web-dev-qa-db-ja.com

米国国境でのラップトップの押収に対する防止策

米国国境でのラップトップおよびその他の電子機器の差し押さえ が令状なしで合法になったため(データのコピーの作成を含む)、 ACTEの出張者の7%は、以前に差し押さえを受けたと報告しました2008年2月

機密の企業データを保護するために、IT部門はそれ以降どのような対策を講じていますか。また、それらの(総または個別の)コストの見積もりはありますか?私が見つけたのは この記事 ラップトップの差し押さえの経済的コストについてですが、数値については言及されていません。

disk-encryptioncorporate-policyprotection
104
Dan Dascalescu

[〜#〜] anssi [〜#〜] は、ITセキュリティを担当するフランスの政府機関のサービスで、 ドキュメント を発行しています。

ここに関連するのは、旅行前の準備に関するアドバイスです:

  1. 該当する会社のポリシーを確認し、
  2. 送り先の国の適用法を確認し、
  3. 旅行専用のデバイスを使用することをお勧めします(コンピューター、スマートフォン、外部ストレージなど)。ミッションに厳密に必要ではないデータ、
  4. 離れる前にすべてのデータをバックアップし、バックアップを安全な場所に保管します。
  5. 機密データを一切取得しないでください、VPNを使用することをお勧めします(または特別に設定された安全な設定)データを安全に取得するために、すべてのデータが取得後に削除されるメールボックス)(これは、国境を越えるときにコンピューターに機密データが存在しないようにするため、最も話題の多いアドバイスの1つです)、
  6. 旅行中のスクリーンサーフィンを回避するには、スクリーンフィルターを使用します。
  7. 追跡を容易にし、偶発的な交換を回避するために、コンピューターとアクセサリー(ステッカーのように、コンピューターのバッグに忘れずに貼ってください)に特徴的な標識を付けます。

リンクされたドキュメントには、残りの旅行に関するその他のアドバイスが続きますが、これは現在のトピックに関してはあまり重要ではありません。フランス語のドキュメントをソースとして提供して申し訳ありませんが、ANSSIはフランスでの信頼できるソースであり、これらのアドバイザリーが質問に適切に対処しているように見えるため、この議論に追加する価値があると感じました。

編集:

いくつかのコメントと以下のSpehro Pefhanyからの非常に有用な回答が指摘しているように、他に注意すべき点が2つあります。

  • コンピュータが押収された場合、暗号化キーとパスワードが要求された場合は、抵抗を設定しないでください法的問題につながる可能性があるため(ある種の任務で旅行していると思いますが、会議に参加したり、契約上の約束を尊重したりする手段がなかったため、任務を取り消すのはあまりにも悪いことになります。税関は十分な時間がある場合は、そうすることはできません。)ただし、会社のITスタッフとマネージャにすぐに通知してくださいしたがって、適切なアクション(対応するアクセス、パスワード、証明書などを取り消す)を実行し、差し押さえられて返されたデバイスが信頼できない可能性があるため、続行する方法を決定するために問題について話し合います(影響と軽減は直接性質に依存します)ミッションの)。
  • 税関は双方向の通路です。帰りの旅行のために荷物を準備するとき、デバイスを適切に掃除したことを確認してください(もう一度、ノートパソコンだけでなく、携帯電話、外部ストレージなどのすべてのデバイス):データを(暗号化された形式で、VPNまたは安全なワンタイムメールアカウントを使用して)会社に送信し、適切な方法でファイルをワイプします。ソフトウェア、ブラウザーの履歴/キャッシュ/ Cookieの削除、OS一時ファイルの削除、通話、メッセージとボイスメールの履歴の削除、使用中のネットワークに関する情報(Wifiアクセス、プロキシなど)の削除。

そして私がそれにいる間、旅行者への良いアドバイス:

  • USBキーやCDなどの外部メディアを提供される場合は注意してください。書き込み可能な外部メディアを使用して他のユーザーとドキュメントを交換する場合も注意してください(SDカードの書き込み保護はソフトウェアのみであるため、信頼できません)。
  • 空港のような場所でますます頻繁になっている無料の公共USB充電器に携帯電話を接続しないでください。
  • デバイスが差し押さえられているかどうかに関係なく、少なくとも徹底的なチェックを受けない限り、デバイスを会社のネットワークに接続しないでください。
  • 帰国時に、旅行中に使用したすべてのパスワードを変更します。
83
WhiteWinterWolf

国境を越えるときに情報機器を保護するための便利で実用的なガイドは、カナダ弁護士協会 here によって提供されています。私が懸念しているのは米国の国境だけだとは言いませんが、中国などの他の国も最終的に同様に攻撃的になる可能性があります(これまでのところ、その兆候はほとんどありません).

ガイドは、他の回答で作成されたポイントの多くを反映しています(不要な場合は、マシンに機密情報を一切含めないようにしてください(旅行用コンピュータを法医学的に清潔に保つことをお勧めします)。 、入手可能な場所にデータをバックアップします。これにより、デバイスが不明な期間没収された場合でも、生計に影響を与えません。

重要な点の1つは、フロンティアチェックポイントでデバイスの制御を失った場合、それ以降はデバイスをスパイウェアに感染したものとして扱う必要があることです。

スマートフォンのバックアップが必要です(必ずしも携帯している必要はありません)。スマートフォンは豊富な情報を保持できます。頻繁に旅行する人にとっては、メインの電話と同じタイプの別の携帯電話を用意し、SIMカードを電話間で転送することは価値があります。デフォルトでは、あなたの携帯電話は、過去数週間にあなたの携帯電話が停止したすべての場所を地図上にせんさく好きな人に表示することができ、あなたの近所の映画が(例えば)挑発的なものの隣にある場合、それは不必要な疑いを引き起こす可能性があります。

もちろん、これはデリケートな(おそらく人気がない、または商業的に価値がある)が法的活動に従事している普通の人々に適用されます。本当に悪いことを実際にやっているのなら、おそらくそれはうまくいきません(そしてそれで結構です)。

帰国時にデバイスを検索できることを覚えておくことも重要です。間違った状況下でコンピューターに特定の技術文書が存在するだけでは、何百万ドルもの罰金が科せられる可能性があり、恐らく10年の罰金が科せられる可能性があるため、それらを「エクスポート」したと見なされます。このようなドキュメントへの特権的なアクセスを許可する許可を得て、旅程が奇妙に見える場合、国境警備隊にとって、リスクレベルはおそらく大幅に上がります。

19
Spehro Pefhany

このタイプのボーダー検索から保護する最善の方法は、実際には、カスタムを通過するハードウェアに疑わしいものを置かないことです。

暗号化技術を使用すると、そもそも疑惑が高まるでしょう。必要なコードの提供を拒否すると、場合によっては、ハードウェアが没収されるか、または 逮捕される になる可能性があります。もちろん、それは実際にどの国境を越えているかに大きく依存します。世界の一部の地域では、政府の認可を受けた偶然のスパイよりも小さな盗難の危険にさらされています。

米国の場合、EFFはこの特定の問題に関して 良い記事 を公開しています。これにより、露出を減らすための多くの実用的な方法(データドライブの取り外し、ネットワークサーバーへのデータの保存、「トラベル」ラップトップの使用)が強調されます。 、など)

他の国や法律の場合、それは現地の法律(および慣行)に大きく関係しているため、いくつかの調査が必要になる可能性が高いです。

18
Stephane

フルディスク暗号化が最も一般的に使用されています。コストは、通常のラップトップのステージングに加えてIT部門が実装する必要がある時間に依存します。しかし、私の経験では、セキュリティを真剣に考えている組織にとってFDEは必須です。

それとは別に、いくつかの本当にアンチフォレンジックなツールもあります、私は覚えています Bruconでの講演 スピーカーの1人がそれに関して問題を抱えており、Truecryptにパッチを適用していくつかのアンチ-法医学。

次に、立ち入りが拒否される状況については、内部のセキュリティオフィスによって実行されるリスク評価に依存する必要があります。彼らはそのような場合に何が起こるべきかを定義するべきです、それはアメリカを去るか、あなたの鍵を放棄するかのどちらかです。

また、最近のことにも注意してください 米国の連邦裁判官エイミーB.ジャクソンは、この点に関して政府に長い間延期されたスマックダウンを発表しました 。彼女の判決はこの事件の特に悪質な状況に基づいていますが(令状を回避するために誰かが立ち去るのを待って、ノートパソコンを検索せずに持ち運び、画像化して法医学的に分析するために持ち運びします。現在の犯罪の主張のすべて)、彼女は、デジタル機器に関して国境でやりたいことを何ら疑う必要はないというCBPの主張を断固として拒否します。

14
Lucas Kauffman

2つの解決策があります。どちらもフルディスク暗号化(FDE)を必要とします。

最初のソリューション

Bruce Schneierへのクレジット

  1. 家を出る直前に、2つ目のキーを作成します。額、猫、犬と一緒に入力してください。ランダムなので覚えることはできません。
  2. 2番目のキーを信頼できる人、できれば特権関係のある人、つまり弁護士、司祭/説教者(インターネット上でIT担当者に叙任させてください、インスタント特権)に送信し、テストを行ってくださいそれが動作することを確認してください。
  3. 新しいキーのすべてのコピーを細断または破棄します。
  4. フライトホームで生産的になり、通常使用するキーを削除します。

-税関に嘘をつかないでください、それは多くの場所で犯罪であるかもしれません。 this の記事も表示します。

-ラップトップを没収またはコピーできますが、データを見るには裁判所を通過する必要があることを説明します。必要に応じて最後の部分だけを説明してください。ディックにならないでください。

  1. 税関の後、ランダムキーを取り戻し、通常のキーを追加します。

2番目のソリューション

FDEを使用すると、メモリに保存できないキーファイルを宛先に送信し、信頼できる人と一緒にコピーを送信または保持します。

またはラップトップを発送して、小さなUSBドライブに復号化キーファイルを保存します。機内持ち込み、または偏執症の場合は、多くの皮膚のひだや開口部の1つに保管してください。

13
Someone.Else

私が想像できる最も効率的なアプローチは次のとおりです:

  • USBメディアから起動する
  • 内部メディアにある暗号化された隠しボリュームをマウントする
  • ブートメディアは家に置いておきます
  • スクリーンセーバーを使用してください。セカンダリパスワードが表示されると、システムがクラッシュします。
  • セカンダリパスワードをログインパスワードとして使用して、内部メディアに起動可能なシステムを用意します。

このアプローチにはいくつかの注意点があります。まず、バッテリーがなくなると、新しいブートメディアを入手するまで、ラップトップ上のすべてのデータにアクセスできなくなります。内部メディア上のシステムが起動されると、暗号化されたデータの一部が上書きされる可能性があるため、暗号化されたイメージが失われたことを考慮する必要があります。

その場合のデータ損失は、ラップトップが盗まれた場合よりも悪くはありません。また、どちらの場合でも必要な保護は同じです。安全な場所にデータのバックアップを作成する必要があります。

さらに、一部(場合によってはすべて)のストレージ暗号化の実装には、鍵と一部の機密データが一時停止中にRAM)に残るという弱点があることに注意する必要があります。一時停止時のセキュリティのために、鍵はRAM内の他のすべてのデータが暗号化された後RAMがワイプされます。サスペンドから復帰したときにマシンが実行できるのは、 RAMの暗号化を解除するスクリーンセーバーロック解除パスワードを受け入れるか、クラッシュを引き起こすセカンダリパスワードを受け入れることができます(実装の詳細の一部は、ここでスケッチしたものとは異なる場合がありますが、依然として安全なままです)。

内部メディアにデータを残したくないため、ハイバネーションの安全性は低くなります。これにより、上記の構造の存在が失われます。

4
kasperd

フルディスク暗号化、3レベル。

第1レベル:OSへのセキュアブート。通常の対策(ブートローダー署名検証用の2つのフラッシュドライブ/ CD、USB-AESパススルーデバイスおよびTPM/ [〜#〜] uefi [〜#〜] 該当する場合は署名)。

第2レベル:データのある内部コンテナ-2つの部分に分割します(それぞれ128 KBのディスク容量、1 KBのデータをリモートストレージに排出します)。

第3レベル:データへのアクセス/拒否の権利を第三者に譲渡します。 「私は米国外の管轄区域の無関係な人に安全なデータを受け取るか、それを削除してもらうよう依頼する必要があります」という形で。

そのため、職員はあなたのデータにアクセスしたり、法的手段を適用したりすることはできません(技術的にはキーが彼らの範囲外にあるため)。あなたのデータは保護されています。

3
kagali-san

多くの場所で私が部署にいたことがあるので、通常は「トラベルラップトップ」を持っています。これらは、標準の企業暗号化、オフィス、Webブラウザー(電子メールアクセス用)を備えた空のラップトップであり、それだけです。企業ネットワークへのアクセス、個人用ディスク領域へのアクセスは禁止されています!

これらのラップトップは、従業員がどこへ行くかに関わらず、国を離れるときに使用されました。従業員は、ラップトップにパワーポイントをロードするだけで済みます/必要なドキュメントが会議に行き、帰宅すると、ラップトップは再イメージ化され、再び新しい状態になります。ポリシーが法医学的調査を考慮に入れたかどうかはわかりませんが、完全な損傷制限の観点からは、非常にうまく機能しているようです。

1
daark

これは、すべてのタイプの通信のセキュリティとして機能します。それは、あいまいさによる一種のセキュリティでもあります。

任意のドキュメント/コミュニケーションにいくつかのキーワードを挿入するだけです:恐怖の脅威爆弾王室

現在の時間の重要な個人の名前による選択〜大統領、首相官邸など。イベントについても同じことを行う〜オリンピック、ワールドカップなど。

貧弱なセキュリティサービスは、汚染されたゴミから真に有用な情報を見つけようとするのに忙しくなり、他に何もする時間がありません。

これの欠点:それが本当に効果的であるためには、誰もがそれを行う必要があります。実際の犯罪行為はすべての騒音の中で失われてしまいますが、これはおそらく役に立たないでしょう。

0
DaveM