O que são "canários" de garantia?

Um canário de mandado é uma declaração pública que descreve uma ação que um provedor de serviços não realizou; a declaração é removida se o provedor de serviços obtiver uma ordem legal para adotar essa ação, mas for proibido de divulgá-la.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "canário de mandado"
  • Descrever os principais usos dos canários de mandado
  • Explicar para que um relatório de transparência é usado

Copiar o link do artigo

O que são "canários" de garantia?

Um canário de mandado é uma declaração que estabelece que uma organização não realizou determinadas ações ou recebeu determinadas solicitações de informações de autoridades governamentais ou legais. Muitos serviços usam canários de mandado para informar aos usuários o nível de privacidade de seus dados.

Alguns tipos de solicitações de aplicação da lei e de inteligência vêm com ordens que proíbem as organizações de divulgar que foram recebidas. No entanto, ao remover a declaração de canário de mandado correspondente de seu site (ou onde quer elas estejam publicadas), as organizações podem indicar que receberam tal solicitação.

Por que é chamado de "canário"? O termo deriva da analogia simples com o "canário na mina de carvão", que se refere à prática de levar canários para dentro das minas que ajudava a indicar a presença de algum gás mortal. O gás era invisível e não tinha cheiro, mas se o canário morresse, os mineiros saberiam que o gás estava presente. Da mesma forma, algumas solicitações do governo são "invisíveis" — não podem ser anunciados publicamente. No entanto, um canário de mandado que esteja faltando, indica que tal solicitação existe, assim como a morte de um canário indicava a presença de gás mortal.

Exemplos de canários de mandado

Um dos primeiros exemplos de canário de mandado foi uma placa colocada dentro de uma biblioteca no estado americano de Vermont em 2005. A placa dizia simplesmente: "O FBI não esteve aqui"; se a placa fosse retirada, a implicação seria que o Federal Bureau of Investigations (FBI) dos Estados Unidos havia acessado os registros dos usuários naquela biblioteca.

Aqui está um exemplo de um canário de mandado mais sofisticado para um serviço on-line: "Nossa empresa nunca instalou nenhum software ou equipamento de aplicação de lei em nenhum lugar de nossa rede". (Consulte a seção canários de mandado da Cloudflare abaixo para obter mais exemplos).

O que é um relatório de transparência?

Canários de mandado geralmente aparecem em relatórios de transparência. Um relatório de transparência é um relatório publicado em intervalos regulares por uma organização, para relatar solicitações de informações de aplicação da lei. Alguns relatórios de transparência também descrevem a frequência com que o conteúdo foi removido ou bloqueado como resultado da intervenção do governo.

Quando um canário de mandado desaparece da última versão de um relatório de transparência, isso indica que a declaração não se aplica mais — em outras palavras, uma agência governamental fez uma solicitação conforme descrito no canário.

Você pode ler o Relatório de transparência da Cloudflare aqui.

O que é uma solicitação do governo?

Uma solicitação do governo é qualquer solicitação de informações de uma agência governamental. As solicitações do governo incluem solicitações de autoridades legais, que geralmente investigam crimes, bem como solicitações de agências de inteligência ou outras agências governamentais com autoridades investigativas. As agências governamentais geralmente devem ir a um tribunal para ordenar que as organizações produzam as informações, o que torna obrigatório o cumprimento pelas organizações Mas as agências também podem simplesmente solicitar informações. Solicitações de agências de inteligência são particularmente relevantes para uso de canário de mandado porque normalmente não podem ser anunciadas publicamente.

O que é uma carta de segurança nacional?

Uma carta de segurança nacional (NSL) é um tipo de solicitação de inteligência específica das agências de inteligência dos EUA. Os destinatários da NSL são obrigados a manter em segredo o fato de terem recebido uma NSL para que as agências possam conduzir suas investigações sem interferência e sem informar o assunto da investigação. As agências federais só podem usar NSLs para solicitar certos tipos de registros — elas não podem solicitar o conteúdo das comunicações, como o texto do corpo do e-mail ou conversas telefônicas.

O que são backdoors de criptografia?

Criptografia é um método de ocultar informações, embaralhado-as de forma que pareçam ser dados aleatórios. Apenas as partes com a chave de criptografia podem decifrar e visualizar as informações reais.

Houve muitos casos em que os governos pediram aos provedores de serviços de tecnologia que introduzissem backdoors em sua criptografia. Um backdoor é uma maneira integrada de contornar a criptografia, é como dar a alguém uma chave mestra que pode abrir qualquer fechadura dentro de um prédio.

Backdoors tornam a criptografia mais fraca e menos segura. Por esse motivo, os provedores de tecnologia podem incluir um canário de mandado de criptografia para indicar se sua criptografia foi ou não enfraquecida por solicitação de uma agência governamental.

Quais são os canários de mandado da Cloudflare?

Em dezembro de 2020, a Cloudflare publicou os seguintes canários de mandado:

  1. A Cloudflare nunca entregou a ninguém as nossas chaves de encriptação ou de autenticação nem as chaves de encriptação ou de autenticação dos nossos clientes.
  2. A Cloudflare nunca instalou qualquer software ou equipamento de forças de segurança em qualquer parte da nossa rede.
  3. A Cloudflare nunca forneceu a qualquer organização de forças de segurança um relatório de conteúdo dos nossos clientes em trânsito pela nossa rede.
  4. A Cloudflare nunca modificou o conteúdo do cliente a pedido de forças de segurança ou de terceiros.
  5. A Cloudflare nunca modificou o destino pretendido das respostas de DNS a pedido de forças de segurança ou de terceiros.
  6. A Cloudflare nunca enfraqueceu, comprometeu ou subverteu qualquer da sua encriptação a pedido de forças de segurança ou de terceiros.

Consulte o Relatório de transparência da Cloudflare para saber mais.