هي أمر الكناري مفيدة؟

تزايد اهتمام الجمهور بمراقبة الحكومة الجماهيرية للإنترنت منذ أن كشف إدوارد سنودن نطاق ونطاق عمليات التجسس التي أجرتها وكالة الأمن القومي للعالم. منذ ذلك الحين أصبح شائعًا بين خدمات الإنترنت التي تتعامل مع البيانات الحساسة ، أو التي تهدف إلى حماية خصوصية المستخدمين (مثل خدمات VPN) ، لإصدار أوامر الكناري. وتهدف هذه إلى طمأنة العملاء أن الخدمة لم يتم اختراقها من قبل الحكومة وتقديم طلب هفوة.

في الولايات المتحدة ، يمكن إصدار أي شركة باستدعاء حكومي سري أو خطاب أمن قومي (NSA). هذا يفرض عليهم تسليم جميع البيانات المتعلقة بأي عميل مسمى ، أو حتى الامتثال لترتيب شامل لتسليم المعلومات على جميع العملاء. قد يُطلب من الشركة أيضًا البدء في الاحتفاظ بسجلات للنشاط الجديد للمستخدمين ، حتى لو لم تفعل ذلك.

عادةً ما تصاحب أوامر الاستدعاء أو NSLs بأمر هفوة ، يمنع الشركة (أو أي من موظفيها) ، تحت تهديد من عواقب قانونية خطيرة (مثل الوقت في السجن) ، من الكشف عن وجود أمر استدعاء أو NSL لعملائها. معظم الدول الأخرى لديها قوانين مماثلة.

ولعل أكثر الحالات سيئة السمعة التي تنطوي على مثل هذا الكمامة هي قضية لافابيت. في عام 2013 ، تم استدعاء شركة البريد الإلكتروني الآمنة هذه (مع طلب gag) لتسليم مفاتيح SSL الخاصة لجميع العملاء الذين يزيد عددهم عن 400000 إلى وكالة الأمن القومي للتجسس على إدوارد سنودن (الذي كان يعتقد أنه استخدم الخدمة).

اختار المالك ليفي ليفنسون عدم الامتثال ، وأغلق شركته على الفور لحماية خصوصية مستخدميها. أدين لاحقا بتهمة ازدراء المحكمة.

ما هي الكناري أمر?

أمر الكناري عبارة عن بيان يتم تحديثه بانتظام من قِبل إحدى الشركات بأنه لم يتم اختراقه وتقديم طلب هفوة. إذا لم يتم تحديث أمر الكناري على فترات منتظمة (عادةً وفق جدول محدد) ، يجب على المستخدمين افتراض أن الخدمة قد تم اختراقها.

تقوم VPN outfit iPredator ، على سبيل المثال ، بنشر أمر الكناري "ربع سنوي على الأقل" ، والذي ينص على ذلك,

"لم يتلق IPredator أي أوامر من محاكم الأمن القومي أو أوامر من محكمة FISA ، أو تم إسكاته بواسطة أدوات قانونية مماثلة ومعادية للديمقراطية".

تم توقيع هذا البيان باستخدام مفتاح PGP بغرض التحقق من صحته.

تعمل Canaries Canaries على فكرة أن الحكومة يمكنها إسكات الفرد قانونيًا ، لكن لا يمكنها إجبارهم على قول كذبة (أي تحديث كاذب canary canary). في الولايات المتحدة ، يقال إن التعديل الأول يحمي من الكلام الإجباري. كما تلاحظ مؤسسة الحدود الإلكترونية (EFF),

"في حين أن الحكومة قد تكون قادرة على إجبار الصمت من خلال أمر هفوة ، فقد لا تكون قادرة على إجبار مزود خدمة الإنترنت على الكذب بالقول كذباً أنه لم يتلق عملية قانونية عندما يكون في الواقع قد حصل".

وقد تم دعم فكرة أمر الكناري من قبل EFF ، التي تدير Canary Watch ، وهو موقع مخصص لرصد ما إذا كانت الشركات تسمح لجزر الكناري الخاصة بها بالمرور.

يمكن الوثوق الكناري يمكن الوثوق بها?

في الظاهر ، تبدو أوامر الكناري فكرة جيدة. غير أن الكثيرين غير مقتنعين ، بحجة أن جزر الكناري لا تعدو كونها مجرد إعلانات نفخة ودخان لا تحتوي إلا على مادة حقيقية قليلة أو غير حقيقية..

1. حماية التعديل الأول لاستخدام أمر الكناري هو تخمين بحت - لم يتم اختباره في محكمة قانونية. من المحتمل جدًا أن تقرر محكمة أمريكية أن الفشل في تحديث أمر الكناري يشكل انتهاكًا للشرط القانوني المفروض على الفرد.

وهذا صحيح أكثر خارج الولايات المتحدة ، حيث لا يتمتع الناس بالحقوق الدستورية الصريحة الممنوحة لمواطني الولايات المتحدة. أستراليا هي أول دولة تحظر بشكل صريح استخدام الكناري ، وهناك بلدان أخرى (مثل المملكة المتحدة) من المحتمل أن تتبعها قريبًا.

2. يمكن بسهولة الاستيلاء على موقع الويب من قبل الحكومة والتحديثات الخاطئة المقدمة. يهدف تأمين أمر التوثيق باستخدام مفتاح PGP إلى الحماية من ذلك ، ولكن أ) عدد الأشخاص الذين يقومون بالفعل بالتحقق من مفاتيح PGP هذه ؟، و ب) إذا كان يمكن إجبار مالك الشركة على التنازل عن خدمته أو خدمتها ، يمكن أيضًا إجباره (أو رشوة) لتسليم مفاتيح PGP الخاصة بهم.

كما قال بريت ماكس كوفمان ، المحامي في الاتحاد الأمريكي للحريات المدنية ، لبي بي سي,

"إذا طلبت الحكومة من إحدى الشركات ترك أمر أمرها (وبالتالي إبلاغ شيء خاطئ للجمهور) ، فسيكون للشركة الحق في الطعن في أي هفوة (بموجب التعديل الأول ... أو بموجب أحكام معينة من USA Freedom القانون) في المحكمة. لكن إذا أيدت المحكمة طلب الحكومة ... فلن يكون الجمهور أكثر حكمة ، على الأقل لبعض الوقت. في الواقع ، سيكون هذا هو الهدف الكامل من وجهة نظر الحكومة."

قد يتمكن الفرد الذي كان سريعًا بدرجة كافية من تدمير جميع نسخ مفتاح PGP الخاص به (الذي سيتم تخزينه في أماكن متعددة حتى يمكن التحقق منه) قبل إجباره على تسليمه. هذا من شأنه أن يسمح لمراقب النسر أن يلاحظ التوقيع المفقود إذا كانت الشركة مجبرة على مواصلة تحديث أمرها الكناري. ومع ذلك ، لا توجد طريقة للعملاء لمعرفة ما إذا كان المفتاح قد تم تدميره أم لا.

تقوم شركة SpiderOak الآمنة لتخزين الويب بمحاولة شجاعة لمعالجة هذه المشكلة عن طريق توقيع أمرها رقمًا رقميًا من قِبل 3 أفراد مختلفين رفيعي المستوى داخل الشركة (من المفترض أنهم موجودون في مواقع جغرافية مختلفة). هذا من شأنه بالتأكيد أن يجعل الإكراه (أو الرشوة) جميع الموقّعين أكثر صعوبة (أو مكلفًا) ، لكنه لا يوفر ضمانات من الحديد الزهر أن هذا هو الحال وأنه يمكن الوثوق بهم جميعًا.

3. حتى عندما يتم "تشغيل أوامر الكناري" (أي أنها لا يتم تحديثها في الوقت المناسب) ، يتم تجاهل هذا في كثير من الأحيان. ومن الأمثلة الجيدة على ذلك شركة Apple ، التي أزالت في عام 2014 أمرها الكناري من تقرير الشفافية الأخير. على الرغم من ذلك ، قيل على نطاق واسع أن الإزالة ربما لا تعني أن شركة أبل قد اضطرت إلى تسليم البيانات بعد أوامر حكومية سرية. قد يكون هذا صحيحًا أو لا يكون صحيحًا ، ولكن مهما كان الأمر ، فقد تم نسيان الحادث سريعًا واستمر العملاء في الوثوق بشركة Apple كالمعتاد.

مثال آخر هو أمر التوقيف المفقود في تقرير شفافية Reddit لعام 2015. على الرغم من بعض المخاوف الأولية بين قسم فرعي صغير من Redditors ، إلا أن الأعمال التجارية في منتديات Reddit استمرت أيضًا كالمعتاد.

ما ، إذن ، هو الهدف من وجود أمر الكناري ، إذا كان اختفائه لا يسبب أي قلق!?

استنتاج

تعد جزر الكناري فكرة خاطئة تخدم بشكل أساسي كقوة ترويجية للشركات التي تحرص على عرض بيانات اعتمادها الملائمة للخصوصية.

حقيقة أنه حتى عندما يتم تشغيل أوامر الكناري ، يتم تجاهل ذلك بشكل روتيني (من المفترض أن العمل على المشغل غير مريح للمستخدمين) لا يؤدي إلا إلى زيادة تقويض الثقة القليلة التي يمكن أن تكون لدينا في مثل هذا الإجراء.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me