Le aziende raccolgono dati su ciò che pensi e fai, ma non sono le uniche interessate a queste informazioni. Le forze dell'ordine a volte vogliono avere accesso e, quando lo fanno, possono costringere le aziende a consegnarlo. Alcuni possono persino far giurare a queste compagnie la segretezza sull'intera faccenda.

A molte aziende non piace questo, quindi hanno adottato una tattica chiamata "canarini di mandato" per avvisarci di ciò che sta accadendo.

Cos'è un Warrant Canary?

Pensa: "canarino in una miniera di carbone".

Un tempo gli uccelli delle Canarie venivano usati nelle miniere di carbone come sistema di rilevamento di gas tossici. Le Canarie mostrerebbero segni di malattia prima degli umani una volta che i livelli di monossido di carbonio hanno iniziato ad aumentare. In questo modo, gli uccelli fungevano da sistema di allarme rapido.

I canarini di warrant ti avvertono dell'esistenza di un warrant (o, piuttosto, della inesistenza di un warrant). Supponiamo che un'azienda crei una pagina Web dedicata in cui afferma di non aver mai ricevuto un mandato per i dati dei clienti. Questa pagina è il canary warrant. Se diminuisce o il testo cambia, puoi dedurre che la società ha ricevuto un mandato.

Warrant Canaries è affidabile?

Risposta breve: No!

Un canary warrant non offre informazioni definitive sull'emissione di un warrant. Quando un'affermazione scompare da un sito Web, il massimo che possiamo fare è speculare.

5 Problemi principali con Warrant Canaries

  1. A volte i canarini del mandato scompaiono solo per riapparire pochi giorni dopo.
  2. A volte la lingua cambia sottilmente, dandoci più motivi per speculare ma anche meno certezza.
  3. Alcuni canarini ricevono aggiornamenti su base giornaliera mentre alcuni vengono pubblicati e rimangono invariati, forse addirittura dimenticati.
  4. Non c'è coerenza tra i canarini di warrant. Alcuni vengono visualizzati in HTML su pagine Web, mentre altri sono in report PDF scaricabili o indicati da un'immagine. Alcuni siti sono sottoposti allo sforzo di firmare il proprio con GnuPG.
  5. Tutte queste incoerenze rendono difficile il monitoraggio dei canarini di mandato.

Per ulteriori informazioni sui problemi relativi ai canarini warrant, dai un'occhiata a Rapporto Canary Watch della Electronic Frontier Foundation.

Esempi di Warrant Canaries

Ecco alcuni modi in cui le aziende hanno finora utilizzato canarini di garanzia.

1. "Warrant Canary" di Apple

Apple pubblica due volte l'anno un rapporto sulla trasparenza, che specifica in che modo l'azienda rispetta le richieste di legge relative ai dati. Puoi visualizza i rapporti sulla trasparenza di Apple sul suo sito web.

Il primo rapporto del 2013 conteneva una linea che vari punti vendita segnalavano come canary warrant. Ecco il testo:

"Apple non ha mai ricevuto un ordine ai sensi dell'articolo 215 del Patriot Act degli Stati Uniti. Ci aspetteremmo di contestare un tale ordine se ci venisse servito ”.

Sezione 215 del Patriot Act degli Stati Uniti consente alle agenzie di intelligence di raccogliere molti tipi di documenti e costringere gli individui o le aziende a non parlare della questione.

La linea di cui sopra non si trovava da nessuna parte nel prossimo rapporto. Invece, c'era questo:

"Ad oggi, Apple non ha ricevuto alcun ordine di dati in blocco."

Alcuni osservatori hanno preso questo cambiamento come prova che Apple da allora aveva ricevuto una richiesta segreta di dati ed era ora soggetta a un ordine di bavaglio. Ma è anche possibile che uno scrittore o un avvocato abbia semplicemente riformulato il passaggio, per chiarezza o per rendere le parole di Apple più difendibili in tribunale. Semplicemente non sappiamo se si trattasse addirittura di un canarino di warrant.

La riga originale è rimasta mancante da tutti i rapporti successivi.

2. Warrant Canary di NordVPN

NordVPN è un provider VPN che inserisce un canary warrant la sua pagina Chi siamo. Ecco uno screenshot di ciò che attualmente vedi se scorri fino in fondo, con la data aggiornata.

Cos'è un Warrant Canary? Cosa sapere e perché dovresti fare attenzione WarrantCanary Esempio NordVPN

Ma ci sono alcuni dettagli da tenere a mente qui, che la società ha elaborato quando ha annunciato per la prima volta il suo canary warrant. NordVPN ha sede a Panama, non negli Stati Uniti, quindi non è soggetto al Patriot Act degli Stati Uniti. Gli Stati Uniti non sono l'unico paese con tali leggi, ma come afferma NordVPN, Panama non richiede la conservazione dei dati o consente ordini di bavaglio.

Tuttavia, se hai seguito il canarino del mandato dell'azienda, potresti aver notato che la pagina Chi siamo non era la sua sede originale. Nell'annuncio originale, il canarino di mandato aveva il suo URL, che ora reindirizza.

3. Purismo del mandato Canarie

Il purismo rende i computer enfatizzati dal software libero e dalla privacy. Nell'interesse della trasparenza, la società ha un'intera pagina web che funge da canary warrant. Il titolo della pagina, l'URL e la descrizione della pagina indicano esplicitamente che cosa è un canary warrant e lo scopo della pagina.

“Questa pagina informa gli utenti che Purism non ha ricevuto una citazione segreta del governo in nessuno dei suoi hardware, software o servizi. Se un canary warrant non è stato aggiornato nel periodo di tempo specificato dal Purism, gli utenti devono presumere che il Purism sia stato effettivamente servito con una citazione segreta. L'intenzione è di consentire al Purismo di avvertire passivamente gli utenti dell'esistenza di una citazione, senza rivelare ad altri che il governo ha cercato o ottenuto l'accesso a informazioni o documenti in segreto mandato di comparizione. I canarini di mandato sono stati giudicati legali dal Dipartimento di Giustizia degli Stati Uniti, a condizione che siano passivi nelle loro notifiche. "

Eppure, anche con intenzioni così chiare e trasparenti, c'è ancora spazio per le congetture. Quando il 1 ° ottobre 2019 andava e veniva, qualcuno lo prendeva i forum sul purismo per chiedere l'aggiornamento mancante del canarino. Hanno ricevuto un link con il codice sorgente del canary warrant su GitLab, che era stato aggiornato in tempo e non ancora sincronizzato con il sito. Questo dimostra questo anche quando c'è un alto grado di trasparenza, i canarini di warrant rendono ancora più semplice saltare alle conclusioni.

Non puoi fidarti di Warrant Canaries

I canarini di warrant possono derivare da un serio desiderio di informare gli utenti sullo stato dei loro dati. Ma mentre alcune implementazioni sono migliori di altre, un canary warrant da solo non fornisce la prova definitiva di una citazione.

Se vuoi vedere quanta confusione può nascere da un canarino di warrant, dai un'occhiata il thread di commenti che ne è seguito a seguito di una modifica al canarino del mandato di SpiderOak. Puoi anche condividere la tua esperienza.

Bertel è un minimalista digitale che scrive da un laptop con interruttori fisici della privacy e un sistema operativo approvato dalla Free Software Foundation. Apprezza l'etica delle funzionalità e aiuta gli altri ad assumere il controllo della propria vita digitale.