As empresas coletam dados sobre o que você pensa e faz, mas não são os únicos interessados ​​nessas informações. Às vezes, as agências policiais querem acesso e, quando o fazem, podem obrigar as empresas a entregá-lo. Alguns podem até fazer essas empresas jurarem segredo sobre todo o caso.

Muitas empresas não gostam disso, então adotaram uma tática chamada "canário de garantia" para nos alertar sobre o que está acontecendo.

O que é um canário com mandado?

Pense: "canário em uma mina de carvão".

As aves canárias já foram usadas em minas de carvão como um sistema de detecção de gases tóxicos. Canárias mostrariam sinais de doença mais cedo do que os seres humanos quando os níveis de monóxido de carbono começassem a subir. Desta forma, os pássaros serviram como um sistema de alerta precoce.

Canários com mandado de alerta alertam para a existência de um mandado (ou melhor, a inexistência de um mandado). Digamos que uma empresa crie uma página da web dedicada afirmando que nunca recebeu um mandado para dados de clientes. Esta página é o canário de mandado. Se cair, ou o texto mudar, você pode deduzir que a empresa recebeu um mandado.

instagram viewer

Canárias subtenentes são confiáveis?

Resposta curta: Não!

Um canário de mandado não oferece informações definitivas de que um mandado foi emitido. Quando uma declaração desaparece de um site, o máximo que podemos fazer é especular.

5 principais problemas com canários subtenentes

  1. Às vezes, os canários-mandados desaparecem apenas para reaparecer alguns dias depois.
  2. Às vezes, o idioma muda sutilmente, fornecendo-nos mais motivos para especular, mas ainda menos certeza.
  3. Alguns canários recebem atualizações diariamente, enquanto outros são publicados e permanecem inalterados, talvez até esquecidos.
  4. Não há consistência entre os canários mandados. Alguns aparecem em HTML nas páginas da Web, enquanto outros estão em relatórios em PDF para download ou são indicados por uma imagem. Alguns sites passam pelo esforço de assinar com o GnuPG.
  5. Toda essa inconsistência torna difícil o monitoramento dos canários de mandado.

Para mais informações sobre os canários de mandado, dê uma olhada no Relatório Canary Watch da Electronic Frontier Foundation.

Exemplos de canários com mandado

Aqui estão algumas maneiras pelas quais as empresas usaram canários de mandado até agora.

1. "Canário de autorização" da Apple

A Apple publica um relatório de transparência duas vezes por ano, que detalha com que frequência a empresa cumpre com as solicitações de aplicação da lei por dados. Você pode veja os relatórios de transparência da Apple em seu site.

O primeiro relatório de 2013 continha uma linha que vários pontos de venda relataram como canário de autorização. Aqui está o texto:

“A Apple nunca recebeu um pedido nos termos da Seção 215 da Lei de Patriota dos EUA. Esperaríamos contestar tal ordem se nos servissem.

Seção 215 da Lei de Patriota dos EUA permite às agências de inteligência coletar muitos tipos de registros e forçar indivíduos ou empresas a não falar sobre o assunto.

A linha acima mencionada não foi encontrada em nenhum lugar no próximo relatório. Em vez disso, havia o seguinte:

"Até o momento, a Apple não recebeu pedidos de dados em massa."

Alguns observadores tomaram essa mudança como evidência de que a Apple havia recebido um pedido secreto de dados e agora estava sujeita a uma ordem de vandalismo. Mas também é possível que um escritor ou advogado simplesmente reformulou a passagem, por motivos de clareza ou para tornar as palavras da Apple mais defensáveis ​​em tribunal. Simplesmente não sabemos se este era um canário de mandado.

A linha original permaneceu ausente de todos os relatórios subsequentes.

2. Canário de Mandado do NordVPN

NordVPN é um provedor de VPN que coloca um canário de mandado sua página Sobre nós. Aqui está uma captura de tela do que você vê atualmente se rolar todo o caminho até o final, com a data atualizada.

O que é um canário com mandado? O que saber e por que você deve tomar cuidado com o WarrantCanary Example NordVPN

Mas há alguns detalhes a serem lembrados aqui, que a empresa elaborou ao anunciar seu primeiro mandado de prisão. O NordVPN está sediado no Panamá, não nos EUA, portanto não está sujeito à Lei do Patriota dos EUA. Os EUA não são o único país com essas leis, mas, como afirma a NordVPN, o Panamá não exige retenção de dados nem permite pedidos de mordaça.

No entanto, se você acompanha o canário de mandado da empresa, pode ter notado que a página Sobre nós não era sua casa original. No anúncio original, o mandado de prisão tinha seu próprio URL, que agora redireciona.

3. Canário de Mandado do Purismo

Purism faz computadores com ênfase em software livre e privacidade. No interesse da transparência, a empresa possui uma página da web inteira que serve como um canário de autorização. O título da página, o URL e a descrição da página explicitamente afirmam o que é um canário de mandado e o objetivo da página.

“Esta página é para informar aos usuários que o Purism não recebeu uma intimação secreta do governo em nenhum de seus hardwares, softwares ou serviços. Se um canário de mandado não for atualizado no período especificado pelo Purism, os usuários devem assumir que o Purism foi realmente servido com uma intimação secreta. A intenção é permitir que o Purismo avise os usuários da existência de uma intimação passivamente, sem revelar a outros que o governo tenha procurado ou obtido acesso a informações ou registros sob um segredo intimação. Os canários subtenentes foram considerados legais pelo Departamento de Justiça dos Estados Unidos, desde que sejam passivos em suas notificações. ”

No entanto, mesmo com intenções tão claras e transparentes, ainda há espaço para adivinhações. Quando 1 de outubro de 2019 chegou e foi, alguém levou para os fóruns do Purism para perguntar sobre a atualização do canário que faltava. Eles receberam um link do código-fonte do canário no GitLab, que foi atualizado a tempo e ainda não foi sincronizado com o site. Isso mostra que mesmo quando há um alto grau de transparência, os canários garantidos ainda facilitam tirar conclusões precipitadas.

Você simplesmente não pode confiar em canários com mandado

Canários com mandado podem resultar de um desejo sincero de informar os usuários sobre o estado de seus dados. Mas enquanto algumas implementações são melhores que outras, um canário mandado por si só não fornece prova definitiva de uma intimação.

Se você quiser ver quanta confusão pode surgir de um canário de mandado, confira o segmento de comentários que se seguiu após uma alteração no canário mandado de SpiderOak. Você também pode compartilhar sua própria experiência.

Bertel é um minimalista digital que grava em um laptop com opções de privacidade física e em um SO endossado pela Free Software Foundation. Ele valoriza a ética sobre os recursos e ajuda outras pessoas a assumir o controle de suas vidas digitais.