eSafety’nin çevrimiçi depolama ve mesaj tarama çözümü “teknik olarak iyi değil” diyor Fastmail – Güvenlik


Melbourne merkezli e-posta barındırma sağlayıcısı Fastmail, e-Güvenlik Komiseri’nin önerdiği, mesaj ve çevrimiçi dosya depolama sağlayıcılarının içeriği taramasını gerektiren endüstri standartlarının kullanıcıların gizliliğine yönelik riskler oluşturduğunu söyledi.

eSafety'nin çevrimiçi depolama alanı ve mesaj taramaları


Kredi bilgileri: Fastmail

Yasa dışı materyalleri tespit etmeye, bozmaya ve kaldırmaya yönelik taslak halindeki iki standart, çoğu mesajlaşma ve e-posta hizmeti de dahil olmak üzere geniş bir sektör yelpazesini kapsıyor. [pdf]bulut depolama hizmetleri ve çoğu uygulama ve web sitesi [pdf].

eSafety, arama motorları gibi diğer sektörler için endüstri tarafından yazılan, uygulanabilir standartları kabul etti, ancak uçtan uca şifreleme (E2EE) hizmet sağlayıcılarını yasadışı tespit etme gibi yükümlülüklerden muaf tutan dernek standartlarını reddettikten sonra geri kalan sektörler için kendi kodlarını kaydedeceğini söyledi. içerik.

Fastmail CEO’su Bron Gondwana şunları söyledi: iTnews içerik taramanın “iyi niyetli” bir çözüm olduğunu ancak “teknik olarak iyi” bir çözüm olmadığını söyledi.

“Hayatlarında yüzlerce çerez onayı açılır penceresine tıklayan herkesin acı bir şekilde farkında olacağı gibi, hükümet organlarının genellikle teknik olarak iyi çözümler olmayan iyi niyetli şeyleri zorunlu kıldığını deneyimledik. Bu her türlü mevzuatı ilgilendiren bir husustur.”

eSafety, karma eşleştirme gibi otomatik içerik tarama teknolojisinin, yalnızca yasa dışı materyalleri işaretleyerek kullanıcıların gizliliğine saygı gösterebileceğini söyledi.

Komisyon üyesi Julie Inman Grant, taslakları Kasım ayında yayınlarken “Teknoloji, e-posta veya mesajlardaki metni taramıyor veya dili, sözdizimini veya anlamı analiz etmiyor” dedi.

Ancak Gondwana, her türlü içerik taramasının işlev kayması riski taşıdığını söyledi.

“Özellikle gizliliği koruyan bileşenin garanti edilmesi, eğer sahtekâr aktörler yasal olan içeriği takip etmek için ‘kötü içerik’ veri tabanına parmak izi koyabiliyorsa ancak hükümet aktörleri bu içeriği kimin aktardığını bilmek istiyorsa çok zordur.”

Grant ayrıca bir başka gizlilik garantisinin, standartların platformların yalnızca kullanıcıların içeriğini yetkililerin zaten yasa dışı olduğunu doğruladığı materyalle eşleştirmesini gerektirdiğini ve yasal materyalin yanlışlıkla işaretlenme olasılığını azalttığını söyledi.

Microsoft’un PhotoDNA’sı gibi doğrulanmış, yasa dışı materyalleri tespit eden karma eşleştirme araçları, bir kullanıcının mesajının, yüklemesinin veya gönderisinin çocukların cinsel istismarına yönelik materyal (CSEM) gibi doğrulanmamış, yasa dışı içerik içerip içermediğini tahmin etmek için makine öğrenimini kullanan araçlara göre daha düşük yanlış pozitif oranlarına sahiptir. ).

Standartlar, platformların doğrulanmamış, yasa dışı materyalleri tespit etmesine – gerek kalmadan – izin vermeye devam edecek; Meta zaten, doğrulanmamış yasa dışı materyalleri tespit etmek için doğrulanmış, yasa dışı materyaller üzerinde eğitilmiş sınıflandırıcıları kullanıyor.

Aracı sunucu tabanlı ve istemci tarafı tarama?

e-Güvenlik komiseri, bireysel E2EE hizmet sağlayıcılarını, son kullanıcıların çevrimiçi güvenliğine yönelik risk düzeyi göz önüne alındığında, harekete geçme maliyetlerine katlanmanın “makul” olmadığını kanıtlamaları halinde standartlardan muaf tutacaktır.’

eSafety, E2EE sağlayıcılarının “uçtan uca şifrelenmiş hizmetlerinin herhangi birinde sistematik güvenlik açıkları veya zayıflıklar tasarlaması” gerekmeyeceğini söyledi; çünkü içeriği şifrelenmeden önce taramak “teknik olarak mümkün”.

Komiserin E2EE’deki ‘Güncellenmiş Durum Beyanı’na göre platformlar, “iletim sırasında değil, iletim noktasında çalışan proaktif, cihaz tabanlı tespit araçlarını” kullanabilir [pdf] Ekim ayında piyasaya sürülmesi önerildi.

Açıklamada, alternatif olarak bir devlet kurumunun “özel ‘güvenli bölgeler’ içinde çalışan proaktif tespit araçlarını” yönetebileceği de belirtildi.

“Bu teklif, bir kullanıcının cihazından bir E2EE iletişiminin gönderilmesini ve ardından bilinen CSEM’nin kontrol edilmesini içerecektir.

“Böyle bir sistemin yalnızca tek bir işlevi yerine getirdiğinden ve servis sağlayıcıya veya diğer üçüncü şahıslara erişim sağlanmadığından emin olmak için denetlenebilir.”

Gondwana, Fastmail’in varsayılan olarak E2EE olmadığını, ancak e-posta barındırma sağlayıcısının müşterilerin “kendi uçtan uca çözümlerini bizim üzerimizde uygulama” seçeneğine sahip olmasını desteklediğini söyledi.

Gondwana, bir kullanıcının cihazındaki veya aracı sunucudaki içeriği taramanın hâlâ aynı gizlilik risklerini taşıdığını söyledi.

“Hem istemci tarafı tarama hem de ‘güvenli bölge’ taraması, içerik analizine yönelik teknik açıdan sağlam yaklaşımlardır ve bunların riskleri, şu sorunlar açısından her zaman olduğu gibi aynıdır: “kötü içerik listesini kim kontrol ediyor” ve “yanlış pozitifler” / yanlış negatifler.”

e-Güvenlik Komiseri’nin önerileri aynı zamanda E2EE hizmet sağlayıcıları Mozilla, Signal, Proton ve Tor Network’ün de öfkesini çekti.

Şirketler, çevrimiçi sivil haklar savunuculuğu grupları Dijital Haklar İzleme, Erişim Şimdi ve Küresel Şifreleme Koalisyonu Yönlendirme Komitesi tarafından koordine edilen standartlara karşı açık bir mektup imzaladı.

Dijital Haklar İzleme Örgütü politika başkanı Samantha Floreani şunları söyledi: iTnews, “e-Güvenlik komiseri, hizmetlerin şifrelemeyi zayıflatmasını veya zayıflatmasını beklemediklerini kamuoyuna açıkladı, ancak bu standartların bütününe yansımadı.”

Floreani, “Tüm internet kullanıcılarının mahremiyetini, güvenliğini ve nihayetinde güvenliğini daha iyi korumak için bu niyetin yasal belgede açıkça belirtilmesini talep ediyoruz.” dedi.

“İstemci tarafı tarama, normalde kullanıcının cihazından asla ayrılmayacak olan materyalin izlenmesine olanak tanıyor ve bunu yaparken gözetimin erişimini, paylaşılan ve özel olan arasındaki sınırın ötesine itiyor.

“Bu, nüfus düzeyinde gerçekleşeceğinden, kitlesel izleme ve gözetleme için tehlikeli bir kapasite yaratıyor.”



Source link