Como as empresas de tecnologia usar canários mandado para comunicar secretamente com você

(Imagem via Wikimedia)

Neiman Marcus: 1,1 milhões de cartões comprometida; emergentes de segurança das nações crucial para o futuro da Internet: Microsoft; A maioria dos CEOs sem pistas sobre ataques cibernéticos – e sua resposta a incidentes comprova isso; TECH PRO PESQUISA: IT Política Anti-Virus

Imagine isso. Um gigante da tecnologia sem nome no Vale do Silício é entregue um pedido de dados ultra-secreta para virar dados sobre um cliente (ou potencialmente todos eles).

Como a ordem é classificada, a empresa não está autorizado a dizer a ninguém, muito menos o cliente em questão.

A menos que alguém vaza a ordem – o que seria quase inevitavelmente levar à pena de prisão – ninguém nunca vai saber. As empresas não estão sequer autorizados a divulgá-la em seus relatórios de transparência, uma maneira popular de divulgar quantos pedidos de aplicação da lei são feitas em um determinado período de tempo.

Esses chamados “terceira partes confiáveis” podem ser as empresas de tecnologia mais importantes que você nunca ouviu falar. o site revela como essas empresas funcionam como intermediários ou “corretores” de dados de clientes entre ISPs e empresas de telefonia, e o governo dos EUA.

Mas, na esteira dos vazamentos Snowden, onde foram feitas as alegações de cumplicidade com actividades de vigilância, as empresas percebem a confiança do cliente é mais importante do que nunca.

Muitos estão se voltando para o “canário mandado”, que é uma declaração pública em um site que afirma que a demanda de dados ultra-secreta não foi recebido, publicado na expectativa de receber uma ordem desse tipo. Remoção o aviso sugere um foi recebido, mas não viola a ordem de mordaça, porque nada foi dito explicitamente. bibliotecário baseada em Vermont Jessamyn Ocidental popularizou o canário mandado por sinais postando dizendo: “O FBI não foi aqui.

Mas a legalidade dos canários mandado foi posta em causa por um dos principais pesquisadores de segurança no ano passado.

Moxie Marlinspike, pseudónimo de um co-fundador de Sistemas Sussurro disse em um post Github no ano passado que ele acreditava que a remoção de um canário mandado iria “provavelmente têm os mesmos efeitos jurídicos da simplesmente postar algo que diz explicitamente que você recebeu alguma coisa.”

A Electronic Frontier Foundation (EFF) disse que não há nenhuma lei em vigor para evitar canários mandado de ser usado.

mais recente projecto do grupo privacidade, apelidado de “Canary Watch” e lançou no mês passado, lista canários mandado e monitoriza quaisquer alterações aos mesmos.

Nenhum tribunal já abordado publicamente o assunto “, disse FEP advogado de equipe Mark Rumold em um email. Seria” sem precedentes “, disse ele, para o governo para forçar uma empresa a manter esse canário mandado no lugar.” Eu sou cético ele nunca iria acontecer “, acrescentou.

Rumold disse que pode haver “riscos” associados com canários mandado, mas até que um tribunal decidir contra eles o FEP continuará organizações de apoio a usá-los.

Mas muitas empresas de tecnologia não têm seguido o exemplo, porque eles não podem. Isso porque eles foram (e continuam a ser) objecto de uma ordem de mordaça. Um exemplo proeminente é Verizon, que foi obrigado a cumprir uma Seção 215 para que os dados de registros de telefone de cada um de seus clientes.

Segurança; repensando conceitos básicos de segurança: Como superar a FUD; Inovação; mercado M2M salta para trás no Brasil; segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; segurança; WordPress pede que os usuários para atualizar? agora para corrigir falhas de segurança críticas

A Apple tornou-se o primeiro alto perfil Silicon Valley gigante da tecnologia para incluir um canário mandado nos seus relatórios de transparência em 2013, mas foi removido mais tarde por razões não especificadas. (Ainda não está claro se a Apple tinha sido atingido com uma ordem de mordaça -. Ou um pedido de mandado)

canários mandado de cair em uma área cinzenta legal, não testada nos tribunais. Em resposta aos vazamentos de Snowden, empresas de tecnologia quis ser mais transparente – em parte para exonerar-los de qualquer suposta cumplicidade em atividades de vigilância da NSA.

Mas o governo não se torna mais fácil. O Departamento de Justiça permite que as empresas divulguem o número de demandas de dados secretos em intervalos. A gama mais baixa é de zero a 999 solicitações. Isso significa que as empresas que não tenham recebido um pedido são consideradas em conjunto com aqueles que têm.

Rachel Levinson-Waldman, conselheiro do Programa Nacional de Segurança Liberdade e da Escola de Direito da Universidade de Nova York, argumentou que as empresas que optam por divulgar a figura de zero não pode ser amordaçado em uma solicitação inexistente.

“Eu acho que as empresas estão em terreno decentemente forte, entendendo que esta é uma área complexa”, disse ela.

Twitter está no meio de uma luta legal com o Departamento de Justiça depois que ele entrou com uma ação com o objetivo de resolver ou não canários mandado são protegidos pela Primeira Emenda direito à liberdade de expressão.

O Departamento de Justiça procurou descartar a maioria das reivindicações. Levinson-Waldman disse que “os tribunais estão começando a olhar mais crítico sobre as afirmações do governo de interesses de segurança nacional”, na esteira dos vazamentos Snowden, o que pode significar os tribunais vão decidir em favor do Twitter.

argumentos orais estão previstas para começar no final deste mês.

Repensar os fundamentos de segurança: Como superar a FUD

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Leitura obrigatória: Segurança