Είναι χρήσιμα τα Canary Warrants;

Η ανησυχία του κοινού για τη μαζική κυβερνητική επιτήρηση του διαδικτύου έχει αυξηθεί από τότε που ο Edward Snowden εξέθεσε την απίστευτη κλίμακα και το εύρος των επιχειρήσεων κατασκοπείας της NSA στον κόσμο. Από τότε έχει γίνει δημοφιλής στις υπηρεσίες διαδικτύου που χειρίζονται ευαίσθητα δεδομένα ή που προορίζονται για την προστασία της ιδιωτικής ζωής των χρηστών (όπως οι υπηρεσίες VPN), για την έκδοση καναρινών εγγύησης. Αυτά αποσκοπούν να καθησυχάσουν τους πελάτες ότι η υπηρεσία δεν έχει υπονομευτεί από την κυβέρνηση και ότι εξυπηρετεί μια παραγγελία gag.

Στις Ηνωμένες Πολιτείες, κάθε εταιρεία μπορεί να εκδοθεί με μυστική κρατική εντολή ή επιστολή εθνικής ασφάλειας (NSA). Αυτό τους αναγκάζει να παραδώσει όλα τα δεδομένα που αφορούν είτε έναν πελάτη που ονομάζεται, είτε ακόμη και να συμμορφωθεί με μια γενική παραγγελία για να παραδώσει πληροφορίες για όλους τους πελάτες. Μπορεί επίσης να απαιτείται από την εταιρεία να αρχίσει την καταγραφή των νέων δραστηριοτήτων των χρηστών, ακόμη και αν δεν το έπραττε διαφορετικά.

Τέτοιες κλήσεις ή NSL συνήθως συνοδεύονται από μια εντολή gag, η οποία εμποδίζει την εταιρεία (ή οποιοδήποτε από το προσωπικό της), που απειλείται από σοβαρές νομικές συνέπειες (ως χρόνος φυλάκισης), να αποκαλύψει την ύπαρξη κλήτευσης ή NSL στους πελάτες της. Οι περισσότερες άλλες χώρες έχουν παρόμοιους νόμους.

Ίσως η πιο περίφημη περίπτωση που αφορά μια τέτοια παραγγελία είναι αυτή του Lavabit. Το 2013, αυτή η ασφαλής εταιρεία ηλεκτρονικού ταχυδρομείου κλήθηκε να παραδώσει (με gag order) τα ιδιωτικά κλειδιά SSL όλων των 400.000+ πελατών στην NSA προκειμένου να κατασκοπεύσει τον Edward Snowden (ο οποίος πιστεύεται ότι έχει χρησιμοποιήσει την υπηρεσία).

Ο ιδιοκτήτης Levi Levinson επέλεξε να μην συμμορφωθεί και έκλεισε αμέσως την εταιρεία του για να προστατεύσει το απόρρητο των χρηστών του. Αργότερα καταδικάστηκε για περιφρόνηση δικαστηρίου.

Τι δικαιούνται τα καναρίνια?

Το καναρινό δελτίο είναι μια τακτική επικαιροποιημένη δήλωση μιας εταιρείας, η οποία δεν έχει παραβιαστεί και έχει παραδοθεί σε παραγγελία. Αν ένας καναρίνιος warrant δεν ενημερώνεται σε τακτά χρονικά διαστήματα (συνήθως σε ένα καθορισμένο χρονοδιάγραμμα) τότε οι χρήστες θα πρέπει να υποθέσουν ότι η υπηρεσία έχει παραβιαστεί.

Το VPN Outfit iPredator, για παράδειγμα, δημοσιεύει ένα καναρίνι "τουλάχιστον ανά τρίμηνο", το οποίο αναφέρει ότι,

"Ο IPredator δεν έχει λάβει καμία εθνική επιστολή ασφάλειας ή δικαστικές εντολές της FISA ή έχει σιωπηθεί από παρόμοια νομικά και αντιδημοκρατικά νομικά εργαλεία".

Αυτή η δήλωση έχει υπογραφεί με ένα κλειδί PGP που αποσκοπεί στην επαλήθευση της αυθεντικότητάς του.

Οι Καναρίοι εγγυητές εργάζονται για την ιδέα ότι μια κυβέρνηση μπορεί νόμιμα να σιωπά ένα άτομο, αλλά ότι δεν μπορεί να τους αναγκάσει να πει ένα ψέμα (δηλαδή, να ενημερώσουν ψευδώς το καναρινό ένταλμα). Στις ΗΠΑ υποστηρίζεται ότι η πρώτη τροποποίηση προστατεύει από την υποχρεωτική ομιλία. Όπως σημειώνει το Ίδρυμα Electronic Frontier Foundation (EFF),

"Ενώ η κυβέρνηση μπορεί να είναι σε θέση να επιβάλει τη σιωπή μέσα από μια διαταγή gag, μπορεί να μην είναι σε θέση να αναγκάσει έναν ISP να ψεύδεται ψευδώς δηλώνοντας ότι δεν έχει λάβει νομική διαδικασία όταν στην πραγματικότητα έχει".

Η ιδέα των καναρινιών εγγύησης υποστηρίχθηκε από το EFF, το οποίο λειτουργεί το Canary Watch, ένα δικτυακό τόπο αφιερωμένο στην παρακολούθηση του κατά πόσον οι εταιρείες επιτρέπουν στα καναρίνια των εγγυήσεων τους να εκπνεύσουν.

Μπορεί να υπάρξει εμπιστοσύνη στον καναρινό εντάλμα?

Από την πλευρά της, τα καναρίνια δικαιολογούν την καλή ιδέα. Πολλοί δεν είναι πεπεισμένοι, ωστόσο, υποστηρίζοντας ότι τα καναρίνια δικαιολογούνται λίγο περισσότερο από το ότι οι διαφημίσεις καπνού και καπνού με ελάχιστη ή καμία πραγματική ουσία.

1. Η πρώτη τροποποίηση της προστασίας για τη χρήση καναρίων εντάλματος είναι καθαρά εικαστική - ποτέ δεν έχει δοκιμαστεί σε δικαστήριο. Είναι πολύ πιθανό ένα αμερικανικό δικαστήριο να αποφανθεί ότι η αποτυχία ενημέρωσης ενός καναρινού εντάλματος αποτελεί περιφρόνηση της νομικής απαίτησης που επιβάλλεται σε ένα άτομο.

Αυτό ισχύει ακόμη περισσότερο εκτός των ΗΠΑ, όπου οι άνθρωποι δεν απολαμβάνουν τα ρητά συνταγματικά δικαιώματα που παρέχονται στους πολίτες των ΗΠΑ. Η Αυστραλία είναι η πρώτη χώρα που καταδικάζει ρητά τη χρήση καναρινιών εγγύησης και άλλες χώρες (όπως το Ηνωμένο Βασίλειο) είναι πιθανό να ακολουθήσουν σύντομα.

2. Μια ιστοσελίδα μπορεί εύκολα να αναληφθεί από μια κυβέρνηση και να δοθούν λανθασμένες ενημερώσεις. Η εξασφάλιση καναρινιού εντάλματος με κλειδί PGP αποσκοπεί στην προστασία από αυτό, αλλά α) πόσοι άνθρωποι ελέγχουν πραγματικά αυτά τα κλειδιά PGP; και β) αν ένας ιδιοκτήτης επιχείρησης μπορεί να αναγκαστεί να θέσει σε κίνδυνο την υπηρεσία του, μπορεί επίσης να αναγκαστεί (ή δωροδοκούν) για να παραδώσουν τα κλειδιά PGP τους.

Όπως δήλωσε στο BBC ο Brett Max Kaufman, δικηγόρος της Ένωσης Αμερικανών Πολιτικών Ελευθεριών,

"Εάν η κυβέρνηση ζήτησε από μια εταιρεία να εγκαταλείψει το καράβι της εγγύησης (και συνεπώς να ανακοινώσει κάτι ψευδές στο κοινό), η εταιρεία θα έχει το δικαίωμα να αμφισβητήσει οποιοδήποτε gag (σύμφωνα με την Πρώτη Τροπολογία ... ή σύμφωνα με ορισμένες διατάξεις της Ελευθερίας των ΗΠΑ Πράξη) στο δικαστήριο. Αλλά αν ένα δικαστήριο επιβεβαίωσε το αίτημα της κυβέρνησης ... το κοινό δεν θα ήταν το σοφότερο, τουλάχιστον για κάποιο χρονικό διάστημα. Πράγματι, αυτός θα είναι ο συνολικός στόχος από την πλευρά της κυβέρνησης."

Ένα άτομο που ήταν αρκετά γρήγορο θα μπορούσε να καταστρέψει όλα τα αντίγραφα του κλειδιού PGP (τα οποία θα αποθηκευτούν σε διάφορα σημεία, ώστε να μπορούν να επαληθευτούν) προτού αναγκαστούν να το παραδώσουν. Αυτό θα επέτρεπε στον παρατηρητή του αετού να παρατηρήσει την υπογραφή που λείπει αν η εταιρεία αναγκάζεται να συνεχίσει να ενημερώνει τον καναρίο του εντάλματος. Ωστόσο, δεν υπάρχει κανένας τρόπος για τους πελάτες να γνωρίζουν εάν ένα κλειδί δεν έχει καταστραφεί ή όχι.

Η ασφαλής εταιρία αποθήκευσης ιστού SpiderOak κάνει μια θαρραλέα προσπάθεια αντιμετώπισης αυτού του προβλήματος, έχοντας υπογράψει ψηφιακά το καναρινό της εγγύησης από 3 διαφορετικά υψηλού επιπέδου πρόσωπα εντός της εταιρείας (τα οποία κατά πάσα πιθανότητα βρίσκονται σε διαφορετικές γεωγραφικές τοποθεσίες). Αυτό θα έκανε σίγουρα πιο δύσκολη (ή δαπανηρή) εξαναγκασμό (ή δωροδοκία) όλων των υπογραφόντων, αλλά δεν παρέχει εγγυήσεις από χυτοσίδηρο ότι αυτό συμβαίνει και ότι όλοι μπορούν να εμπιστευθούν.

3. Ακόμα και όταν τα καναρίνια δικαιολογούνται "ενεργοποιούνται" (δηλ. Δεν ενημερώνονται έγκαιρα), αυτό αγνοείται συχνά. Ένα καλό παράδειγμα είναι η Apple, η οποία το 2014 διέγραψε το καναρίνι της εγγύησης από την τελευταία έκθεση διαφάνειας. Παρ 'όλα αυτά, υποστηρίχθηκε ευρέως ότι η απομάκρυνση πιθανώς δεν σήμαινε ότι η Apple είχε αναγκαστεί να παραδώσει δεδομένα μετά από μυστικές κυβερνητικές εντολές. Αυτό μπορεί να είναι αλήθεια ή όχι, αλλά όποια κι αν ήταν η περίπτωση, το περιστατικό ξεχάστηκε γρήγορα και οι πελάτες συνέχισαν να εμπιστεύονται την Apple ως συνήθως.

Ένα άλλο παράδειγμα είναι το καναρίνι που λείπει από εντολή στην έκθεση διαφάνειας του Reddit για το 2015. Παρά την αρχική ανησυχία ανάμεσα σε ένα μικρό υποτομέα των Redditors, οι εργασίες στα φόρουμ Reddit συνεχίστηκαν ως συνήθως.

Τι, λοιπόν, είναι το σημείο να έχει κανάρες, αν η εξαφάνισή του δεν προκαλεί συναγερμό!?

συμπέρασμα

Τα καναρίνια Warrant είναι μια λανθασμένη ιδέα που χρησιμεύει κυρίως ως διαφημιστικό χνούδι για εταιρείες που επιθυμούν να εμφανίσουν τα διαπιστευτήρια που είναι φιλικά προς το ιδιωτικό τους απόρρητο.

Το γεγονός ότι ακόμη και όταν ενεργοποιούνται τα καναρίνια ενεργοποιείται, αυτό αγνοείται συνήθως (πιθανώς επειδή η παρέμβαση για το σκανδάλη είναι ακατάλληλο για τους χρήστες) χρησιμεύει μόνο για να υπονομεύσει περαιτέρω το ελάχιστο επίπεδο εμπιστοσύνης που μπορούμε να έχουμε σε μια τέτοια πράξη.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me