Nowości w branży bezpieczeństwa

Jak chronić dane podczas zagranicznych podróży

Seth Rosenblatt, Editor, The Parallax, 27 lutego 2017

Po wdrożeniu bezprecedensowego dekretu prezydenta Donalda Trumpa w styczniu 2017 roku, wszyscy odwiedzający USA zostali poddani niezwykle dokładnym kontrolom.

Niniejszy artykuł został pierwotnie opublikowany w serwisie The Parallax”.

Kiedy 27 stycznia agenci Urzędu Celnego i Ochrony Granic rozpoczęli wdrażanie bezprecedensowego dekretu prezydenta Donalda Trumpa w sprawie imigrantów i uchodźców, nie tylko osoby odwiedzające Stany Zjednoczone zaczęły być poddawane jeszcze dokładniejszej kontroli przed wjazdem do kraju.

Zanim sędzia federalny James Robart wstrzymał wprowadzające chaos rozporządzenie prezydenta, agenci Urzędu Celnego i Ochrony Granic zdążyli odebrać zielone karty niemal 60 000 stałych rezydentów, którzy nie posiadają obywatelstwa. Natomiast obywatele Stanów Zjednoczonych, którzy wracali do kraju (chociaż nie tylko oni), byli proszeni o odblokowanie swoich telefonów, laptopów, danych w chmurze oraz kont sieci społecznościowych.

Dokładne sprawdzanie urządzeń elektronicznych podróżnych i ich aktywności w sieciach społecznościowych nie jest niczym nowym, ale nigdy nie odbywało się na taką skalę”— mówi Fred Jennings, adwokat zajmujący się prawami cyfrowymi w nowojorskiej firmie prawniczej Tor Ekeland.

Rok temu pojawiły się pewne pogłoski, że może się to stać regułą— Jennings komentuje systematyczne przeszukiwanie kont społecznościowych na lotniskach i w innych punktach kontroli granicznej. Vern Buchanan, republikański członek Izby Reprezentantów, zaproponował w 2015 roku rozwiązanie prawne legalizujące takie przeszukiwania.

Z wyników badań, które Jennings przeprowadził wśród osób objętych rozporządzeniem imigracyjnym, wynika, że agenci Urzędu Celnego i Ochrony Granic przeszukali urządzenia posiadaczy zielonych kart oraz podróżnych posiadających amerykańskie obywatelstwo, a czasami żądali także podania haseł do ich urządzeń oraz kont.

W niemal każdym przypadku urzędnicy przeszukiwali urządzenia podróżnych wspólnie lub prosili o ujawnienie haseł albo zalogowanie się na konta i pokazanie ich zawartości. To dość inwazyjna procedura  — komentuje Jennings

Mimo że czwarta poprawka do amerykańskiej konstytucji chroni obywateli amerykańskich przed „nieuzasadnionym przeszukiwaniem oraz zajęciem” bez nakazu, historia pokazuje, że w miejscach wjazdu do kraju takie procedury są uznawane za uzasadnione.

Nie ma jednego uniwersalnego rozwiązania — Adam Schwartz, starszy prawnik etatowy w organizacji Electronic Frontier Foundation

Jennings twierdzi, że zagraniczni podróżni nie mogą się skutecznie zabezpieczyć przed przeszukaniami ze strony agentów celnych ze względu na utrwaloną przez tradycję władzę państw w zakresie decydowania, kto i co może się znaleźć na ich terenie.

Cyfrowe dane podróżnych są narażone na trzy typy zagrożeń w miejscach kontroli celnej — dodaje Adam Schwartz, prawnik specjalizujący się w zagadnieniach dotyczących wolności obywatelskiej, który pracuje w grupie ds. praw cyfrowych w fundacji Electronic Frontier Foundation:

  1. przeszukiwanie lokalnej zawartości urządzeń elektronicznych, takiej jak zdjęcia i dokumenty;
  2. przeszukiwanie zawartości w chmurze dostępnej za pośrednictwem kont na urządzeniach (Dysk Google, Apple iCloud, Dropbox itp.);
  3. przeszukiwanie kont sieci społecznościowych, a także uzyskiwanie dostępu do samych kont, a nie tylko do zawartości udostępnionej publicznie.

Osoby, które podczas podróży międzynarodowych chcą zadbać o poufność informacji ze swojego życia prywatnego, mogą jednak podjąć pewne kroki w celu zminimalizowania ryzyka ujawnienia tych danych.

KROK 1. DOKŁADNE PRZYJRZENIE SIĘ SOBIE

Przede wszystkim rozważ swój status imigracyjny, swoją odporność na skrupulatne przeszukiwanie na granicy, zastanów się, jakie informacje o Tobie może chcieć uzyskać rząd danego kraju, oraz jak dokładnie chcesz się przygotować do tej podróży.

Nie ma jednego uniwersalnego rozwiązania. Istnieje lista czynników oceny ryzyka oraz wykaz czynności, które można wykonać, aby zapewnić sobie ochronę — mówi Schwartz

Organizacja EFF informuje w swoim przewodniku dla posiadaczy urządzeń elektronicznych, którzy przechodzą odprawę celnąże każdy podróżny powinien mieć świadomość, że urządzenie może zostać przeszukane. Dotyczy to także biznesmenów, lekarzy, prawników, dziennikarzy i innych osób, które obowiązuje tajemnica zawodowa, a także osób prywatnych przechowujących na urządzeniach dokumenty natury medycznej lub prawnej oraz innych osób, które pragną zachować prywatność danych cyfrowych podczas podróży zagranicznych.

Organizacja American Civil Liberties Union radzi podróżnym objętym przeszukiwaniem urządzeń i kont, aby zapisali „imię i nazwisko, numer odznaki oraz nazwę agencji, w której pracuje osoba wykonująca przeszukanie”, a następnie złożyli skargę na tę agencję.

KROK 2. MYL TROPY

Może sądzisz, że Twoja osoba nie interesuje agentów celnych, ale moment, w którym możesz drastycznie zmienić zdanie, nie nadchodzi podczas próby wjazdu do kraju — mówi Quinn Norton, adwokat zajmująca się bezpieczeństwem cyfrowym, a jednocześnie dziennikarka, która pisała o ruchu Occupy i grupie hakerów Anonymous, a także była w związku z Aaronem Swartzem.

Podejście promowane przez Norton nie należy do konwencjonalnych.

Paranoja jest zaraźliwa. Nie próbuj ukrywać swoich danych. Im głębiej starasz się je schować, tym mocniej sygnalizujesz, że coś jest na rzeczy — mówi dziennikarka. 

Norton sugeruje, aby zamiast tego mylić tropy, tworząc wiele nic nie znaczących zapisów elektronicznych w celu odwrócenia uwagi od danych, które mają być chronione. Podczas zakupów online Norton często podaje dowcipne fałszywe adresy domowe, takie jak stadion baseballowy Wrigley w Chicago. Kilka lat temu, wracając z podróży służbowej na Ukrainę, Norton miała przy sobie laptop, który zaczął dziwnie działać — możliwe, że na skutek ataku hakera. Norton nie pozbyła się urządzenia — oddała je swojej nastoletniej córce, ostrzegając, że laptop prawdopodobnie jest szpiegowany. Laptop ten stał się domyślnym urządzeniem używanym w całej rodzinie do szukania wszystkiego, co ma związek z My Little Pony.

Mylenie tropów w celu odwrócenia uwagi od określonych danych i kontaktów to cały sposób myślenia, a nie konkretna technika — przestrzega Norton.

Oswój się z nawykiem posiadania kilku telefonów. Wysyłaj też telefony na spacer, pożyczając je znajomym, aby je ponosili przez kilka godzin, lub umieszczając w przechowalni rzeczy znalezionych. Jeśli nie musisz faktycznie podawać swojego adresu fizycznego, polecam podanie mojej miejscówki na stadionie Wrigley. Zawsze zadawaj sobie pytanie: Jak widzą mnie sieci?— radzi Norton. „

KROK 3. TYMCZASOWE ZASTĄPIENIE KONT DOMYŚLNYCH KONTAMI PODRÓŻNYMI

Kolejną strategią polecaną przez Norton jest tymczasowe usunięcie na telefonie i laptopie kont, które zawierają poufne informacje. Utwórz nowe konto i dodaj do niego tylko informacje niezbędne podczas podróży. Kiedy dotrzesz do celu, możesz dodać swoje konta domyślne.

Nowy sekretarz bezpieczeństwa krajowego USA, John Kelly, oświadczył w Kongresie, że Stany Zjednoczone rozważają możliwość wprowadzenia wymogu podawania przez wszystkie osoby odwiedzające USA haseł do kont sieci społecznościowych, co jest sprzeczne z zaleceniami dotyczącymi zabezpieczeń w serwisach GoogleFacebookTwitterLinkedInSnap (dawniej Snapchat) i wielu innych.

Dziennikarka Laurie Penny twierdzi, że jej dane cyfrowe stanowią łakomy kąsek na niejednej granicy, ponieważ zawodowo zajmuje się kwestiami dotyczącymi feminizmu i zagadnieniami kulturowymi.

Szczególnie poufne informacje przechowuję na papierze. Jestem dziennikarką feministyczną, więc bardzo interesuje mnie kompromat — mówi Penny 

To rosyjskie określenie oznacza kompromitujące materiały, które mogą zostać wykorzystane do szantażu.

Podróżując, zawsze trzymam pieniądze i zawartość portfela w różnych miejscach. Tak zabezpiecza się na wypadek kradzieży. Podobnie działam w przypadku granic międzynarodowych i egzekwowania prawa. Dlatego też najbardziej „interesujące” dokumenty przechowuje w różnych miejscach - dodaje Norton

Przyjmij założenie, że wszystko, co Ci zabrano, zostało sklonowane. Załóż, że te dane mają teraz współwłaściciela”. — Quinn Norton, adwokat zajmująca się bezpieczeństwem cyfrowym i dziennikarka

Dla wielu osób interesujące informacje niekoniecznie noszą znamiona nielegalnej działalności czy nawet aktywności politycznej, takiej jak udział w protestach publicznych. Osobom podejrzewanym o działalność polityczną konfiskowano urządzenia, przeszukiwano je, po czym wysyłano do organów rządowych w celu przeprowadzenia „drobiazgowej analizy kryminalistycznej”.

Tego typu sytuacje pokazują, co pracownicy Urzędu Celnego i Ochrony Granic uznają za warte bliższego zbadania.

Pewien obywatel USA pracujący dla NASA w centrum badawczym Jet Propulsion Lab w kalifornijskiej Pasadenie poinformował w tym tygodniu publicznie na Facebooku, że agenci Urzędu Celnego i Ochrony Granic tymczasowo skonfiskowali jego telefon służbowy otrzymany od rządu. Rzeczony pracownik JPL, Sidd Bikkannavar, dodał, że jego współpracownicy z JPL sprawdzają, czy agenci nie skopiowali danych z telefonu i czy na urządzeniu nie zostało zainstalowane oprogramowanie monitorujące.

Przyjmij założenie, że wszystko, co Ci zabrano, zostało sklonowane. Załóż, że te dane mają teraz współwłaściciela”— mówi Norton.

KROK 4. TWÓRZ KOPIE ZAPASOWE, UŻYWAJ SZYFROWANIA, KORZYSTAJ Z RÓŻNYCH URZĄDZEŃ

Warto pamiętać o regularnym tworzeniu kopii zapasowej zawartości komputera i smartfona na wypadek, gdyby urządzenie samoistnie wybuchło lub w wyniku innego nieszczęścia zostało uszkodzone, powodując trwałą utratę danych. Organizacja EFF zaleca także tworzenie kopii zapasowej w celu przywrócenia danych po tym, jak zostały tymczasowe usunięte z telefonu lub laptopa przed podróżą zagraniczną.

Jeśli do odtwarzania danych usuniętych z telefonu używasz kopii zapasowych w chmurze, pamiętaj, aby przywracać te dane przy użyciu połączenia szyfrowanego (np. za pośrednictwem usługi VPN). Zwróć także uwagę na ograniczenia obowiązujące w konkretnej usłudze w chmurze, ponieważ mogą one wpływać na okres przechowywania danych. Kopię zapasową danych możesz też utworzyć na dysku zewnętrznym, który zostawisz w bezpiecznym miejscu w domu.

Niektórzy sugerują nawet, aby podróżować z tanim telefonem na kartę, którego można się potem pozbyć. Jednak Adam Schwartz z organizacji EFF ostrzega, że władze mogą dość łatwo namierzyć takie urządzenie, jeśli dodasz na nim znany adres e-mail lub konto społecznościowe.

Jeśli to możliwe, lepiej zaopatrzyć się w urządzenia zapewniające szersze możliwości komunikacji, dobrze je zabezpieczyć i przechowywać w często odwiedzanych przez siebie krajach. Wówczas nie trzeba przewozić takiego urządzenia przez granicę. Natomiast urządzenia podróżne powinny mieć minimalną niezbędną pamięć, konta i łączność.

"Ile laptopów Quinn Norton ma zatem pochowanych w różnych częściach świata? „To ciekawe pytanie” — komentuje dziennikarka. „Nie znam na nie odpowiedzi ani też nie chcę ujawniać tych informacji, ale większość tego sprzętu to złom”.