Preocuparea publică cu privire la supravegherea guvernamentală în masă a internetului a crescut de când Edward Snowden a expus pe scară și amploarea incredibilă a operațiunilor de spionaj ale ANSA în lume. De atunci a devenit popular printre serviciile de internet care gestionează date sensibile sau care sunt destinate să protejeze confidențialitatea utilizatorilor (cum ar fi serviciile VPN), pentru a emite canarii de garanție. Acestea sunt destinate să asigure clienților că serviciul nu a fost compromis de către guvern și a comunicat o comandă de tip vârf.


În Statele Unite, orice companie poate fi emisă cu o citație guvernamentală secretă sau scrisoare de securitate națională (NSA). Acest lucru îi obligă să predea toate datele referitoare la un client numit, sau chiar să respecte o comandă curată pentru a preda informațiile tuturor clienților. De asemenea, compania poate fi solicitată să înceapă să țină jurnalele de activitate ale utilizatorilor, chiar dacă nu ar face acest lucru altfel.

Astfel de citații sau NSL sunt însoțite în mod obișnuit de o comandă de tip gag, care împiedică compania (sau oricare dintre personalul acesteia), sub amenințarea unor consecințe legale grave (ca la închisoare), să dezvăluie existența citației sau NSL clienților săi. Majoritatea celorlalte țări au legi similare.

Poate cel mai infam caz care implică un astfel de ordin de gag este cel al lui Lavabit. În 2013, această companie sigură de e-mail a fost invocată (cu comandă gag) pentru a preda NSA cheile private ale tuturor celor 400.000+ clienți pentru a-l spiona pe Edward Snowden (despre care se credea că a folosit serviciul).

Proprietarul Levi Levinson a ales să nu se conformeze și și-a închis imediat compania pentru a proteja confidențialitatea utilizatorilor săi. Ulterior, el a fost condamnat pentru dispreț în fața instanței.

Ce sunt canarii de garanție?

Un canar de garanție este o declarație actualizată în mod regulat de către o companie că nu a fost compromisă și nu a comunicat o comandă. Dacă un canar de garanție nu este actualizat la intervale regulate (de obicei la un program stabilit), atunci utilizatorii ar trebui să presupună că serviciul a fost compromis.

IPredator pentru îmbrăcămintea VPN, de exemplu, publică un mandat canar „cel puțin trimestrial”, care afirmă că,

„IPredator nu a primit nicio scrisoare de securitate națională sau ordine de judecată FISA sau a fost redus la tăcere prin instrumente legale și antidemocratice similare (il).”

Această declarație este semnată cu o cheie PGP destinată verificării autenticității acesteia.

Canarii de garanție lucrează pe ideea că un guvern poate să tacă în mod legal o persoană, dar că nu îi poate obliga să spună o minciună (adică să actualizeze în mod fals canarul de mandat). În SUA se susține că Primul amendament protejează împotriva vorbirii constrânse. După cum notează Electronic Frontier Foundation (EFF),

„În timp ce guvernul ar putea să forțeze tăcerea printr-un ordin de bârlog, este posibil să nu poată constrânge un ISP să mintă afirmând în mod fals că nu a primit proces legal atunci când de fapt a fost.”

Ideea de canarieri de garanție a fost susținută de EFF, care operează Canary Watch, un site web dedicat monitorizării dacă companiile permit canarilor lor de mandat..

Un mandar poate fi de încredere?

În acest sens, canarele de garanție sună ca o idee bună. Cu toate acestea, mulți nu sunt convinși, susținând că canarii de garanție sunt puțin mai mulți decât anunțul de puf și fum cu puține substanțe reale.

(1) Protecția pentru prima modificare a utilizării canarelor de garanție este pur conceptuală - nu a fost niciodată testat la o instanță de judecată. Este foarte posibil ca o instanță americană să decidă că neactualizarea unui mandar canary constituie disprețul cerinței legale impuse unei persoane fizice.

Acest lucru este și mai adevărat în afara SUA, unde oamenii nu se bucură de drepturile constituționale explicite acordate cetățenilor americani. Australia este prima țară care scoate în afara legii în mod explicit utilizarea canarelor de garantare, iar alte țări (cum ar fi Marea Britanie) vor urma probabil în curând.

2. Un site web poate fi ușor preluat de către un guvern și se oferă actualizări false. Securizarea unui mandat canar cu o cheie PGP este menită să protejeze împotriva acestui lucru, dar a) câte persoane verifică de fapt aceste chei PGP? Și b) dacă un proprietar al companiei poate fi obligat să compromită serviciul său, acestea pot fi, de asemenea, obligate (sau mituit) pentru a preda cheile PGP.

Așa cum a declarat Brett Max Kaufman, avocat la Uniunea Americană pentru Libertăți Civile, pentru BBC,

„Dacă guvernul ar fi cerut unei companii să-și lase mandatul în vigoare (și, prin urmare, să comunice ceva fals publicului), compania ar avea dreptul de a contesta orice bârlog (în conformitate cu primul amendament ... sau în conformitate cu anumite dispoziții ale Libertății din SUA Act) în instanță. Dar dacă o instanță ar confirma solicitarea guvernului ... publicul nu ar fi cel mai înțelept, cel puțin pentru un timp. Într-adevăr, acesta ar fi întregul obiectiv din perspectiva guvernului."

O persoană care a fost suficient de rapidă ar putea fi capabilă să distrugă toate copiile cheii PGP (care vor fi stocate într-o varietate de locuri, astfel încât să poată fi verificată) înainte de a fi obligată să o predea. Acest lucru ar permite unui observator cu ochi de vultur să observe semnătura care lipsește în cazul în care compania este obligată să-și actualizeze mandatarul. Cu toate acestea, nu există nicio modalitate prin care clienții să știe dacă o cheie nu a fost distrusă sau nu.

Firma sigură de stocare web SpiderOak face o încercare curajoasă de a rezolva această problemă, având mandatul său semnat digital de 3 persoane de rang înalt din cadrul companiei (care se presupune că sunt situate în locații geografice diferite). Acest lucru ar face, cu siguranță, constrângerea (sau mituirea) tuturor semnatarilor mai dificili (sau scumpi), dar nu oferă garanții din fontă că acesta este cazul și că pot fi cu toții de încredere.

3. Chiar și în cazul în care canarele de garanție sunt „declanșate” (adică nu sunt actualizate în timp util), acest lucru este adesea ignorat. Un exemplu bun este Apple, care în 2014 și-a scos canarul de garanție din ultimul său raport de transparență. În ciuda acestui fapt, s-a susținut pe larg că eliminarea probabil nu a însemnat că Apple a fost forțată să predea datele în urma ordinelor secrete ale guvernului. Acest lucru poate fi sau nu adevărat, dar, indiferent de caz, incidentul a fost uitat rapid și clienții au continuat să aibă încredere în Apple, de obicei.

Un alt exemplu este canarul de mandat lipsă în raportul de transparență din 2015 al Reddit. În ciuda unor îngrijorări inițiale în cadrul unei subsecțiuni reduse de Redditori, afacerile pe forumurile Reddit au continuat, de asemenea, ca de obicei.

Ceea ce este, atunci, punctul de a avea un mandat canar, dacă dispariția sa nu provoacă nicio alarmă!?

Concluzie

Canarii de garanție sunt o idee defectuoasă, care servesc în principal ca puf de promovare pentru companiile dornice de a-și afișa datele de confidențialitate favorabile vieții private.

Faptul că, chiar și atunci când sunt declanșate canarele, acest lucru este ignorat de rutină (probabil că acțiunea asupra declanșatorului este incomodă pentru utilizatori) nu face decât să submineze în continuare ce mică încredere putem avea într-o astfel de măsură..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me