Viete, že mnoho dôležitých webov, ktoré súvisia so súkromím a ochranou používateľa, chová vo svojej klietke malého virtuálneho žltého kanárika, ktorý čaká na svoju smrť? Nedeľník TOUCHIT vážne i nevážne. Nezviazané IT témy na tisíc spôsobov.

Internetový kanárik, či v angličtine Warrant canary (v doslovnom preklade kanárik súdneho predvolania), je trochu čudesný a pri tom veľmi dôležitý mechanizmus, ktorý prevádzkuje mnoho, najmä amerických internetových spoločností.

Kanárik je mimoriadne významný predovšetkým u tých firiem, ktoré držia citlivé dáta používateľov a zameriavajú sa na ich ochranu pred cudzími zrakmi. Ide teda napríklad o firmy poskytujúce šifrované ale i nešifrované cloudové úložiská, VPN tunely, šifrované či inak dobre zabezpečené e-mailové služby, textové komunikátory a podobne.

Kanárik má v základe jedinú úlohu. Informovať používateľov daných služieb o tom, že služba sa stala nedôveryhodnou z dôvodu, že bola vládnymi organizáciami donútená k spolupráci a k vyzradeniu citlivých dát.

Ak napríklad používate nejaký program na šifrované posielanie textových správ, pričom mu plne dôverujete, mŕtvy kanárik vás má presvedčiť o tom, že služba môže byť kompromitovaná a mali by ste ju prestať používať, alebo jej minimálne prestať plne dôverovať.

Prečo tu ale hovorím o nejakých divných kanárikoch? Čo nejaká firma nemôže povedať – hej, práve od nás vláda požaduje vydanie šifrovacích kľúčov a naprášenie našich zákazníkov? Nuž, čuduj sa svete, v USA, Veľkej Británii a mnohých ďalších krajinách to neplatí, pretože spolu s takouto požiadavkou môže vládna organizácia uvaliť tzv. gag order, teda súdny príkaz na mlčanie, ktorý pod hrozbou vysokých trestov zabráni, aby osoba alebo firma o tomto kroku kohokoľvek informovala.

A tu práve začína byť čudesný mechanizmu internetového kanárika užitočný.

PREČO SA INTERNETOVÝ KANÁRIK VOLÁ KANÁRIK

Internetový kanárik je v základe vynaliezavý spôsob, ako informovať ľudí o nejakom fakte aj v prípade, že máte súdne zakázané o ňom kohokoľvek informovať.

Toto na oko paradoxné tvrdenie vychádza z toho, že daný akt je pasívny. Namiesto toho, aby ľudia z nejakej firmy porušili zákon a povedali „vláda nás práve donútila spolupracovať a vydať šifrovacie kľúče“, nepovedia skrátka nič.

Internetový kanárik má podobu toho, že firma pravidelne uverejňuje informáciu typu „Do dnešného dňa sme nikdy nedostali žiadny súdny príkaz na spoluprácu a nikdy sme neboli donútení vydať naše kľúče“, pričom ju publikuje na svojom webe pravidelne napríklad každých 30 dní.

A jedného dňa sa tam táto správa skrátka neobjaví. Kanárik zomrel. Firma bola donútená spolupracovať a nič nepovedať. Trik je ale v tom, že naozaj ani nič nepovedala. Skrátka len pasívne zostala nečinná. Ak si toho ktokoľvek nezúčastnený všimne, môže biť na poplach a zalarmovať používateľov či médiá.

Prečo sa toto volá kanárik? Tento na oko čudne pomenovaný mechanizmus dostal svoje meno podľa v minulosti reálne používanej praxe v baníctve. Reálny vtáčik tu fungoval ako včasný detekčný systém ohrozenia, pričom baníci ho brali do dolov zavretého v klietke, ktorú zavesili vedľa seba v novo prerážaných šachtách.

Najmä pri ťažbe uhlia hrozí, že sa narazí na kapsu plnú toxických plynov, ako je kysličník uhličitý či metán. Mnohé toxické plyny pri tom nemajú žiadny zápach (napr. do zemného plynu, ktorý máte zavedený doma, sa známy špecifický zápach pridáva umelo, práve ako varovanie v prípade úniku) a ľudia teda nemajú pocit, že im hrozí skorá otrava.

Smutnou úlohou kanárika bolo teda včas zomrieť na otravu plynom, pretože má omnoho menšie telo a dýchací systém, takže otrava na neho pôsobí rýchlejšie ako na človeka. Ak si teda baníci všimli, že kanárik padol z bydielka mŕtvy na zem, utekali preč. Aj keď sa to zdá neuveriteľné, aj v mnohých vyspelých krajinách, ako napríklad vo Veľkej Británii, sa táto metóda používala až do roku 1986, kedy bola nahradená elektronickými detektormi.

Podoba s internetovým kanárikom je taká, že ani banícky kanárik nevaroval baníkov spevom, škrekom či pohybom krídlami. Skrátka len pasívne zomrel. Informáciu predal tým, že sa už naveky nehýbal. Že neurobil nič.

AKTUÁLNA PODOBA KANÁRIKOV A SMUTNÝ DÔVOD NA ICH EXISTENCIU

Či už ide o internetových poskytovateľov, prevádzkovateľov sociálnych sietí či iných služieb, v USA, Británii či iných krajinách môžu tieto firmy kedykoľvek dostať tajný súdny príkaz na spoluprácu.

Ten je obvykle navrhnutý tak, aby FBI či iná vládna agentúra mohla donútiť súkromné spoločnosti k tomu, aby vydali dáta akéhokoľvek ich používateľa, alebo ich umožnili v rámci svojho systému sprístupniť v rámci vyšetrovania.

Keďže tieto spoločnosti obvykle poskytujú služby po celom svete, problém sa týka aj ľudí, ktorí nie sú občania daných krajín. V súvislosti s poskytovateľmi VPN, šifrovaných mailov či komunikátorov tak môže ísť o veľké ohrozenie súkromia a bezpečnosti.

Tajné súdne príkazy sú napríklad v USA zaštítené kontroverzným americkým zákonom patriotov (Patriot Act), ktorý miestnych obyvateľov obral o mnoho práv po teroristických útokoch z 11. septembra 2001. Zákon je pri tom využívaný nielen na boj s terorizmom, ale aj s akýmikoľvek inými zločinmi či v súvislosti s výzvednou činnosťou.

Bohužiaľ, tieto tajné súdne príkazy sú často sprevádzané už spomenutým príkazom na mlčanie (gag order), ktorý firme a jej vlastníkom a zamestnancom zabraňuje o tomto príkaze kohokoľvek informovať. Nemôžu teda svojim zákazníkom legálne oznámiť, že sú pod špionážnym dohľadom a služba už nie je naďalej bezpečná.

V USA boli tajné súdne príkazy zavedené do zákonov v roku 1986 (Communications Privacy Act), pričom boli výhradne určené na boj a získavanie informácii o infiltrovaných agentoch nepriateľských štátov na území USA. Na základe zákona patriotov z roku 2001 však bolo umožnené tieto mechanizmy používať kedykoľvek, kedy to CIA, FBI či obdobné vládne organizácie uznajú za relevantné.

Nápady použiť na obranu pasívne (ne)oznámenia, ktoré by boli legálne nepostihnuteľné, sa začali objavovať krátko po prijatí zákona patriotov, pričom diskusia tohto typu sa objavila napríklad v rámci cypherpunk mailing listu nadšencov do kryptografie.

Prvého známeho internetového kanárika zaviedol do prevádzky v roku 2006 americký prevádzkovateľ cloudových úložísk rsync.net. Kanárik je dodnes živý a môžete ho vidieť na tejto stránke. Ide o jednoduchý textový súbor, ktorý na začiatku hovorí o dôvode svojej prítomnosti, pričom nasleduje táto správa:

Vidíme v nej dátum, kedy bola naposledy uverejnená, teda 13. 8. 2018, pričom kanárik oznamuje, že firma rsync.net alebo jej majitelia a zamestnanci nedostali žiadny súdny príkaz na prehľadanie alebo zhabanie ich hardvéru, softvéru alebo dát. A to platí pre všetky lokality v San Diegu, v Denveri, Zürichu a Hongkongu. Následne vidíme nadpisy niekoľkých článkov z novín v danom dni, vrátane športových výsledkov a ich zašifrovanie PGP šifrovacím kľúčom a podpisom firmy.

Ide o pomerne silného kanárika. Firma má totiž nielen možnosť novú správu nepublikovať, ale aj publikovať, pričom vynechá napríklad riadok o San Diegu. Vloženie aktuálnych udalostí a športových výsledkov do zašifrovaného a overiteľného popísaného textu dokazuje, že správa nebola vytvorená pred týmto dátumom. Slabinou je, že kanárik neobsahuje informáciu o tom, kedy má byť aktualizovaný. Používateľ teda netuší, či je správa zastaraná za týždeň či mesiac.

Mimoriadne silného kanárika môžeme vidieť na webe Defcon.org, čo je web najväčšej svetovej konferencie hackerov (každoročne sa uskutočňuje v Las Vegas). V kanárikovi vidíme informáciu s dátumom 3. 8. 2018, pričom text oznamuje, že DEF CON nedostal žiadne súdne príkazy v súvislosti s tajnými službami a policajnými zložkami, vrátane príkazov na prehliadku a príkazov na mlčanie.

Dôležité je, že obsahuje informáciu, kedy bude kanárik aktualizovaný, pričom ide o čas najneskôr do 1. 10. 2018. Následne je pridaný PGP podpis overujúci pravosť.

Pomerne účinný je aj kanárik, ktorý má vo webovej klietke americká pobočka českej antivírusovej spoločnosti Avast. Text oznamuje, že do 1. júna 2018 Avast neposkytol v súvislosti s tajným súdnym príkazom žiadne dáta a nevybudoval žiadne zadné vrátka do svojich produktov. Na záver kanárika vidíme, že táto správa je aktualizovaná a publikovaná štvrťročne, teda aj 1. septembra, 1. decembra a 1. marca.

Nižšie môžete vidieť kanárika poskytovateľa VPN pripojenia Perfect-Privacy, ktorý od 20. júla 2018 uvádza, že firma nedostala žiadne tajné súdne príkazy, príkaz na mlčanie a nezabudovala zadné vrátka do svojich produktov. V spodnej časti vidíme, že kanárik bude aktualizovaný minimálne raz za mesiac. Do smrti mu teda zostáva už len jeden deň.

Kanáriky zaviedlo do prevádzky aj mnoho veľkých firiem, pričom prvou spoločnosťou veľkého významu bol v novembri roku 2013 Apple. Kanárik bol zabudovaný do reportov o transparentnosti spoločnosti. Pôvodne znel, že firma nedostala žiadny príkaz na vydanie dát na základe zákona patriotov, ale v nasledujúcich reportoch bola táto formulácia zmenená na „firma nedostala žiadny príkaz na vydanie súhrnných používateľských dát“.

Významný sociálny portál Reddit vytvoril kanárika v roku 2015 takisto v rámci svojho reportu o transparentnosti, v ktorom bola veta „Raddit nikdy nedostal žiadny tajný súdny príkaz a žiadnu tajnú požiadavku na vydanie používateľských informácií“. Táto veta sa od roku 2016 už v reporte neobjavuje a kanárik je od tejto doby považovaný za mŕtveho.

Tento akt naštartoval záujem o kanárikov u mnohých firiem, predovšetkým rôznych poskytovateľov VPN. Kanárikov v roku 2016 začala monitorovať organizácia EFF (Electronic Frontier Foundation). Kým na začiatku roku bolo v databáze len 11 firiem, do konca roku ich počet narástol na 70 a ďalšie desiatky čakali na prijatie. EFF napokon po jednom roku monitoring kanárikov vzdala z dôvodu zložitosti a komplikovanosti interpretácií, čím sa dostávame k slabinám a potenciálnym problémom týchto systémov.

PROBLÉM DNEŠNÝCH KANÁRIKOV

Základným problémom súčasných kanárikov je, že vyžadujú svedomitý prístup od prevádzkovateľa služby, pričom ľudia sú omylní a chyby sa jednoducho stávajú. Tie je pri tom veľmi ťažké interpretovať.

Ako dobrý príklad môže slúžiť udalosť, ktorá sa udiala v apríli tohto roku u VPN poskytovateľa VikingVPN. Stránka má pomerne unikátneho kanárika vo forme spínaču mŕtveho muža, ktorý sa bez včasného zásahu majiteľov zopne a logo stránky prepne z klasického červeno oranžového na čierno zelené.

Funguje od roku 2013, pričom pred štyrmi mesiacmi sa z ničoho nič mechanizmu zopol. To si všimli používatelia na serveri Reddit, konkrétne na subreddite venovanom VPN a začali biť na poplach. V diskusii sa zakrátko objavil prevádzkovateľ služby a vysvetlil, že šlo len o chybu a na časový spínač nestihol včas kliknúť.

EFF takéto prípady považovala v minulosti za veľký problém, pretože behom roku, v ktorom monitoring vykonávala, videla mnoho kanárikov umrieť a následne oživnúť, pričom sa jeho prevádzkovatelia ospravedlnili za chybu. Takéto javy sú pre používateľov veľmi mätúce a nechávajú priestor pre špekulácie.

Nie je to len trik? Je to ozajstný majiteľ, alebo jeho účet niekto ukradol? Nesnaží sa to vládna organizácia alebo samotný majiteľ pod nátlakom ututlať? To pravdaže nie je všetko. Otázka je aj to, či kanáriky vôbec poskytujú pre vlastníkov služieb dostatočnú ochranu pred obžalovaním.

Napríklad prominentný americký kryptografer Bruce Schneier sa vyjadril v tom zmysle, že internetový kanárik zrejme nefunguje. Podľa neho totiž kanárik stojí iba na fakte, že súdny zákaz o niečom hovoriť sa automaticky nevzťahuje aj na špecifické prípady mlčania, čo nemusí byť obhájiteľná pravda.

Súdy takouto aktivitou môžu pohrdnúť a môžu vyžadovať, aby sa zákaz týkal aj aktivácie kanárika. V budúcnosti tak môže byť existencia kanárikov postavená mimo zákon.

Podobne sa v roku 2014 vyjadril aj bezpečnostný expert Moxie Marlinspike, ktorý poukázal na to, že právne kancelárie sú pri diskusii o kanárikoch zdržanlivé a upozorňujú na to, že je dosť dobre možné, že na súde neobstoja a osoba ktorá svojou nečinnosťou aktivuje kanárika bude súdená ako keby úmyselne prezradila, že je vyšetrovaná alebo nútená k spolupráci.

To však zrejme závisí od podoby kanárika. Osobne predpokladám, že takto zraniteľný by bol iba kanárik, ktorý by vyžadoval cielené zabitie. Ak by napríklad prevádzkovateľ služby ručne zmazal zo svojej stránky oznámenie o tom, že sa niečo nestalo, dalo by sa to potenciálne chápať ako pozitívna akcia a porušenie zákazu o mlčanlivosti.

Väčšina kanárikov je ale navrhnutá tak, že sú publikované opakovane, keď je všetko v poriadku a jedného dňa/mesiaca či roka k novej publikácii nedôjde (menší interval je pochopiteľne pre používateľov lepší). Osobne sa nazdávam, že toto je omnoho silnejší a ťažie súdne napadnuteľný prvok. Tu totiž poskytovateľ naozaj nič nerobí.

Aj keď internetový kanárik nebol v rámci súdov v USA ešte nikdy napadnutý, mnoho ľudí očakáva, že na súde obstojí v súvislosti s americkou ústavou a slobodou prejavu. Napríklad v Severnej Virgínii existuje súdny precedens (West Virginia State Board of Education v. Barnette and Wooley v. Maynard), že ústava občanov chráni pred tým, aby ich štát donútil proti ich vôli klamať.

To by znamenalo, že štátne orgány nemajú právo donútiť prevádzkovateľa služby k tomu, aby publikoval nového kanárika, oznamujúceho klamlivo, že nedostal žiadny tajný súdny príkaz a nie je viazaný mlčanlivosťou.

Extrémne problematické by asi takisto bolo, ak by vládne organizácie niekoho nútili vydať nového kanárika s PGP podpisom a šifrovaním, čím by vlastne nútili nevinnú osobu, neobžalovanú zo žiadneho zločinu (od ktorej sa „iba“ požaduje vydanie dát iného človeka), aby vykonávala niečo proti svojej vôli, dobrým mravom a proti svojim zásadám.

Na druhú stranu, z odhalení Edwarda Snowdena vieme, že americké tajné služby sa snažia pretlačiť alebo dožadovať vytvárania zadných vrátok a prístupu k dátam veľkých spoločností už dlhodobo, takže predstava o nútení zverejňovania falošných kanárikov nie je až tak nereálna. Je ale možné, že doposiaľ bola spolupráca v súvislosti s poskytovaním dát len vecou dohôd, ktoré sú často firmami odmietnuté a nie o fyzický, psychický či iný nátlak. Predsa len, USA či iné západné štáty majú aj napriek mnohým pokleskom k skutočným totalitným štátom predsa len ešte ďaleko. Keďže si ťažko dnes môžeme predstaviť dobrovoľnú dohodu v súvislosti s kanárikmi (stratil by sa zmysel ich pôvodného vytvorenia), ich prelomenie aspoň zatiaľ nehrozí. Nuž, dúfajme…

Nedeľník TOUCHIT hľadajte na našom webe ako inak než v nedeľu. Ak ste predchádzajúce zmeškali, nájdete ich všetky pod rovnomenným kľúčovým slovom.

František Urban

František Urban
Zameriavam sa najmä na prehľadové a analytické články z oblasti najrôznejších technológií a ich vývoja. Nájdete ma takisto pri diagnostike HW a SW problémov.