, probabilmente avrei preso solo un telefono stupido da 10-20 USD.

Come per le password dei social network ... onestamente non li conosco. Sono stati generati al computer per anni e dispongono dell'autenticazione 2FA. Senza il mio telefono di casa e il mio netbook personale ...

    
risposta data 01.03.2017 - 11:05
fonte
1

Puoi creare un'immagine del tuo laptop, crittografarla e caricarla su un archivio di rete (Drop Box, Google Drive, ecc.). Porta un laptop con il disco rigido che vorresti arrendere per le ricerche. Il sistema installato può essere installato su sistema operativo pulito o per ridurre i sospetti - con alcuni dati su di esso. Una volta in una posizione, scaricare l'immagine e sovrascrivere il disco rigido con il sistema, gli strumenti e i dati che si desidera avere per le esigenze della conferenza.

Invece di caricare nell'archivio di rete, puoi avere poche schede SD con dati di immagine crittografati. Le carte sono piccole e possono essere messe accanto alla tua macchina fotografica, per esempio. È probabile che tu non voglia portare decine, centinaia di gigabyte di dati con te.

Qualcosa di simile si applica ai dispositivi mobili.

    
risposta data 01.03.2017 - 08:12
fonte
1

Porta i tuoi dati / codice apertamente, in quanto puoi accedervi con la password, ecc. se necessario, o non portarla, come nel download dopo l'arrivo (o per niente).

Ovviamente è legale importare i dati / codice negli Stati Uniti.

Non nascondere mai qualcosa. Innanzitutto sostenendo che non ci sono dati / codici nascosti e quindi viene scoperto che effettivamente esiste, non è la soluzione da seguire.

Per quanto riguarda l'utilizzo di una password / autorizzazione a due fattori, questa verrà raggiunta solo più tardi, un semplice dispositivo chiamato telefono che può romperlo nel tempo necessario al responsabile dell'immigrazione per dire: "Oh, hai solo il codice di accesso più tardi? Ecco un telefono, per favore chiama e ricevi subito il codice di accesso! ".

    
risposta data 01.03.2017 - 15:48
fonte

Leggi altre domande sui tag