$310.97


$1 288.07


$32.41


Что моя бабушка говорила об IT-безопасности

Закон о возмещении ущерба в случае похищения персональных данных 2007 года получил единодушное согласие сената. Как это часто бывает с нашей законодательной властью, две палаты конгресса — Палата представителей и сенат — работают над примерно одинаковыми задачами, и каждая разрабатывает очень похожие законопроекты. Версия Палаты представителей, однако, еще находится на обсуждении в подкомитете для последующей передачи на рассмотрение в Палату представителей.

Законопроект, принятый сенатом, став законом, внесет изменения в Статью 18 Свода законов США. Законопроект направлен против тайных сговоров с целью совершения «киберпреступлений», как обозначает их наш сенат, закрывает лазейки в действующем законе для предотвращения вымогательств, дает жертвам похищения личности больше возможностей в восстановлении своего положения и, в частности, затрагивает феномен ботнета. Впервые ботнет был упомянут в ИТЕРАкте, где этот вид преступлений был причислен к «нанесению вреда», включая различные толкования этого, которому подвергаются 10 или более комрьютеров в течение одного года.


Тим Беннет, президент CSIA (сообщество компаний, работающих на рынке информационной безопасности), говорит: «Данный законопроект о киберпреступности — неотъемлемая часть борьбы с сетевыми преступлениями, но необходимо также, чтобы конгресс в первую очередь законодательно решил и другие аспекты этой проблемы, такие как защита данных, предотвращение попадания конфиденциальной личной информации к преступникам».


Люди, занятые в индустрии безопасности, тем не менее, не слишком оптимистично смотрят на перспективы принятия этого законопроекта Палатой представителей до конца текущего года, учитывая, что почти все время Палата уделяет вопросам войны в Ираке и «безопасности отечества». Добавьте к этому еще и превышение бюджета. Так что нет ничего удивительного в словах Кевина Ричардса, управляющего по взаимодействию с правительственными структурами корпорации Symantec, что вероятность принятия закона в этом году очень мала.

В случае, если законопроект об охране частной жизни граждан от злоупотребления информацией будет принят конгрессом, его формулировку не следует упускать из виду. Тут возможно несколько вариантов. Наилучший, по моему мнению, — это закон об охране личных цифровых сведений и данных, который укрепит положения Четвертой и Пятой поправок к Конституции США. Если бы это стало чем-то большим, чем неудачный официальный документ без шансов на юридическое одобрение, то такой закон в значительной степени защищал бы от злоупотребления властью: скандалы с перехватом телефонных разговоров, которые мы наблюдаем в последние годы, положения USA PATRIOT Act («Акт об объединении и укреплении Америки с помощью необходимых для пресечения терроризма мер») и возможные «черные ходы» в общепринятом стандарте шифрования, как, например, предполагаемая умышленная уязвимость в алгоритме с использованием метода эллиптических кривых Dual_EC_DRBG, разработанном Агентством Национальной Безопасности США.

Хотя статью Брюса Шнайера в журнале Wired стоит прочесть самостоятельно, я все же процитирую для вас небольшой отрывок:

1...Национальный институт стандартов и технологий США предложил новый официальный стандарт по генераторам случайных чисел, которые используются в алгоритмах шифрования (NIST Special Publication 800-90 [PDF]).

2...Этот стандарт содержит четыре хэш-функции DRBG, одобренные для использования в государственных учреждениях и рекомендованные к широкому публичному использованию. Агентство национальной безопасности (АНБ) рекомендовало генератор случайных чисел на основе эллиптических кривых Dual_EC_DRBG в качестве стандарта Агентства Национальной Безопасности США.

3...Dual_EC_DRBG очень медленный и содержит маленькое, но заметное числовое смещение. Никакие другие стандарты DRBG не имеют такой проблемы, поэтому возникает вопрос, почему АНБ заботилось о включении именно его в число стандартов. Dual_EC_DRBG содержит математическую уязвимость, которая может быть, а может и не быть намеренной, и к которой у АНБ может иметь, а может и не иметь ключ. Обратное проектирование ключа, должно быть, трудоемкая задача, скорей всего, практически неосуществимая на современном техническом уровне, но его, возможно, очень легко генерировать во время создания констант, используемых для определения эллиптической кривой алгоритма. Чтобы узнать об этом более подробно, я рекомендую воспользоваться Google, потому что этот вопрос выходит далеко за рамки настоящей статьи.

4...Вопрос о «черных ходах» был поднят Дэном Шумовым и Нильсом Фергюсоном на конференции в 2007 году. Поблагодарите старательных шифровальщиков во всем мире за помощь в сохранении вашей безопасности, отчасти засчет нахождения изъянов в рекомендуемых правительством системах шифрования, до того как они нанесут вам вред. Если нам очень сильно повезет, скоро мы сможем поблагодарить конгресс за принятие закона о защите данных, который заставит АНБ действовать несколько осторожнее, когда дело касается попыток сохранения «черных ходов» в нашу частную информацию.

5...Даже если вы убеждены, что каждый человек в АНБ, имеющий доступ к ключам от государства, заслуживает доверия и не причинит вреда вам или вашему бизнесу, имея в своем распоряжении такие инструменты, позволять правительству США оставлять «черные ходы» в программах шифрования — неудачная мысль. Только подумайте, в последние несколько лет правительственными органами, следящими за сохранением безопасности, якобы был утерян лэптоп, в котором хранилась персональная идентифицирующая информация по большому числу граждан, а обеспечиваемая ими сетевая безопасность была скомпрометирована иностранными правительствами. Также они опубликовали ошибочно скомпонованные PDF-файлы, так что стало возможным с легкостью восстановить те части, которые не собирались раскрывать (совет: не используйте только черные линии, чтобы скрыть текст в Adobe Acrobat). Обо всех этих и других фактах говорят с 2001 года.

Какой урок следует извлечь? Даже если вы доверяете АНБ ключи от государства, возможно, стоит подумать о тех, кто может получить эти ключи от АНБ, о том, как обычная некомпетентность может стать причиной того, что эти ключи попадут в плохие руки.

Как однажды сказала моя бабушка: «Это не тебе я не доверяю свои секреты, а тем, кому ты их расскажешь».

 

Интересное

Компьютер на замке
Хакеры, спамеры, недобросовестные сотрудники и коллеги... Плохишам и просто праздным любопытным вход в компьютер должен быть заказан. Как и важным данным — выход оттуда.Вместе с...
Подробнее...
Закачка файла на сервер с PHP
В более поздних версиях есть возможность использовать специальный массив ($http_post_files), но в данном уроке описывается более ранний метод.В нашем примере мы будем использовать следующий код...
Подробнее...
Печать из Linux на Windows...
1. Предисловие Перед нами стоит задача печати документов на Win-принтере (Canon LBP — 810) из Linux (ALT Master 2.2/2.4). Canon LBP — 810 подключен (USB-подключение) и настроен на Win-компьютере...
Подробнее...
Каким станет...
Интернет самоуправляем, он ежедневно пополняется миллионами разрозненных документов. И поиск нужных сведений в таком колоссальном массиве усложняется. Именно поисковые механизмы – один из...
Подробнее...
Основы позиционирования блоков
Блоки — прямоугольные области, используемые в CSS для формирования и отображения документов. Это упрощенно, очень сильно упрощенно, но на первом этапе вполне может и хватить.С появлением нового...
Подробнее...
Все о тэге Title
Тэг Title – один из самых важных факторов, позволяющих достичь высоких позиций сайта в результатах поиска. Однако, при всей кажущейся простоте его использования, существует множество нюансов и...
Подробнее...
FreeBSD и безопасность
Введение FreeBSD — достаточно безопасная операционная система.Поскольку исходные тексты распространяются бесплатно, операционная система постоянно проходит проверку. Но систему можно настроить...
Подробнее...
PHP кодировка писем
У меня часто спрашивают, как отсылать письма с помощью php в правильной кодировке: после отправки письма с русскими буквами, на почту людям приходит абракадабра.А все дело в том, что для почты у...
Подробнее...
Как за нами шпионят
Spyware – это термин, определяющий приложения, которые записывают информацию о поведении пользователя в сети Интернет и сообщают об этом своим создателям. Результатом их действия может стать как...
Подробнее...
Проверка данных из формы
Наверное все встречались с некоторой недобросовестностью некоторых посетителей Вашей страничкипри отправлении форм... То ерунду какую то напишут, то неправильно укажут адрес электронной почты, то...
Подробнее...