Cos’è un Warrant Canary? Cosa sapere e perché dovresti stare attento

Le aziende raccolgono dati su ciò che pensi e fai, ma non sono i soli interessati a queste informazioni. Le forze dell’ordine a volte vogliono avere accesso e, quando lo fanno, possono costringere le aziende a consegnarlo. Alcuni possono persino far giurare a queste compagnie la segretezza sull’intera faccenda.

A molte aziende non piace questo, quindi hanno adottato una tattica chiamata “canarini di mandato” per avvisarci di quello che sta succedendo.

Cos’è un Warrant Canary?

Pensa: “canarino in una miniera di carbone”.

Un tempo gli uccelli delle Canarie venivano usati nelle miniere di carbone come sistema di rilevamento di gas tossici. Le Canarie mostrerebbero segni di malattia prima degli umani una volta che i livelli di monossido di carbonio hanno iniziato ad aumentare. In questo modo, gli uccelli fungevano da sistema di allarme rapido.

I canarini di warrant ti avvertono dell’esistenza di un warrant (o, piuttosto, della inesistenza di un warrant). Supponiamo che un’azienda crei una pagina Web dedicata in cui afferma di non aver mai ricevuto un mandato per i dati dei clienti. Questa pagina è il canary warrant. Se diminuisce o il testo cambia, puoi dedurre che la società ha ricevuto un mandato.

Warrant Canaries è affidabile?

Risposta breve: No!

Un canary warrant non offre informazioni definitive sull’emissione di un warrant. Quando un’affermazione scompare da un sito Web, il massimo che possiamo fare è speculare.

5 Problemi principali con Warrant Canaries

  1. A volte i canarini del mandato scompaiono solo per riapparire pochi giorni dopo.
  2. A volte la lingua cambia sottilmente, dandoci più motivi per speculare ma anche meno certezza.
  3. Alcuni canarini ricevono aggiornamenti su base giornaliera mentre alcuni vengono pubblicati e rimangono invariati, forse addirittura dimenticati.
  4. Non c’è coerenza tra i canarini di warrant. Alcuni vengono visualizzati in HTML su pagine Web, mentre altri sono in report PDF scaricabili o indicati da un’immagine. Alcuni siti sono sottoposti allo sforzo di firmare il proprio con GnuPG.
  5. Tutte queste incoerenze rendono difficile il monitoraggio dei canarini di mandato.

Per ulteriori informazioni sulle questioni relative ai canarini di warrant, dai un’occhiata al rapporto Canary Watch della Electronic Frontier Foundation .

Esempi di Warrant Canaries

Ecco alcuni modi in cui le aziende hanno finora utilizzato canarini di garanzia.

1. “Warrant Canary” di Apple

Apple pubblica due volte l’anno un rapporto sulla trasparenza, che specifica in che modo l’azienda rispetta le richieste di legge relative ai dati. Puoi visualizzare i rapporti sulla trasparenza di Apple sul suo sito Web.

Il primo rapporto del 2013 conteneva una linea che vari punti vendita segnalavano come canary warrant. Ecco il testo:

“Apple non ha mai ricevuto un ordine ai sensi dell’articolo 215 del Patriot Act degli Stati Uniti. Ci aspetteremmo di contestare un tale ordine se ci venisse servito ”.

La sezione 215 del Patriot Act degli Stati Uniti consente alle agenzie di intelligence di raccogliere molti tipi di documenti e costringere persone o società a non parlare della questione .

La linea di cui sopra non si trovava da nessuna parte nel prossimo rapporto. Invece, c’era questo:

“Ad oggi, Apple non ha ricevuto alcun ordine di dati in blocco.”

Alcuni osservatori hanno preso questo cambiamento come prova che Apple da allora aveva ricevuto una richiesta segreta di dati ed era ora soggetta a un ordine di bavaglio. Ma è anche possibile che uno scrittore o un avvocato abbia semplicemente riformulato il passaggio, per chiarezza o per rendere le parole di Apple più difendibili in tribunale. Semplicemente non sappiamo se questo era persino un canarino di mandato.

La riga originale è rimasta mancante da tutti i rapporti successivi.

2. Warrant Canary di NordVPN

NordVPN è un provider VPN che inserisce un canarino di garanzia nella sua pagina Chi siamo . Ecco uno screenshot di ciò che attualmente vedi se scorri fino in fondo, con la data aggiornata.

Ma ci sono alcuni dettagli da tenere a mente qui, che la società ha elaborato quando ha annunciato per la prima volta il suo canary warrant. NordVPN ha sede a Panama, non negli Stati Uniti, quindi non è soggetto al Patriot Act statunitense. Gli Stati Uniti non sono l’unico paese con tali leggi, ma come afferma NordVPN, Panama non richiede la conservazione dei dati o consente ordini di bavaglio.

Tuttavia, se hai seguito il canary warrant dell’azienda, potresti aver notato che la pagina Chi siamo non era la sua sede originale. Nell’annuncio originale, il canary warrant aveva un proprio URL , che ora reindirizza.

3. Purism’s Warrant Canary

Il purismo rende i computer con un’enfasi sul software libero e sulla privacy. Nell’interesse della trasparenza, la società ha un’intera pagina web che funge da canary warrant. Il titolo della pagina, l’URL e la descrizione della pagina indicano esplicitamente che cosa è un canarino di mandato e lo scopo della pagina.

“Questa pagina informa gli utenti che Purism non ha ricevuto una citazione segreta del governo in nessuno dei suoi hardware, software o servizi. Se un canary warrant non è stato aggiornato nel periodo di tempo specificato da Purism, gli utenti devono presumere che il Purism sia stato effettivamente servito con una citazione segreta. L’intenzione è di consentire al Purismo di avvertire passivamente gli utenti dell’esistenza di una citazione, senza rivelare ad altri che il governo ha cercato o ottenuto l’accesso a informazioni o documenti in una citazione segreta. I canarini di mandato sono stati giudicati legali dal Dipartimento di Giustizia degli Stati Uniti, a condizione che siano passivi nelle loro notifiche. “

Eppure, anche con intenzioni così chiare e trasparenti, c’è ancora spazio per le congetture. Quando il 1 ° ottobre 2019 andava e veniva, qualcuno si recava ai forum sul Purismo per chiedere informazioni sull’aggiornamento canarino del mandato mancante. Hanno ricevuto un link con il codice sorgente del canary warrant su GitLab, che era stato aggiornato in tempo e non ancora sincronizzato con il sito. Ciò dimostra che, anche in presenza di un elevato grado di trasparenza, i canarini con mandato di garanzia rendono ancora più semplice saltare alle conclusioni.

Non puoi fidarti delle Warrant Canarie

I canarini di warrant possono derivare da un serio desiderio di informare gli utenti sullo stato dei loro dati. Ma mentre alcune implementazioni sono migliori di altre, un canarino di mandato da solo non fornisce la prova definitiva di una citazione .

Se vuoi vedere quanta confusione può nascere da un canarino di warrant, controlla il thread di commenti che è seguito a seguito di una modifica al canarino di warrant di SpiderOak. Puoi anche condividere la tua esperienza.