EFF запустил сайт по отслеживанию «свидетельства канарейки» Canarywatch.org

    imageПравозащитная организация Electronic Frontier Foundation (EFF) в сотрудничестве с Berkman Center for Internet and Society (исследовательский центр Гарвардского университета по киберпространству), университетом Нью-Йорка и Calyx.net запустили CanaryWatch.org, целью которого является отслеживание «свидетельств канарейки» на различных сайтах — способа передачи информации, осуществляемого через молчание или отрицание.

    Многие публичные организации, особенно те, работа которых связана с обработкой личных данных пользователей, публикуют специальные документы о том, как именно осуществляется такая обработка. Вот, например, отчёт Google, где можно ознакомиться со статистикой запросов государственных органов на передачу им сведений о пользователях: из него следует, что на начало 2014 года поисковый гигант раскрыл данные о примерно 31 тысяче аккаунтов.

    Недавно в Microsoft рассказали о том, что передали в распоряжение французского правительства электронную переписку подозреваемых в расстреле редакции сатирического журнала Charlie Hebdo. Однако, согласно Патриотическому Акту США, организация может получить судебный документ с предписаниями, в котором ей запрещается разглашать сам факт такого получения. Обычно такие ордеры предназначены для выполнения «мероприятий по защите национальной безопасности», под которыми подразумевается негласная слежка за пользователями.

    Параграф 215 Патриотического Акта США, принятого после теракта 11 сентября, является основанием для наблюдения за электронной перепиской и телефонными звонками — о существовании таких программ стало известно благодаря свидетельствам Эдварда Сноудена. Он заявлял, что слежка за людьми осуществляется при содействии интернет-компаний, а АНБ платит им за доступ к переписке и файлам пользователей. В ФБР для наблюдения за пользователями он-лайн существует специально разработанная программа «Carnivore» — её использование «в чрезвычайных случаях» может быть начато сотрудниками бюро без ордера судьи, выдаваемого с одобрения прокуратуры.

    Вероятно, если бы не свидетельства Сноудена, то в интернет-компаниях были бы не против сохранять в тайне любые предписания от АНБ и выполнять их. Однако, скандалы с приватностью пользователей, вынудили многих глав компаний оправдываться в том, что никакого шпионажа на самом деле не ведётся. В ноябре 2013 года Apple в своём Transparency Report поместила упоминание о том, что компания не выполняет никаких действий, разрешённых в параграфе 215 Патриотического Акта. Если бы такой документ был бы получен, но в следующем отчёте упоминание об этом бы исчезло. Этот принцип называется «свидетельством канарейки»

    Именно для отслеживания таких случаев предназначен CanaryWatch.org: сотрудники будут отслеживать любые изменения в «свидетельствах канарейки» на сайтах и регулярно обновлять список Canary List. Пока что он весьма небольшой и из крупных компаний в нём можно отметить только Reddit и Pinterest. Для каждого сайта указана ссылка на документ, в котором сообщается об отсутствии предписаний на слежку и дата проверки этого документа. Таким образом можно будет оперативно судить о действиях компании.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 14
    • 0
      Т.е. я правильно понимаю, что речь будет идти только про коллекционирование различных экивоков?
      Было бы полезно, чтобы кто-то запустил ресурс и по общему сбору статистики по официальным запросам государств и спецслужб, а то пока каждый публикует их разрозненно.
      • 0
        В данном случае осуществляют сбор сведений именно о скрытых запросах, а не об официальной выдачи информации по судебным предписаниям. Такая информация представляет значительно бОльшую ценность.
        • 0
          Степень ценности, если честно, я не понимаю как вы оценили. Например, я когда анализирую т.н. транспаренси-отчеты от интернет-компаний — там много можно интересного и показательного выловить.
          Всё хочу их вместе свести, пока такого никто не делал — получились бы очень занимательные данные.
          • –1
            У вас другой вопрос, нежели освещённый в статье.

            А в статье освещается такая фишка:

            1) Apple публично заявляет, что не сливает данные в службы правительства.
            2) Службы правительства заставляют Apple слить некие данные.
            3) При этом службы явно запрещают освещать факт этой передачи.
            4) Apple просто убирает указанную публикацию. Таким образом, Apple «невозбранно» исполняет пункт 3, но удалением заявления предупреждает, что слив осуществлён.

            Упомянутый сайт занимается отслеживанием сдохших канареек.
        • +2
          Т.е. я правильно понимаю, что речь будет идти только про коллекционирование различных экивоков?
          Да. В стиле таком: на сайте висит баннер «нам не поступало постановление от правительства по слежке за вами», а потом он пропадает. Значит постановление поступило :)
      • +1
        По-моему, свидетельство канарейки — фигня полная. Как АНб может приказать компаниям не разглашать информацию, так же оно может довести до их сведения, что использование свидетельства канарейки в любом виде будет приравнено к разглашению.
        • –1
          Это же США. Там бюрократия возведена в абсолют. Чтобы АНБ могло приравнять такое «свидетельство» к разглашению, нужно отдельное решение уполномоченных на то лиц, а сделать это, если я ничего не путаю, может только суд.
          • 0
            Если судебная система работает нормально, то не может, поскольку факт использования свидетельства канарейки невозможно формализовать. АНБ что ли может потребовать убрать баннер или, наоборот, оставить? Ну, допустим, может указать на конкретный баннер, расположенный на конкретном сайте, а как указать на все баннеры такого типа, какова должна быть формулировка? Если позволить неконструктивные описания, то легко прийти к классическим парадоксам, которые приводятся в учебниках логики.

            С другой стороны, здесь уместно вспомнить неуловимого Джо. Свидетельство канарейки — очень слабый инструмент, который позволяет передать лишь, грубо говоря, один бит информации. Я не думаю, что АНБ захочет с ним бороться. В крайнем случае, если инициатива EFF приведет к массовому вывешиванию канареечных баннеров, оно может сделать очень простой ход: тоже отслеживать эти баннеры и слать их владельцам универсальный автоматически сгенерированный безобидный запрос («сообщите нам девичью фамилию матери вашего директора и никому не рассказывайте о нашем запросе»). Тогда множество честных канареек должно замолчать, но мы не сможем понять, в каждом конкретном случае был ли то фейковый запрос или настоящий наезд.
            • 0
              факт использования свидетельства канарейки невозможно формализовать.

              Не совсем. Можно вообще запретить компании вскрывать тему сотрудничества с органами. То есть вообще. Ни в соглашении, ни в правилах, ни в политике приватности — нигде. Ведь даже если в ToS не будет явно прописано, что данные могут выдаваться по запросу из органов, они всё равно по закону будут обязаны их выдать, а пользователь, прочитав в ToS о юрисдикции компании должен об этом и сам знать. Тогда в ход могут пойти другие пункты, которые не привяжешь уже к запросам о выдаче.

              Ещё я уверен, что к таким компаниям, как Apple, регулярно приходят запросы (во всех США, наверное, за день не меньше одного уголовного преступления свершается, в том числе против/с участием владельцев iPhone), поэтому этот пункт, должен быть убран постоянно.

              тоже отслеживать эти баннеры и слать их владельцам универсальный автоматически сгенерированный безобидный запрос («сообщите нам девичью фамилию матери вашего директора и никому не рассказывайте о нашем запросе»). Тогда множество честных канареек должно замолчать, но мы не сможем понять, в каждом конкретном случае был ли то фейковый запрос или настоящий наезд.

              А смысл, тепер на канарейки всем пофиг. С какой вообще стати компании должны убирать эти канарейки? Им же за неубирание ничего не будет, а вот репутачия пострадает — больше людей узнает масштабы сотрудничества со спецслужбами и подумает «нафиг мне вообще эта почта, пойду перекачусь в вон тот сервис, они заявляют, что не следят». Не следят с помощью запросов — так следят с помощью бекдоров и мониторинга траффика. Этот выпад EFF похож на попытку вернуть мир в досноуденовскую эпоху, чтобы все думали, что раз канарейка не сдохло, то значит не следят. Может EFF вообще засланные?
              • –1
                Можно вообще запретить компании вскрывать тему сотрудничества с органами.

                Всё-таки я утверждаю, точнее надеюсь, что все законные требования требования о неразглашении должны быть конструктивными. То есть, для фиксации факта нарушения требуется установить, кто и кому посылал сообщение, и чтобы в тексте сообщения явно и недвусмысленно передавалась запрещенная к разглашению информация. Иначе легко поймать логический парадокс, как в классической задаче:
                …Приговор суда был таков: ты будешь повешен в один из семи дней на следующей неделе, причем ты не будешь знать заранее, в какой именно день это произойдет; тебе сообщат об этом в день казни утром, до полудня.

                В решении задачи показывается, что приговор противоречив, то есть его невозможно исполнить. Проблема в том, что неконструктивно выражено требование об ограничении на передачу информации.

                С какой вообще стати компании должны убирать эти канарейки?

                Кроме идейных соображений есть еще репутация. Если меня заставят делать гадкие вещи, то я бы хотел, чтобы люди рано или поздно узнали, что я делал это по принуждению, а не по доброй воле. По-моему, довольно естественное желание, которое дает не только моральное удовлетворение, но и может повлиять на бизнес-репутацию и, следовательно, на профит.
                • –1
                  Если вообще запретить — баннер исчезнет, потому что будет нарушать постановление и канарейка сработает.
              • 0
                Как я понимаю, цепочка рассуждений тут следующая:

                1. Компания публикует квартальный финансовый отчёт со строчкой типа «расходы на обработку запросов АНБ: $0». Или без этой строчки, если запросы были.
                2. Требование АНБ о неразглашении становится эквивалентным требованию публикации ложных данных.
                3. После скандала с Энрон в 2006 году была ужесточена ответственность публичных компаний за введение в заблуждение акционеров. За это светит 10 лет тюрьмы, а то и больше.
                4. В случае если вскроется что Apple заставили манипулировать отчётом, они могут сослаться что выполняли указание чиновника в рамках закона Patriot Act, с них взятки гладки. Тем самым конкретный работник АНБ становится главным виновником тяжёлого преступления, а все бывшие в курсе дела коллеги и его начальство — соучастниками.
                5. АНБ нам не докладывает, но есть основания считать что пока никакого мега-теракта они не предотвратили и просто всасывают на всякий случай все данные, до которых могут дотянуться. Рисковать попасть в тюрьму из-за мелочи дураков нет.

                Как-то так.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое
              Интересные публикации