Bedrijven verzamelen gegevens over wat u denkt en doet, maar ze zijn niet de enigen die geïnteresseerd zijn in deze informatie. Wetshandhavingsinstanties willen soms toegang en als ze dat doen, kunnen ze bedrijven ertoe dwingen deze over te dragen. Sommigen kunnen deze bedrijven zelfs dwingen tot geheimhouding over de hele zaak.

Veel bedrijven houden hier niet van, dus hebben ze een tactiek aangenomen die 'warrantkanaries' heet, om ons te waarschuwen voor wat er aan de hand is.

Wat is een Warrant-kanarie?

Denk: 'kanarie in een kolenmijn'.

Canarische vogels werden ooit gebruikt in kolenmijnen als detectiesysteem voor giftige gassen. Canarische eilanden zouden sneller ziekteverschijnselen vertonen dan mensen zodra de koolmonoxideniveaus begonnen te stijgen. Op deze manier dienden de vogels als vroegtijdig waarschuwingssysteem.

Warrantenkanaries waarschuwen u voor het bestaan ​​van een bevel (of beter gezegd het niet-bestaan ​​van een bevel). Stel dat een bedrijf een speciale webpagina maakt waarin staat dat het nooit een garantie voor klantgegevens heeft ontvangen. Deze pagina is de warrantkanarie. Als het naar beneden gaat of de bewoordingen veranderen, dan kunt u hieruit afleiden dat het bedrijf een bevel heeft gekregen.

instagram viewer

Zijn Warrant Canaries betrouwbaar?

Kort antwoord: nee!

Een warrantkanarie biedt geen definitieve informatie dat een warrant is afgegeven. Wanneer een verklaring van een website verdwijnt, kunnen we het meest speculeren.

5 belangrijkste problemen met Warrant Canaries

  1. Soms verdwijnen gerechtelijke kanaries om pas een paar dagen later weer te verschijnen.
  2. Soms verandert de taal subtiel, wat ons meer redenen geeft om te speculeren, maar nog minder zekerheid.
  3. Sommige kanaries ontvangen dagelijks updates, andere worden gepost en blijven ongewijzigd, misschien zelfs vergeten.
  4. Er is geen consistentie tussen kanariaten. Sommige verschijnen in HTML op webpagina's, andere staan ​​in downloadbare PDF-rapporten of worden aangegeven met een afbeelding. Sommige sites doen hun best om die van hen te ondertekenen met GnuPG.
  5. Al deze inconsistentie maakt het monitoren van kanaries moeilijk.

Voor meer informatie over de problemen rond warrantkanaries, bekijk de Canary Watch-rapport van Electronic Frontier Foundation.

Voorbeelden van Warrant Canaries

Hier zijn enkele manieren waarop bedrijven tot nu toe garantiekanaries hebben gebruikt.

1. Apple's "Warrant Canary"

Apple publiceert twee keer per jaar een transparantierapport, waarin wordt beschreven hoe vaak het bedrijf voldoet aan verzoeken om gegevens van wetshandhavers. Jij kan bekijk de transparantierapporten van Apple op haar website.

Het eerste rapport in 2013 bevatte een lijn die verschillende verkooppunten meldden als een kanarie. Hier is de tekst:

'Apple heeft nooit een bestelling ontvangen op grond van artikel 215 van de Amerikaanse Patriot Act. We zouden verwachten een dergelijke bestelling aan te vechten als ze aan ons wordt geserveerd. ”

Sectie 215 van de USA Patriot Act stelt inlichtingendiensten in staat vele soorten documenten te verzamelen en personen of bedrijven dwingen niet over de zaak te spreken.

De bovengenoemde regel was in het volgende verslag nergens te vinden. In plaats daarvan was er dit:

"Tot op heden heeft Apple geen bestellingen voor bulkgegevens ontvangen."

Sommige waarnemers beschouwden deze wijziging als bewijs dat Apple sindsdien een geheim verzoek om gegevens had ontvangen en nu onderworpen was aan een grapopdracht. Maar het is ook mogelijk dat een schrijver of een advocaat de passage simpelweg anders heeft geformuleerd, hetzij voor de duidelijkheid, hetzij om de woorden van Apple verdediger te maken voor de rechtbank. We weten gewoon niet of dit zelfs een kanarie was.

De oorspronkelijke regel is in alle volgende rapporten verdwenen.

2. NordVPN's Warrant Canary

NordVPN is een VPN-provider die een kanarie op warranten plaatst het is Over ons pagina. Hier is een screenshot van wat u momenteel ziet als u helemaal naar beneden scrolt, met de datum bijgewerkt.

Wat is een Warrant-kanarie? Wat u moet weten en waarom u moet oppassen WarrantCanary Voorbeeld NordVPN

Maar er zijn enkele details om in gedachten te houden, die het bedrijf heeft uitgewerkt bij de eerste aankondiging van zijn kanarie. NordVPN is gevestigd in Panama, niet in de Verenigde Staten, en valt dus niet onder de Amerikaanse Patriot Act. De VS is niet het enige land met dergelijke wetten, maar zoals NordVPN stelt, Panama heeft geen gegevensbewaring nodig of staat gag-bestellingen toe.

Maar als je de kanarie van het bedrijf hebt gevolgd, is het je misschien opgevallen dat de pagina Over ons niet de oorspronkelijke locatie was. In de oorspronkelijke aankondiging is de warrant kanarie had zijn eigen URL, die nu omleidt.

3. Purism's Warrant Canary

Purisme maakt computers met de nadruk op vrije software en privacy. Met het oog op transparantie heeft het bedrijf een volledige webpagina die als een kanarie van de warrant dient. De titel van de pagina, de URL en de paginabeschrijving geven expliciet aan wat een garantierechtbank is en wat het doel van de pagina is.

'Deze pagina is bedoeld om gebruikers te informeren dat Purisme niet is gediend met een geheime dagvaarding van de overheid in een van de hardware, de software of de services. Als een warrantkanarie niet is bijgewerkt binnen de door Purism gespecificeerde tijdsperiode, moeten gebruikers ervan uitgaan dat Purism inderdaad is gediend met een geheime dagvaarding. De bedoeling is dat Purisme gebruikers passief kan waarschuwen voor het bestaan ​​van een dagvaarding, zonder te onthullen aan anderen dat de overheid onder geheimhouding toegang heeft gezocht tot of toegang heeft verkregen tot informatie of bescheiden dagvaarden. Canarische kanaries zijn door het Amerikaanse ministerie van Justitie legaal bevonden, zolang ze passief zijn in hun meldingen. "

Maar zelfs met zulke duidelijke en transparante bedoelingen is er nog steeds ruimte voor giswerk. Toen 1 oktober 2019 kwam en ging, nam iemand mee de Purismefora om te vragen naar de ontbrekende kanarie-update. Ze ontvingen een link naar de broncode van de kanarie op GitLab, die op tijd was bijgewerkt en nog niet was gesynchroniseerd met de site. Dit bewijst dat zelfs als er een hoge mate van transparantie is, maken kanaries met garanties het nog steeds gemakkelijk om tot conclusies te komen.

U kunt Warrant Canaries gewoon niet vertrouwen

Warrantkanaries kunnen voortkomen uit een oprechte wens om gebruikers te informeren over de status van hun gegevens. Maar hoewel sommige implementaties beter zijn dan andere, een kanarie alleen levert geen definitief bewijs van een dagvaarding.

Als je wilt zien hoeveel verwarring er kan ontstaan ​​bij een kanarie, kijk dan eens de commentaarthread die volgde na een wijziging in de kanarie van SpiderOak. Je mag ook je eigen ervaringen delen.

Bertel is een digitale minimalist die schrijft vanaf een laptop met fysieke privacyschakelaars en een door de Free Software Foundation onderschreven besturingssysteem. Hij waardeert ethiek boven functies en helpt anderen de controle over hun digitale leven te nemen.