任何互联网公司都必须应当局的要求秘密更改程序代码
2018年12月6日,澳大利亚国会通过了
《 2018年
援助和无障碍法案》 -对《 1997年电信法》的修订,以提供电信服务的规则。
从法律上讲,这些修正“在收到技术援助请求后,为电信公司向执法机构提供自愿和强制性协助的标准,以及与加密技术有关的特殊服务。”
实际上,这类似于俄罗斯的“春季法”,该法要求互联网公司应执法机构的要求解密流量。 在某些情况下,澳大利亚法律甚至比俄罗斯更为严格。 一些专家对于在民主国家通常如何采用此类立法感到困惑,
并称其为“危险先例” 。
法律破坏
新法律的制定历时一年多;它极其复杂且庞大。 最初,宣布了“黄金法则”,执法机构无权:它们无权要求IT公司在其产品中引入“系统漏洞”。 但是,本文没有定义什么被视为系统漏洞。
还有人争辩说,要求IT公司协助解密由执法机构开发的用户的消息。 强制性“援助”清单包括以下各项:
- 取消一种或多种形式的电子保护;
- 提供技术信息;
- 便利获得服务和设备;
- 软件安装;
- 技术变革;
- 隐藏上述任何事实。
最后一点特别值得注意。 这不仅是向用户隐藏信息,以使他们不会阻止在他们的设备上安装新的“安全更新”。 一切都更加有趣。
如果您查看第317C段(第6段)中“指定的通讯提供商”的定义,那么
即使是个人开发商 ,如果他是澳大利亚公民,也必须遵守执法要求,在程序中实施后门程序,并且
必须向雇主隐瞒此信息 ,否则他将面临监禁。 。
问题仍然是,该法律对在外国公司工作的澳大利亚程序员有多大适用。
例如,根据通过的修正案,警察有权向Facebook澳大利亚分公司发送“技术援助请求”,并请求更新Facebook Messenger或其他软件,以便警察可以访问有关人员的消息。
如果从字面上遵循第317C段中的定义 ,那么这些请求不仅可以发送给公司,还可以发送给Internet服务的个人开发人员和系统管理员。 实际上,这是对计算机系统的合法破坏。
这是澳大利亚法律与其他要求IT公司协助执法机构的民主国家中类似法律之间的主要区别。 例如,
类似的英国立法的弱点在于,如果公司在技术上无法解密用户消息(例如,如果在此处正确实施了端到端加密),那么当局将无法从中获得任何收益。
但是根据澳大利亚法律,当局可能要求“软件更新”。 必要时,它们甚至可能要求您完全禁用程序中的加密。 专家说,这是一个危险的先例。
要求IT公司提供的
其他可能的“协助”选项 :
- 修改硬件设备(例如Apple Home或Amazon Alexa)以进行连续音频录制
- 对假冒网站服务提供商的要求;
- 公司要求传输更准确的电话地理位置数据。
“现在,公司还应执法机构的要求,完全禁用所有加密功能,并帮助破坏自己的软件。 在澳大利亚运营的所有IT公司均受该法律约束。 包括各种站点和Internet服务。
Atlassian是澳大利亚最大的IT公司之一-BitBucket,JIRA,HipChat,Zephyr,Bamboo和其他知名服务的作者。 对她来说,立法者做出这样决定的后果可能是可怕的,公司很可能可以在自己国家的压力下改变管辖权。
这种伪装成反恐怖主义等善意的“立法”对这种斗争没有帮助。 无论国家采取什么行动,恐怖分子总是会找到一种沟通的方式。 在这种情况下,受影响的唯一一方将是普通用户,由于应安全部队的要求部署后门,普通用户的网络空间安全级别将大大降低。
在21世纪创建这样一个秘密的门是不可能的,只有好人才能拥有它的钥匙。 旨在由执法机构使用的软件中的漏洞为攻击者提供了完全相同的机会来使用它们。 在打击恐怖主义和儿童色情制品的斗争中,它们只会产生零,甚至不会产生负面影响。 -俄罗斯IT安全专家,颇受欢迎的电报频道Cybersecurity&Co的作者Alexander Litreev 写道 。
反对该法案的唯一缓解措施是澳大利亚政府承诺仅在调查涉及监禁
三年的严重犯罪时使用该立法。
但是,即使此限制也包括非常大的违规列表,例如错误的紧急呼叫。 澳大利亚最近又通过了另一项可疑的
《 2018年间谍活动和外国干扰法案》 ,该
法案对泄露现任或前任政府官员“可能损害国家利益的信息”处以最高五年的处罚。 人权活动家认为,该法律是针对告密者和新闻记者的。
五只眼睛
曾经有人认为,这种针对“外国间谍”和“间谍”的要求强制解密的法律只能在人权得不到尊重的国家才能通过。 但是实践表明,英国和澳大利亚当局也试图建立对公民电子通信的严格控制。 在世界各地,不仅在俄罗斯,情况都在恶化。
澳大利亚与加拿大,美国,新西兰和英国一起是
“五眼联盟”的成员。 这些国家同意共享情报,并于2018年9月发表联合声明,宣布IT公司将促进其获取此信息的途径:“如果政府继续面临合法获取保护所需信息的障碍五个国家的
声明说:“我们国家的公民可以采取技术,执法,立法或其他措施来实现合法的使用权决定。”
鉴于上述情况,联盟的其他国家可能会通过此类法案。
许多专家认为,这样的法律弊大于利,实际上会削弱安全性,而不是加强安全性。 “数字贸易观察”在一份
声明中说:“贸易,降低数据存储的安全标准和降低对民权的保护”。
墨尔本皇家墨尔本理工大学网络工程和互联网安全专家马克·格里高里(Mark Gregory)说,很可能该法律不仅将开始适用于恐怖分子,而且还适用于个人。 。 它不仅可以用于刑事事项,而且可以用于公司法。”
昆士兰科技大学的技术,法律和法规研究人员莫妮克·曼(Monique Mann)补充说:“透明度,问责制,监督和潜在滥用存在问题。”
IT行业的代表说,该法律威胁到该国IT服务的出口,因为世界将越来越不信任澳大利亚计划的可靠性。
