Загрижеността на обществеността относно масовото правителствено наблюдение на интернет нараства откакто Едуард Сноудън изложи на света невероятния мащаб и обхват на шпионските операции на NSA. Оттогава тя стана популярна сред интернет услугите, които обработват чувствителни данни или които са предназначени да защитят поверителността на потребителите (като VPN услуги), за да издават канали за поръчки. Те са предназначени да успокоят клиентите, че услугата не е била компрометирана от правителството и са изпълнили поръчка за гафове.

В Съединените щати всяка компания може да бъде издадена с тайна призовка на правителството или писмо за национална сигурност (NSA). Това ги принуждава да предадат всички данни, които се отнасят или до посочен клиент, или дори да се съобразят с одеялна поръчка за предаване на информация на всички клиенти. От компанията може също така да се изисква да започне да води дневници на новата активност на потребителите, дори ако иначе не би направила това.

Такива призовки или NSL обикновено се придружават от заповед за нерегламентиране, която не позволява на компанията (или някой от нейните служители), под заплаха от сериозни правни последици (като време в затвора), да разкрие съществуването на призовка или NSL на своите клиенти. Повечето други страни имат подобни закони.

Може би най-скандалният случай, свързан с подобна заповед, е този на Lavabit. През 2013 г. тази защитена компания за електронна поща беше приведена в призовка (със заповед за пропуск), за да предаде SSL частните ключове на всички 400 000+ клиенти на NSA, за да шпионира Едуард Сноудън (за когото се смята, че е използвал услугата).

Собственикът Леви Левинсън реши да не се съобрази и незабавно закри фирмата си, за да защити поверителността на своите потребители. По-късно е осъден за неуважение към съда.


Какво представляват заповедните канарчета?

Канала за заповед е редовно актуализирана декларация на компания, че не е била компрометирана и е изпълнявала поръчка за гафове. Ако канарът на варанта не се актуализира на редовни интервали (обикновено в зададен график), тогава потребителите трябва да приемат, че услугата е компрометирана.

VPN екипировка iPredator, например, публикува ордер на каналите „поне на тримесечие“, в който се посочва, че,

„IPredator не е получил никакви писма за национална сигурност или съдебни разпореждания на FISA или е бил заглушен от подобни (не) правни и антидемократични правни инструменти.“

Това изявление е подписано с PGP ключ, предназначен да провери неговата автентичност.

Каналите на варантите работят върху идеята, че правителството може законно да заглуши дадено лице, но не може да ги принуди да излъжат лъжа (т.е. да актуализират невярно канала на заповедта). В САЩ се твърди, че Първата поправка предпазва от принудителна реч. Както отбелязва Фондацията за електронна граница (EFF),

„Въпреки че правителството може да бъде в състояние да принуди мълчание чрез заповед за нерешителност, то може да не е в състояние да принуди интернет доставчик да лъже, като лъже заявява, че не е получил правен процес, когато в действителност го има.“

Идеята за поръчаните канарчета се подкрепя от ЕФР, който оперира Canary Watch - уебсайт, посветен на наблюдението дали компаниите позволяват на техните канали за поръчки да изтекат.

Може ли да се вярва на канар на заповед?

В лицето на него канарите на орден звучат като добра идея. Мнозина обаче не са убедени, твърдейки, че поръчковите канарки са малко повече, което пуши и пуши рекламата с почти никаква реална субстанция.

1. Защитата на първо изменение за използването на ордени канарчета е чисто предполагаема - никога не е тестван в съда. Много е възможно съдът на САЩ да постанови, че неспазването на канала за заповед представлява неуважение към законовото изискване, поставено върху физическо лице.

Това е още по-вярно извън САЩ, където хората не се ползват от изричните конституционни права, предоставени на гражданите на САЩ. Австралия е първата държава, която изрично забрани използването на ордени канари, а други страни (като Великобритания) вероятно ще последват скоро.

2. Уебсайтът може лесно да бъде поет от правителството и дадени фалшиви актуализации. Осигуряването на канала за поръчка с PGP ключ има за цел да защити от това, но а) колко хора действително проверяват тези PGP ключове? И б) ако собственикът на компанията може да бъде принуден да компрометира услугата си, те също могат да бъдат принудени (или подкупени), за да предадат своите PGP ключове.

Както Брет Макс Кауфман, адвокат в Американския съюз за граждански свободи, каза пред Би Би Си,

„Ако правителството поиска от компанията да остави своя заповед за канали нагоре (и следователно да съобщи нещо невярно на обществеността), компанията ще има правото да оспори всякакви гафове (съгласно Първата поправка ... или съгласно някои разпоредби на свободата на САЩ Акт) в съда. Но ако съдът уважи искането на правителството ... обществеността нямаше да бъде по-мъдра, поне за известно време. Всъщност това ще е цялата цел от гледна точка на правителството."

Лице, което беше достатъчно бързо, може да успее да унищожи всички копия на своя PGP ключ (който ще се съхранява на различни места, така че да може да бъде проверен), преди да бъде принуден да го предаде. Това ще позволи на наблюдател с орели да забележи липсващия подпис, ако компанията е принудена да продължава да актуализира канала си за заповед. Все още няма начин клиентите да знаят дали ключът не е унищожен или не.

Сигурната фирма за уеб съхранение SpiderOak прави смел опит да се справи с този проблем, като своя заповед за канали цифрово се подписва от 3 различни високопоставени лица в компанията (които вероятно се намират на различни географски места). Това със сигурност би затруднило (или подкупи) всички подписали по-трудно (или скъпо), но не предоставя никакви гаранции от чугун, че това е така и че на всички могат да им се вярва.

3. Дори когато канадските ордери се „задействат“ (т.е. те не се актуализират своевременно), това често се игнорира. Добър пример е Apple, която през 2014 г. премахна канала си за заповед от последния си доклад за прозрачност. Въпреки това, широко се спори, че премахването вероятно не означава, че Apple е била принудена да предаде данни след тайни правителствени разпореждания. Това може или не може да е вярно, но какъвто и да е случаят, инцидентът беше бързо забравен и клиентите продължиха да се доверяват на Apple както обикновено.

Друг пример е липсващата канала за заповед в доклада за прозрачност на Reddit за 2015 г. Въпреки известна загриженост сред малък подраздел Redditors, бизнесът на форумите на Reddit също продължава, както обикновено.

Какъв е смисълът да има канала за заповед, ако нейното изчезване не предизвиква аларма!?

заключение

Каналите на варанти са недостатъчна идея, която служи главно като промоционален пух за компании, желаещи да показват своите приятелски данни за поверителност.

Фактът, че дори когато се задействат канари за поръчки, това рутинно се игнорира (вероятно защото действието на спусъка е неудобно за потребителите) служи само за допълнително подкопаване на малкото доверие, което можем да имаме в такава мярка.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me