Warrant canary

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Grammatica da correggere!
Questa voce o sezione sugli argomenti informatica e diritto contiene errori ortografici o sintattici oppure è scritta in una forma migliorabile.
Contribuisci a correggerla secondo le convenzioni della lingua italiana e del manuale di stile di Wikipedia. Segui i suggerimenti dei progetti di riferimento 1, 2.
Il warrant canary della biblioteca si basa sulla rimozione attiva progettata da Jessamyn West

Un warrant canary è un metodo con cui un fornitore di servizi di comunicazione mira ad informare implicitamente i propri utenti che al fornitore è stato notificato un mandato di comparizione governativo nonostante i divieti legali di rivelare l'esistenza del medesimo. Il warrant canary informa in genere gli utenti che non è stato ricevuto alcun mandato di comparizione da parte di un tribunale a partire da una data specifica. Se il warrant canary non viene aggiornato entro il periodo specificato dall'host o se l'avviso viene rimosso, gli utenti potrebbero presumere che lo stesso abbia ricevuto tale mandato. L'idea è che un provider avverta passivamente gli utenti dell'esistenza di un mandato di comparizione, pur violando lo spirito dell'ordinanza del tribunale di non farlo, non violando tuttavia l'ordinanza in sè per sè.

Alcuni mandati di comparizione, come quelli coperti dal 18 USC §2709(c) (emanato come parte del USA Patriot Act), prevedono sanzioni penali per la rivelazione dell'esistenza del mandato di comparizione a terzi, compresi gli utenti del fornitore di servizi.[1][2]

Le National Security Letters (NSL) hanno avuto origine nell'Electronic Communications Privacy Act del 1986 e originariamente prendevano di mira coloro che erano sospettati di essere agenti di una forza straniera.[3] Il targeting degli agenti di tali forze è stato rivisto nel Patriot Act nel 2001 per consentire alle NSL di prendere in considerazione coloro che potrebbero possedere informazioni ritenute rilevanti per attività di controspionaggio o attività terroristiche dirette contro gli Stati Uniti.[3] L'idea di utilizzare dichiarazioni negative per contrastare i requisiti di non divulgazione degli ordini del tribunale e dei mandati segreti è stata proposta per la prima volta da Steven Schear sulla mailing list cypherpunks,[4] principalmente per scoprire individui presi di mira dagli gli ISP. È stato anche suggerito e utilizzato dalle biblioteche pubbliche nel 2002 in risposta al Patriot Act degli Stati Uniti, che avrebbe potuto costringere i bibliotecari a rivelare la cronologia della circolazione degli utenti della biblioteca.[5][6]

Etimologia[modifica | modifica wikitesto]

Il termine è un'allusione alla pratica dei minatori di carbone che portano i canarini nelle miniere da utilizzare come segnale di allarme per i gas tossici, principalmente monossido di carbonio e metano.[7] Gli uccelli, essendo più sensibili a questi gas rispetto agli esseri umani, si ammalano prima dei minatori, avvisandoli dell'opportunità di scappare o indossare respiratori protettivi.[8]

Utilizzo[modifica | modifica wikitesto]

Un cartello in una biblioteca a Craftsbury, Vermont nel 2005

Il primo utilizzo commerciale di un warrant canary è stato da parte del fornitore di cloud storage statunitense rsync.net, che ha iniziato a pubblicare il suo canary nel 2006.[9] Oltre alla firma digitale, fornisce il titolo di una notizia recente come prova che il warrant canary è stato pubblicato di recente[10], oltre a rispecchiare la pubblicazione a livello internazionale.[11]

Il 5 novembre 2013, Apple è diventata la società più importante a dichiarare pubblicamente di non aver mai ricevuto un ordine per i dati degli utenti ai sensi della Sezione 215 del Patriot Act.[12][13] Il 18 settembre 2014, GigaOm ha riferito che la dichiarazione di warrant canary non appariva più nei successivi due rapporti sulla trasparenza di Apple, relativi a luglio-dicembre 2013 e gennaio-giugno 2014[14] Tumblr ha anche incluso un warrant canary nel rapporto sulla trasparenza pubblicato il 3 febbraio 2014.[15] Nell'agosto 2014, il servizio di cloud online Spider Oak ha implementato un warrant canary crittografato che pubblica un messaggio, "All Clear!", ogni 6 mesi. Tre firme PGP di firmatari distribuiti geograficamente devono firmare ciascun messaggio, quindi se un'agenzia governativa costringesse SpiderOak ad aggiornare la pagina, dovrebbe avvalersi dell'aiuto di tutti e tre i firmatari.[16]

Nel settembre 2014, il ricercatore statunitense sulla sicurezza Moxie Marlinspike ha scritto che "ogni avvocato con cui ho parlato ha indicato che avere un warrant canary rimosso o non aggiornato avrebbe probabilmente le stesse conseguenze legali del semplice pubblicare qualcosa che dice esplicitamente che 'ho ricevuto qualcosa'".[17][18]

Nel marzo 2015 è stato reso noto che l'Australia ha messo al bando l'uso di un certo tipo di warrant canary, rendendo illegale "divulgare informazioni sull'esistenza o non esistenza" di un mandato giornalistico emesso ai sensi delle nuove leggi sulla conservazione obbligatoria dei dati.[19] Successivamente, lo specialista in sicurezza informatica e privacy Bruce Schneier ha scritto in un post sul blog che "personalmente, non ho mai creduto che [warrant canary] avrebbero funzionato. Si basa sul fatto che il divieto di parlare non impedisce a qualcuno di non parlare. Ma i tribunali generalmente non sono impressionati da questo genere di cose, e posso facilmente immaginare un mandato segreto che includa il divieto di attivare il warrant canary. E per quanto ne so, ci sono proprio ora procedimenti legali segreti proprio su questo tema".[20] Questa non è la prima legge australiana a mettere fuorilegge i warrant canary con un mandato. Il "Telecommunications (Interception) Amendment Act 1995" è stato probabilmente il primo, rendendo illegale "divulgare informazioni sull'esistenza o non esistenza" dei mandati di intercettazione.[21]

Detto questo, la giurisprudenza specifica degli Stati Uniti renderebbe la continuazione segreta dei warrant canary soggetta a sfide di costituzionalità. Il West Virginia State Board of Education contro Barnette e Wooley contro Maynard stabilisce che la clausola sulla libertà di parola proibisce di costringere qualcuno a parlare contro la propria volontà; questo può essere facilmente esteso per evitare che qualcuno sia costretto a mentire. New York Times Co. contro Stati Uniti protegge chi esercita il Primo Emendamento per pubblicare informazioni governative, anche se è contro la volontà del governo, tranne che in circostanze gravi ed eccezionali precedentemente stabilite da leggi e precedenti. Ciò potrebbe avere implicazioni anche per quanto riguarda l’azione contro un intervento governativo diretto, simile a un intervento governativo contro un mandato canarino.

Di seguito è riportato un elenco non esaustivo di società e organizzazioni i cui warrant canary non compaiono più nei rapporti sulla trasparenza:

Canary Watch[modifica | modifica wikitesto]

Nel 2015, una coalizione di organizzazioni composta da EFF, Freedom of the Press Foundation, NYU Law, Calyx Institute e Berkman Center ha creato un sito Web chiamato Canary Watch per fornire un elenco compilato di tutte le società che forniscono un warrant canary. La loro mission era fornire aggiornamenti tempestivi su eventuali cambiamenti nello stato di un warrant canary. Spesso è difficile, per gli utenti, accertare autonomamente la validità di un canary e di conseguenza Canary Watch mirava a fornire una semplice visualizzazione di tutti i canary attivi e di eventuali periodi di tempo nei quali non lo fossero.[25] Nel maggio 2016 è stato annunciato che Canary Watch "non accetterà più l'invio di nuovi warrant canary né monitorerà quelli esistenti per modifiche o eliminazioni".[26] La coalizione di organizzazioni che ha creato Canary Watch ha spiegato la propria decisione di interrompere il progetto affermando di aver raggiunto i suoi obiettivi quali aumentare la consapevolezza sui "processi di sicurezza nazionale illegali e incostituzionali, comprese le lettere sulla sicurezza nazionale e altri processi giudiziari segreti". La Electronic Frontier Foundation ha inoltre osservato che "il fatto che i warrant canary non siano standard ne rende difficile il monitoraggio automatico per eventuali modifiche o rimozioni". Hanno spiegato che il progetto aveva fatto il suo corso, che era stata prestata ampia attenzione ai warrant canary e che i punti di forza e di debolezza dei medesimi erano stati osservati in modo dettagliato.[26]

Esempi[modifica | modifica wikitesto]

Nel 2016, il collettivo tecnologico Riseup non ha potuto rinnovare il proprio warrant canary, a causa di mandati sigillati da parte di un tribunale.[27][28] Da allora il loro warrant canary è stato aggiornato, ma non indica più l'assenza di ordinanze.[29]

Note[modifica | modifica wikitesto]

  1. ^ Nadine Strossen, vol. 29, http://www.law.harvard.edu/students/orgs/jlpp/Vol29_No1_Strossen.pdf.
  2. ^ Eunice Moscoso.
  3. ^ a b Shaun Waterman, http://www.upi.com/Business_News/Security-Industry/2004/09/30/Ashcroft-US-will-appeal-terror-law-ruling/UPI-66781096585901/.
  4. ^ groups.yahoo.com, http://groups.yahoo.com/neo/groups/cypherpunks-lne-archive/conversations/topics/5869. URL consultato il 13 giugno 2013.
  5. ^ librarian.net, 2002, http://www.librarian.net/technicality.html. URL consultato il 14 novembre 2013.
  6. ^ theguardian.com, https://www.theguardian.com/technology/2013/sep/09/nsa-sabotage-dead-mans-switch. URL consultato il 14 novembre 2013.
  7. ^ David A. Bengston, Diane S. Henshel, "Environmental Toxicology and Risk Assessment: Biomarkers and Risk Assessment", ASTM International, 1996, ISBN 0803120311, p 220.
  8. ^ (EN) Science and Industry Museum blog, https://blog.scienceandindustrymuseum.org.uk/canary-resuscitator/. URL consultato il 13 ottobre 2021.
  9. ^ reddit.com, https://www.reddit.com/r/reddit.com/comments/6ecu/an_isp_that_protects_your_data_from_the_nsa/. URL consultato il January 5, 2016.
  10. ^ rsync.net, http://www.rsync.net/resources/notices/canary.txt. URL consultato il June 12, 2013.
  11. ^ blog.kozubik.com, http://blog.kozubik.com/john_kozubik/2010/08/the-warrant-canary-in-2010-and-beyond.html. URL consultato il 13 giugno 2013.
  12. ^ arstechnica.com, https://arstechnica.com/tech-policy/2013/11/apple-takes-strong-privacy-stance-in-new-report-publishes-rare-warrant-canary/. URL consultato il 5 November 2013.
  13. ^ images.apple.com, https://images.apple.com/pr/pdf/131105reportongovinforequests3.pdf. URL consultato il 15 novembre 2013.
  14. ^ Gigaom, https://gigaom.com/2014/09/18/apples-warrant-canary-disappears-suggesting-new-patriot-act-demands/. URL consultato il 18 settembre 2014.
  15. ^ http://www.dailydot.com/news/tumblr-nsa-transparency-report/.
  16. ^ TechCrunch, https://techcrunch.com/2014/08/14/spideroak-implements-a-warrant-canary/. URL consultato il 28 January 2017.
  17. ^ GitHub, https://github.com/WhisperSystems/whispersystems.org/issues/34#issuecomment-56448994. URL consultato il 3 April 2016.
  18. ^ Fortune, http://fortune.com/2016/04/01/reddit-warrant-canary/. URL consultato il 3 April 2016.
  19. ^ Doctorow, Cory, boingboing.net, http://boingboing.net/2015/03/26/australia-outlaws-warrant-cana.html. URL consultato il March 26, 2015.
  20. ^ Schneier, Bruce, Schneier on Security, https://www.schneier.com/blog/archives/2015/03/australia_outla.html. URL consultato il 21 June 2015.
  21. ^ Anderson, Shae, shaed.medium.com, https://shaed.medium.com/has-australia-killed-the-warrant-canary-da30393fb819. URL consultato il 14 February 2021.
  22. ^ Ars Technica, https://arstechnica.com/tech-policy/2014/09/no-apple-probably-didnt-get-new-secret-govt-orders-to-hand-over-data/. URL consultato il 21 June 2016.
  23. ^ reuters.com, https://www.reuters.com/article/us-usa-cyber-reddit-idUSKCN0WX2YF. URL consultato il 31 March 2016.
  24. ^ TechCrunch, https://techcrunch.com/2016/07/05/silent-circle-silently-snuffs-out-its-warrant-canary-but-claims-its-a-business-decision/. URL consultato il 6 July 2016.
  25. ^ gizmag.com, http://www.gizmag.com/canary-watch-government-information-requests/35932/. URL consultato il 5 March 2015.
  26. ^ a b Deeplinks, https://www.eff.org/deeplinks/2016/05/canary-watch-one-year-later. URL consultato il 15 July 2016.
  27. ^ reddit.com, https://www.reddit.com/r/WhereIsAssange/comments/5dm8vy/disparity_in_the_riseup_canary_gpg_rsa_key_was/.
  28. ^ horizontalhostility.net, http://horizontalhostility.net/post/001. URL consultato il 21 dicembre 2017.
  29. ^ (EN) ZDNet, https://www.zdnet.com/article/encrypted-email-provider-riseup-misses-warrant-canary-deadline/. URL consultato il 10 novembre 2019.

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Estratto da "https://it.wikipedia.org/w/index.php?title=Warrant_canary&oldid=138153987"