Hur du skyddar dina privata uppgifter vid us-gränsen

Den 27 januari undertecknade president Donald Trump en verkställande order som omedelbart förändrade USA: s invandrings- och resepolitik eftersom de relaterade till sju majoritetsmuslimska länder. Förändringen gav upphov till protester som rörde teknikindustrin, så mycket att över 100 företag så småningom undertecknade ett dokument som motsatte sig beställningen.

En reviderad version av beställningen, avsedd att vara i fastare laglig ställning än den första, undertecknades den 6 mars och planerades att träda i kraft den 16 mars, men den stoppades också av domstolarna.

Mitt i berättelser om visuminnehavare, gröna kortbärare och till och med USA-medborgare som arresterades vid USA: s gräns rapporterades också att vissa människors telefoner sökte av tull- och gränsskyddsagenter. I vissa fall verkar det som att CBP tvingade individer att låsa upp sina telefoner som en del av en sökning.

Ta dig en stund och fundera över din smartphone. I det finns alla dina textmeddelanden och foton. Din kontaktlista och samtalslogg visar vem du har kommunicerat med - en kritisk information i utredningar mot terrorism.

Tänk också på alla appar på din telefon som inte kräver ytterligare verifiering. När din telefon är öppen kan vem som helst bläddra i hela din Facebook-profil, läsa alla dina meddelanden på krypterade meddelandetjänster som WhatsApp eller Signal. Att ha omedelbar, fysisk tillgång till en enhet - till och med en låst enhet - är en stor säkerhetsrisk.

Nathan Wessler, en personaladvokat med ACLU-talets integritets- och teknikprojekt, sa att CBP-agenter har två taktiker när de utför sökningar på digitala enheter. (Observera att författaren är en ACLU-givare.)

"Under vissa omständigheter kommer de att göra en flyktig sökning och stå där och tumma genom eller klicka igenom enheten för att se om de kan titta igenom e-postmeddelanden och bilder och kontakter, bara leta efter något misstänkt, " sade han. "Sedan finns det verkliga kriminaltekniska sökningar, där de laddar ner enhetens innehåll till sitt eget datorsystem och kör förensiska sökalgoritmer över den, vilket kan avslöja all data, inklusive raderade filer som ännu inte har skrivits över och metadata att ägaren inte ens visste var där."

Med tanke på vad som står på spel kanske resenärer inte bara vill överlämna sina enheter till brottsbekämpande agenter som ska sökas. Men Wessler berättade för mig att rättspraxis för just den här frågan är outvecklad och oklar.

"CBP hävdar myndigheten att söka någons elektroniska enhet vid gränsen när som helst, av någon anledning eller av någon anledning alls, och en person har inga verkliga, praktiska alternativ för att förhindra att en gränsagent tar tag i din telefon, " säger han sa.

Det finns inget sätt, förklarade han, att förhindra att en CBP-agent tar bort din väska från ett transportband på flygplatsen. Byrån har trots allt en tydlig rätt att söka bagage och resenärer. Det är precis hur brottsbekämpning fungerar. "På liknande sätt finns det inget bra sätt att förhindra dem från att ta ut din telefon ur din väska eller ur din hand, " enligt Wessler.

Amerikanska medborgare vid gränsen

Att ha enheten i hand betyder naturligtvis inte att den lätt kan sökas, vilket förmodligen är anledningen till att CBP-agenter tvingar individer att låsa upp dessa enheter. Wessler sa att för amerikanska medborgare, som inte kan nekas återinträde till USA, vägrar att låsa upp sina telefoner har färre risker. Men det kommer nästan säkert att få konsekvenser.

"Vi tror inte att det är lagligt tvingat att lämna sina lösenord, men varje person måste fatta sitt eget praktiska beslut, " sade Wessler. "Det är möjligt att gränsen agenter tar tag i din mobiltelefon och du kommer inte att få tillbaka den på veckor eller månader medan de skickar den till en annan anläggning för en granskare för att försöka bryta sig in i den.

"Vi har hört från folk som har försökt vägra att lämna sina lösenord, och CBP-agenter gav dem vad som presenterades som ett val - även om det är ganska tvång: Antingen ger du oss lösenordet eller så kommer du inte att se din telefon under en månad medan vi försöker få tillgång till dessa uppgifter själva."

Jag pressade Wessler på denna punkt om CBP eller andra myndigheter inom underrättelsetjänst eller brottsbekämpning verkligen arbetade för att bryta in medborgarnas telefoner. "Vi har ingen information om hur ofta eller om de någonsin lyckas knäcka lösenorden. Men när de tar tag i en telefon är det helt klart vad de tänker göra, " sade han. Jag räckte till CBP för att kommentera, men hörde inte tillbaka i tiden för publicering.

Gröna kort och visumföretag, alla andra

Att vara medborgare vid den amerikanska gränsen innebär att CBP och annan brottsbekämpning inte bara kan skicka dig tillbaka till det land du kom från. Du kan i värsta fall hamna i CBP eller polisförvar, men även då förblir du på USA: s mark och inom ramen för det amerikanska rättssystemet.

Det är inte fallet för icke-medborgare, som helt enkelt skulle kunna vägras inresa till USA och sätta tillbaka på ett plan. Detta skapar ett enormt incitament för icke-medborgare att samarbeta fullt ut med CBP och andra gränsagenter.

"Innehavare av gröna kort har en mycket starkare rätt att återinträda landet efter en kort utlandsresa, medan visuminnehavare kan vara mer sårbara", säger Wessler. "Folk i den situationen bör överväga att prata med en invandringsadvokat före sin resa, så de har ett bra handtag om vad deras risker är."

Biometriska eller lösenord?

Apple och andra smartphone-tillverkare har nu ett biometriskt alternativ för att låsa upp telefoner. Detta gjordes främst som ett medel för snabbare autentisering men också för att uppmuntra människor att låsa sina telefoner. Smarttelefonanvändare hade motstått att låsa sina enheter med en lösenord i flera år, men den snabba och enkla handlingen med att använda biometriska autentiserare är mycket frestande.

Som sagt finns det många argument mot att använda biometri enbart som ett autentiseringsmedel. Forskare har visat att Apples Touch ID kan luras med dumma. Och säkerhetsexperter har kritiserat förtroende för biometri, eftersom våra kroppers unika fysiska egenskaper inte kan ändras på det sätt vi ändrar lösenord. Om biometriska data komprometteras är de inte blandbara.

Biometri kan också vara ett juridiskt ansvar vid gränsen. Wessler sa att det för närvarande inte finns någon rättspraxis om brottsbekämpning som kräver biometrisk information vid gränsövergångar. Men det finns mer etablerat prejudikat för att tvinga individer att fingeravtryckas i inhemska polisförhållanden än för att bara lämna över lösenord. Det kan innebära att CBP och brottsbekämpning kan vara fastare i lagstiftningen när de försöker tvinga resenärer att låsa upp enheter biometriskt än att tvinga dem att lämna ut lösenord. Tyvärr förklarade Wessler att det inte är klart hur detta skulle översätta till ett gränsöverskridande sammanhang.

Med detta i åtanke rekommenderar Wessler att stänga av biometriskt skydd vid gränsen och i stället förlita sig enbart på ett lösenord. Du kan naturligtvis alltid återaktivera telefonens biometriska kapacitet när du har tömt tullkontrollen.

Risken för vägran

Juridiska frågor åt sidan, det finns också problemet med om telefoner och andra digitala enheter är tillräckligt säkra för att möta fokuserad granskning. Generellt sett är regeln att om en angripare - eller utredare - fysiskt kan komma åt enheten kommer den så småningom att bli knäckt.

När det gäller smartphones beror många av riskerna på vilken typ av telefon du äger. "Vissa telefoner är mycket säkra direkt utanför rutan eftersom de har förinställda säkerhetsfunktioner. Ägaren behöver inte göra något för att få en robust säkerhet. Andra telefoner kräver att ägaren ställer säkerhetsstandarder, " säger Leo Taddeo, Chief Security Officier för Cryptzone och tidigare specialagent som ansvarar för Cyber ​​och Special Ops för FBI.

Vi vet från den senaste dumpningen av CIA-dokument från WikiLeaks att amerikanska underrättelsebyråer aktivt arbetar för att få tillgång till konsumenttelefoner. Sårbarheterna som beskrivs i dessa dokument som påverkar Android-telefoner verkar dock vara ganska gamla och Apple säger att problemen redan har åtgärdats.

"Oavsett vilka inställningar, om din telefon (eller surfplatta eller bärbar dator) är öppen och kör när myndigheterna tar tag i den, kommer de att ha nästan fullständig åtkomst till allt som finns på den, " sade Taddeo. Detta har också varit ett problem i andra fall. När brottsbekämpningen flyttade för att gripa Silk Road mastermind Ross Ulbricht, var de säkra på att säkra sin bärbara dator innan han kunde stänga av den. Att hämta informationen från en lösenordlåst dator skulle vara mycket svårare än att helt enkelt förhindra att den låses i första hand.

Efter att ha hört Wesslers varningar om statliga agenter som slog in mobiltelefoner och andra enheter med avsikt att spricka deras skydd och skörda användardata, frågade jag Taddeo vad (om någon) kapacitet som lagen har till sitt förfogande.

"Som vi har sett i senare fall, såsom terrorattacken 2015 i San Bernardino, har brottsbekämpande myndigheter som FBI tillgång till mycket sofistikerade tekniker för att få tillgång, undersöka och utvinna bevis från beslagtagna telefoner, " sade han.

I så fall hävdade FBI att det inte kunde komma åt data på en låst enhet utan hjälp från Apple. I slutändan sa FBI att det kunde komma åt informationen med hjälp av en extern entreprenör.

En viktig faktor för huruvida brottsbekämpning kan komma åt data på din telefon har mindre att göra med teknik och mer att göra med pengar: Taddeo förklarade att inte alla byråer eller polisområden har en budget som är tillräckligt stor för sofistikerad dataforensik. FBI och New York Police Department är exempel på organisationer som har tillgång till expertis och teknik för att potentiellt kringgå säkerhetsåtgärder och hämta information från låsta enheter.

"Många mindre avdelningar vet emellertid var de kan hitta den nödvändiga expertisen när bevisens betydelse kräver det, " sade han. "Till slut, om ärendet är tillräckligt allvarligt, kommer en statlig polis kriminalteknisk enhet eller en federal myndighet att kallas in."

Integritet genom utelämnande

Med tanke på allt detta föreslår Wesler att det bästa sättet att säkra din information när du reser till USA är helt enkelt att ta med så lite som möjligt. "Det första människor behöver tänka på är om de behöver resa med alla sina enheter när de tar en internationell resa."

Alternativt kan du torka av telefonen innan du går in i tullen eller behålla en separat telefon bara för resor. Det kan vara bra alternativ, eftersom molnbaserade tjänster som Google Drive och Google Photos kan kopplas om och kopplas bort från enheter vid behov. Observera dock att mycket avancerade digitala kriminaltekniker kanske kan hämta information som har tagits bort från enheter men ännu inte skrivit över.

Taddeo föreslog att du skulle använda ytterligare säkerhetsåtgärder ovanför de som finns tillgängliga på din telefon eller dator. "Detta kan innehålla ett andra lager av kryptering och kräva separat flerfaktor-autentisering för filer och applikationer som du måste skydda, " sade han.

Medan människor kan vara oeniga om Trump-administrationens politik, är det obestridligt att atmosfären vid USA: s gräns har förändrats. Den nya verkligheten är konstig för alla som har tänkt på detta land som en bastion för personlig integritet. "Tyvärr kommer vi till en plats där människor måste göra några av samma val som resenärer till Kina och Ryssland har varit tvungna att göra under några år nu, " sa Wessler.