Quali sono le precauzioni di sicurezza prudenti da prendere per i viaggi di lavoro da parte di persone con accesso a informazioni sensibili?

Naviga le tue risposte
18

Il New York Times aveva un articolo in prima pagina oggi: Viaggia leggero in un tempo di Thievery digitale , ovvero" Sicurezza elettronica a cui preoccuparsi in un'epoca di spionaggio digitale " .

L'ex direttore dell'intelligence nazionale statunitense, Mike McConnell, è citato come dicendo

“In looking at computer systems of consequence — in government, Congress, at the Department of Defense, aerospace, companies with valuable trade secrets — we’ve not examined one yet that has not been infected by an advanced persistent threat.”

Rileva che molte organizzazioni di alto profilo richiedono ai loro dipendenti di prendere precauzioni approfondite quando viaggiano in Cina, Russia e altri paesi che sono stati implicati in attacchi avanzati. Ciò include, ad esempio:

  • viaggiare con "dispositivi di prestito" che vengono cancellati prima e dopo il viaggio, piuttosto che i propri telefoni cellulari o laptop
  • disattivazione di Bluetooth e Wi-Fi
  • non digitare mai una password
  • e, nelle riunioni, non solo spegnere i dispositivi, ma rimuovere le batterie "per timore che il microfono possa essere acceso in remoto"

Sembra che l'uso della crittografia potrebbe essere problematico:

Both China and Russia prohibit travelers from entering the country with encrypted devices unless they have government permission.

e osserva anche che

When officials from those countries visit the United States, they take extra precautions to prevent the hacking of their portable devices, according to security experts.

Queste precauzioni hanno senso per le persone che hanno accesso a informazioni che considerano altamente sensibili? (Anche per quanto riguarda la rimozione delle batterie?) Cos'altro potrebbe fare la gente?

Quali paesi hanno questo tipo di capacità?

Naturalmente so che le buone risposte richiedono un'analisi più attenta dei requisiti di sicurezza del viaggiatore, dei piani durante i viaggi, ecc. ecc. Ma un elenco di precauzioni da prendere in considerazione sarebbe comunque utile.

    
posta nealmcb 12.02.2012 - 01:31
fonte

2 risposte

11

Per quanto riguarda le precauzioni di viaggio, il FEP ha questi consigli per viaggiare negli Stati Uniti:

  • Trasportare il minor numero di dati possibile sul bordo.
  • Conserva un backup dei tuoi dati altrove.
  • Cripta i dati sul dispositivo.
  • Memorizza le informazioni necessarie altrove, quindi scaricala quando raggiungi la destinazione.
  • Proteggi i dati sui tuoi dispositivi con password.

Ciò è dovuto alla politica doganale statunitense, spesso discussa, che si concede il permesso e la responsabilità di esaminare tutti i dispositivi in arrivo (e dati su questi dispositivi), inclusi computer, telefoni cellulari, ecc. Ma non è irragionevole presumere che la maggior parte degli altri -i paesi produttori seguiranno procedure simili. Il Canada, per esempio, ha una storia documentata di ricerca dei dispositivi in arrivo appositamente per la pornografia.

Ma la minaccia non è limitata ai governi che esaminano i dati sui tuoi dispositivi. Ci sono stati un certo numero di casi di funzionari di collocamento di software di monitoraggio / monitoraggio di dogana su computer in transito, come questo esempio del governo tedesco: I governi tedeschi ammettono che lo spyware era loro

Ancora una volta, è ragionevole presumere che la pratica sia più diffusa di quanto sia stato finora scoperto.

E con questo background, passiamo ai telefoni cellulari. Ricorda questo caso dove un giudice ha pubblicato una dichiarazione che la pratica consolidata dell'FBI di attivare a distanza i microfoni dei cellulari per monitorare le conversazioni era davvero legale. Un paragrafo importante dell'articolo:

Kaplan's opinion said that the eavesdropping technique "functioned whether the phone was powered on or off." Some handsets can't be fully powered down without removing the battery.

Pertanto, se non vuoi intercettazioni, rimuovi le batterie da tutti i telefoni cellulari nelle vicinanze. Ciò vale non solo per i telefoni che hanno transitato una frontiera doganale, ma anche per tutti i telefoni che hanno operato all'interno di un paese potenzialmente snoopy (che comprende praticamente tutti) in quanto il software di monitoraggio remoto può essere installato in modo nascosto sulla rete cellulare. p>

Infine, non dimenticare il valore dei volumi nascosti TrueCrypt. La negazione plausibile è utile quando si ha a che fare con i governi. Funziona ancora meglio con i file multimediali che ti aspetteresti siano formattati con FAT, come i supporti flash. In realtà, non sarebbe una cattiva idea mettere il tuo sistema operativo REALE sulla partizione nascosta della scheda di memoria della tua fotocamera (mettere una dozzina di foto noiose sulla parte visibile della scheda per una buona misura). Quindi sul disco fisso reale del computer, installa semplicemente una nuova installazione del sistema operativo che non utilizzi mai comunque.

    
risposta data 12.02.2012 - 17:24
fonte
7

Posso confermare che la rimozione delle batterie prima delle riunioni è veramente eseguita in alcune organizzazioni. È almeno parzialmente sensato, in quanto la gestione della batteria potrebbe essere gestita da una CPU molto piccola dedicata che non può essere disattivata altrimenti: ho un vecchio laptop Mac - un iBook G4 - dove tale unità dedicata è chiamata PMU ( Unità di gestione alimentazione ). Stranamente, la PMU gestisce anche altre periferiche come il trackpad e, su alcuni sistemi, è collegata alla tastiera. Se tali cose accadono su un vecchio laptop, è concepibile che i nuovi smartphone incorporino anche unità di elaborazione così piccole che non possono essere spente.

Inoltre, quando è stato venduto il primo iPhone, ci sono state alcune storie sulle persone che le hanno portate all'estero e hanno ricevuto bollette enormi a causa dei prezzi di roaming. Si è scoperto che l'iPhone controllava regolarmente le nuove e-mail, anche se "disattivate" . Apparentemente non c'era modo di "spegnere" un iPhone senza aprire la custodia.

Quindi, mentre la raccomandazione di rimuovere la batteria sembra paranoica, c'è una logica dietro di essa. Personalmente, preferirei che tutti i partecipanti alla riunione mettessero i loro telefoni cellulari in una scatola immagazzinata fuori dalla stanza; questo sembra più semplice e persino più sicuro.

    
risposta data 12.02.2012 - 16:42
fonte

Leggi altre domande sui tag

Double Submit Cookies vulnerabilità Creazione di sessioni PHP sicure