Virksomheder indsamler data om, hvad du tænker og gør, men de er ikke de eneste, der er interesseret i denne information. Retshåndhævende agenturer ønsker undertiden adgang, og når de gør det, kan de tvinge virksomheder til at overlevere det. Nogle kan endda få disse virksomheder til at sverge hemmeligholdelse om hele affæren.
Mange virksomheder kan ikke lide dette, så de har vedtaget en taktik kaldet "warrant kanariefugle" for at advare os om, hvad der foregår.
Hvad er en Warrant Canary?
Tænk: "kanariefugl i en kulmine."
Kanariefugle blev engang brugt i kulminer som et detektionssystem for giftig gas. Kanarier ville vise tegn på sygdom før mennesker, når kulilteindholdet begyndte at stige. På denne måde tjente fuglene som et tidligt advarselssystem.
Warrantkanarier advarer dig om eksistensen af en warrant (eller rettere om manglen på en warrant). Lad os sige, at et selskab opretter en dedikeret webside, der siger, at det aldrig har modtaget en garanti for kundedata. Denne side er garantikanarien. Hvis det går ned, eller ordlyden ændres, kan du udlede, at virksomheden har modtaget en warrant.
Er Warrant Canaries pålidelige?
Kort svar: Nej!
En garantikanarie tilbyder ikke endelige oplysninger om, at der er udstedt en warrant. Når en erklæring forsvinder fra et websted, er det mest, vi kan gøre, at spekulere.
5 Hovedspørgsmål med Warrant Canaries
- Undertiden forsvinder kanarifugler kun for at dukke op igen et par dage senere.
- Nogle gange ændres sproget subtilt, hvilket giver os flere grunde til at spekulere, men endnu mindre sikkerhed.
- Nogle kanariefugle modtager opdateringer dagligt, mens nogle bogføres og forbliver uændrede, måske endda glemt.
- Der er ingen konsistens mellem warrantskanarier. Nogle vises i HTML på websider, mens andre er i downloadbare PDF-rapporter eller angivet med et billede. Nogle steder gennemgår anstrengelsen for at underskrive deres med GnuPG.
- Al denne inkonsekvens gør overvågning af kanarieforsøg vanskeligt.
Hvis du vil have flere oplysninger om emnerne omkring garantikanarier, kan du se på Electronic Frontier Foundation's Canary Watch-rapport.
Eksempler på Warrant Canaries
Her er nogle måder, virksomheder har brugt warrants kanarie indtil videre.
1. Apples "Warrant Canary"
Apple offentliggør en gennemsigtighedsrapport to gange om året, der beskriver, hvor ofte virksomheden overholder anmodninger om retshåndhævelse om data. Du kan se Apples gennemsigtighedsrapporter på sin hjemmeside.
Den første rapport i 2013 indeholdt en linje, som forskellige forretninger rapporterede som en kanarieforsøg. Her er teksten:
”Apple har aldrig modtaget en ordre i henhold til § 215 i USAs Patriot Act. Vi forventer at udfordre en sådan ordre, hvis den serveres på os. ”
Afsnit 215 i USAs Patriot Act tillader efterretningsbureauer at indsamle mange slags poster og tvinge enkeltpersoner eller virksomheder til ikke at tale om sagen.
Den nævnte linje var intetsteds at finde i den næste rapport. I stedet var der dette:
"Indtil videre har Apple ikke modtaget nogen ordrer på bulkdata."
Nogle observatører tog denne ændring som bevis for, at Apple siden havde modtaget en hemmelig anmodning om data og nu var underlagt en kneblenordre. Men det er også muligt, at en forfatter eller en advokat blot omformulerede passagen, enten for at gøre det klarere eller for at gøre Apples ord mere forsvarlige i retten. Vi ved simpelthen ikke, om dette endda var en garantikanarie.
Den oprindelige linje mangler i alle efterfølgende rapporter.
2. NordVPN's Warrant Canary
NordVPN er en VPN-udbyder, der lægger en garantikanarie på sin Om os side. Her er et skærmbillede af det, du i øjeblikket ser, hvis du ruller helt ned til bunden med datoen opdateret.
Men der er nogle detaljer, man skal huske på her, som virksomheden uddybte, når den først annoncerede sin garantikanarie. NordVPN er baseret i Panama, ikke USA, så det er ikke underlagt den amerikanske patriotlov. USA er ikke det eneste land med sådanne love, men som NordVPN siger, kræver Panama ikke opbevaring af data eller tillader gag-ordrer.
Men hvis du har sporet virksomhedens garantikanarie, har du måske bemærket, at siden Om os ikke var dens oprindelige hjem. I den oprindelige annonce er garantikanarien havde sin egen URL, som nu omdirigerer.
3. Purismens Warrant Canary
Purisme gør computere med vægt på gratis software og privatliv. Af hensyn til gennemsigtighed har virksomheden en hel webside, der tjener som en garantikanarie. Sidens titel, URL'en og sidebeskrivelsen angiver eksplicit, hvad en garantikanarie er, og formålet med siden.
”Denne side er for at informere brugerne om, at purisme ikke er blevet serveret med en hemmelig stævning fra regeringen i nogen af dens hardware, dets software eller dets tjenester. Hvis en ordningskanarie ikke er blevet opdateret i den periode, der er angivet af purisme, skal brugerne antage, at purismen virkelig er blevet serveret med en hemmelig stævning. Hensigten er at give Purisme mulighed for at advare brugere om eksistensen af en stævning passivt uden at afsløre til andre, at regeringen har søgt eller fået adgang til information eller poster under en hemmelighed stævning. Warrant-kanarier har vist sig at være lovlige af det amerikanske justitsministerium, så længe de er passive i deres meddelelser. ”
Selv med så klare og gennemsigtige intentioner er der stadig plads til gætteri. Da 1. oktober 2019 kom og gik, tog nogen til Purisme-fora at spørge om den manglende opdatering af garantibilleder. De modtog et link warrants canarys kildekode på GitLab, som var blevet opdateret til tiden og endnu ikke synkroniseret med webstedet. Dette viser det Selv når der er en høj grad af gennemsigtighed, gør kanarifuglkærre stadig det let at hoppe til konklusioner.
Du kan bare ikke stole på Warrant Canaries
Warrant kanarier kan stamme fra et alvorligt ønske om at informere brugerne om deres datatilstand. Men selvom nogle implementeringer er bedre end andre, en kautionskanarie alene giver ikke et definitivt bevis på en stævning.
Hvis du vil se, hvor meget forvirring der kan spawn fra en kanariegaranti, så tjek kommentartråden, der fulgte efter en ændring af SpiderOaks garantikanarie. Du er også velkommen til at dele din egen oplevelse.
Bertel er en digital minimalist, der skriver fra en bærbar computer med fysiske privatlivskontakter og et operativsystem, der er godkendt af Free Software Foundation. Han værdsætter etik over funktioner og hjælper andre med at tage kontrol over deres digitale liv.