您的位置: 首頁 >要聞 >

澳大利亞經(jīng)營的公司破解其自身的安全性

2019-04-12 15:20:03 編輯: 來源:
導讀 2018年12月6日,澳大利亞議會通過了2018年電信和其他立法修正案(援助和獲取)法案。簡而言之,這使得澳大利亞檢察長有權強迫任何在澳大利亞

2018年12月6日,澳大利亞議會通過了“2018年電信和其他立法修正案(援助和獲取)法案”。

簡而言之,這使得澳大利亞檢察長有權強迫任何在澳大利亞經(jīng)營的公司破解其自身的安全性,允許代表其客戶訪問其持有的信息。

要求獲得這種準入的原因包括國家安全(廣泛的綜合目的),起訴澳大利亞境內的犯罪以及起訴在其他國家犯下的罪行。

未能提供訪問權或通知客戶入侵本身就是刑事犯罪。

這是對法律巨大變化的快速解釋。需要進一步調查,我們試圖在下面提供。該法案長達224頁,因此我們不會對每一項變更發(fā)表評論。但是,我們會考慮其對新西蘭政府,公司和居民的實際影響。

雖然一些技術出版物已經(jīng)意識到變化的程度,但它們誤解了它的應用。同樣,我在法案上看到的法律評論似乎也錯過了法律變革的廣泛影響。我們希望澄清它可能被解釋的方式,以及它對新西蘭人民和企業(yè)的影響。

第一頁包含以下聲明:

修訂有關電信,計算機訪問權證和搜查令以及其他目的的法律的法案。

美國云計劃規(guī)定,美國政府可以向美國政府(以及其他司法管轄區(qū))提供類似的訪問權限。

從這一點來看,它似乎也涵蓋了與我們的“2012年搜索和監(jiān)視法案”相同的領域。但它的應用更進一步。

其他司法管轄區(qū)要求訪問,但不一定要求公司違反自己的安全。該法案迫使公司破壞可能構成其向客戶提供服務的基礎的安全性,同時可能損害這些公司持有的其他信息的安全性。

為此,該法案修訂了13項單獨的法案,其中許多法案已經(jīng)到位。我們在本文中考慮的主要變化是1997年的電信法案。

根據(jù)新法律,我們尚未看到任何法庭案件。由于總檢察長的請求本身是保密的,我們想象任何有關此類請求的爭議都會得到一些小心處理,并且很可能會受到壓制,至少在做出有利于DCP(指定通信提供商)的決定之前。

由于DCP被限制通知其客戶,我們可能不會看到根據(jù)這項新法律的任何案件,直到有資格進行戰(zhàn)斗的公司(如Google或亞馬遜)收到請求。

運輸,服務和電磁能量

根據(jù)該法案提出的請求是針對DCP的。這在s317C中被定義為控制網(wǎng)絡的運營商,運營商,通過這些網(wǎng)絡提供通信服務的運營商,運輸服務提供商,以及提供允許通過運輸服務和電子服務訪問信息的服務的運營商。

運輸服務的實際定義很難寫

通過引導和/或非引導電磁能量進行通信的服務。

由此我們假設通過互聯(lián)網(wǎng)提供通信服務的任何服務都是運輸服務提供商。

與提供電子服務的那些相結合,它似乎包括幾乎所有基于互聯(lián)網(wǎng)的,甚至是現(xiàn)在的公司。

有一些例外,特別是傳統(tǒng)上只在一個方向上流動的信息,例如廣播服務。1992年廣播服務法案(定義廣播服務)如何跟上在線提供的新媒體的爆炸式增長,仍有待觀察。

請求和通知

該法案以獲取信息為基礎。有三種類型的可能請求:技術協(xié)助請求(TAR),技術協(xié)助通知(TAN)和技術能力通知(TCN)。

這三者之間存在幾個基本差異,基于誰可以發(fā)布它們,所需的閾值和可以請求的內容。

安全總監(jiān),澳大利亞秘密情報局,澳大利亞信號局或攔截機構的首席執(zhí)行官可能會要求提供TAR。初始機構是澳大利亞聯(lián)邦警察局,澳大利亞犯罪委員會或州或北領地的警察部隊。

TAN可由安全總監(jiān)或任何攔截機構的首席執(zhí)行官提供。只有總檢察長或安全總監(jiān)或攔截機構的首席官員才能提供TCN。

TAR的基礎相對開放,并在該法案的第317G(5)條中概述。它包括為了澳大利亞的對外關系以及信息的安全性和完整性而提及維護國家安全。

這些信息如何幫助,或閾值可能是什么,沒有明確定義。由于這是一項自愿性請求,它似乎主要將決定權交給DCP,如果DCP遵循TAR,DCP將受到保護,免受民事訴訟。

TAR是一項自愿請求,要求DCP采取某些行動。雖然沒有理由不能提出這樣的自愿請求,但是s317G(1)(c)為DCP提供了免于履行TAR的民事責任的保護。

因此,如果要遵循TAR請求,則提供其信息的一方將被限制采取行動。然后可能更有可能遵循自愿請求。

TAN和TCN在其可用目的方面更具限制性。

他們必須具有執(zhí)行澳大利亞刑法,協(xié)助在國外執(zhí)行刑法或維護國家安全的相關目標。無論是在澳大利亞還是在外國,該罪行的最高刑期必須至少為三年。

外國也可以要求對在該國持有死刑的犯罪提供援助。根據(jù)“2004年監(jiān)視設備法”第27A條,可以向外國提供援助。

DCP必須遵循TAN和TCN。TAN是使用DCP已有的功能提供幫助,例如使用對其系統(tǒng)中存儲的信息的訪問。TCN要求DCP創(chuàng)建對當前可能不存在此類訪問的信息的訪問。這是漏洞參數(shù)開始的地方。

漏洞

TCN設置DCP的要求以創(chuàng)建訪問所需信息的方法。通常,這些信息可以被加密,或者DCP的系統(tǒng)已被設置為使這種訪問變得困難。這樣做是為了讓DCP的客戶在保密方面獲得一些安慰。TCN需要DCP來破壞該安全性。

這一要求受到了IT社區(qū)的廣泛攻擊。主流媒體在很大程度上將其描述為對消息傳遞服務的攻擊。但是,它擴展到任何DCP保留信息,因此它將涵蓋任何加密的電子郵件服務,任何云服務以及澳大利亞存儲中心中保存的任何其他信息。

這包括亞馬遜云服務和Office 365中的任何內容(盡管此信息可能在TAR / TAN下可檢索)。

它還包括大量新西蘭政府文件,現(xiàn)在存儲在澳大利亞的云存儲中。

該法確實包括一項補貼,即如果需要引入系統(tǒng)性脆弱性或系統(tǒng)性弱點,則不需要遵循TAR / TAN / TCN。

無益,這兩個術語都沒有正確定義。許多評論員建議,訪問加密服務的唯一方法是引入一種“后門”或漏洞,然后允許訪問。

這是必需的,因為DCP故意創(chuàng)建了一個安全的系統(tǒng),并且很可能在此基礎上出售其服務。因此,IT社區(qū)的論點是,破壞這種安全性的任何訪問都將成為系統(tǒng)性漏洞或弱點。從邏輯上講,這將是一個有效的論點。

但是,應從法律解釋的角度來看待它。

新西蘭和澳大利亞之間的法律解釋相對類似,都基于相同的來源法律制度(并且一方的決策通常在另一方面被引用)。法院通常會以賦予其意義和目的的方式解釋立法。

雖然IT社區(qū)將安全性視為系統(tǒng)漏洞,但這會使法律失去作用。因此,法院需要設定更高的門檻,并考慮實施議會的意圖。

由于任何要求TCN必須經(jīng)過總檢察長的請求,議會都提供了自己的保障,因此使用此類法律只有經(jīng)總檢察長批準后才可能根據(jù)行政部門的意見。

然后,法院可以將大多數(shù)此類請求視為在法律允許范圍內,僅在通知限制通知的情況下才會創(chuàng)建易于訪問的漏洞。

我們認為,法院可能會認為漏洞可以得到充分保護,因此無法達到閾值。在此基礎上,大多數(shù)TCN可能是可執(zhí)行的。

然而,至少在新西蘭,有些情況下,法院故意采取非常狹隘的觀點。

在這些極少數(shù)情況下,已經(jīng)采取措施限制可能被視為違反其他權利的行為,允許法院有效地超越議會制定法律的權利。這種情況可能存在于此,因為新法律確實試圖破壞隱私權。

授予TCN不僅僅是尋求信息的一方的問題。創(chuàng)建此類漏洞可能會降低DCP存儲的任何其他信息的安全性。律師事務所,我們的客戶和新西蘭政府可能是私人和商業(yè)敏感信息。

保護客戶

我們尚未看到法院將如何處理此類爭議以及如何解釋系統(tǒng)性漏洞或弱點。

這些定義可能無法公開獲得,直到富裕到足以承擔澳大利亞政府的公司(例如亞馬遜及其AWS服務)收到此類請求。

希望至少對新西蘭來說,政府文件可以同時轉移到陸上設施。

如果您在澳大利亞使用DCP,請考慮以DCP難以訪問的方式親自加密信息?;蛘邔⑵浯娣旁谛挛魈m的非美國公司。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。