Ошибка: Failed to parse the Currency Converter XML document.
$27 798.58


Ошибка: Failed to parse the Currency Converter XML document.
$1 704.42


Ошибка: Failed to parse the Currency Converter XML document.
$3 122.39


Что моя бабушка говорила об IT-безопасности

Закон о возмещении ущерба в случае похищения персональных данных 2007 года получил единодушное согласие сената. Как это часто бывает с нашей законодательной властью, две палаты конгресса — Палата представителей и сенат — работают над примерно одинаковыми задачами, и каждая разрабатывает очень похожие законопроекты. Версия Палаты представителей, однако, еще находится на обсуждении в подкомитете для последующей передачи на рассмотрение в Палату представителей.

Законопроект, принятый сенатом, став законом, внесет изменения в Статью 18 Свода законов США. Законопроект направлен против тайных сговоров с целью совершения «киберпреступлений», как обозначает их наш сенат, закрывает лазейки в действующем законе для предотвращения вымогательств, дает жертвам похищения личности больше возможностей в восстановлении своего положения и, в частности, затрагивает феномен ботнета. Впервые ботнет был упомянут в ИТЕРАкте, где этот вид преступлений был причислен к «нанесению вреда», включая различные толкования этого, которому подвергаются 10 или более комрьютеров в течение одного года.


Тим Беннет, президент CSIA (сообщество компаний, работающих на рынке информационной безопасности), говорит: «Данный законопроект о киберпреступности — неотъемлемая часть борьбы с сетевыми преступлениями, но необходимо также, чтобы конгресс в первую очередь законодательно решил и другие аспекты этой проблемы, такие как защита данных, предотвращение попадания конфиденциальной личной информации к преступникам».


Люди, занятые в индустрии безопасности, тем не менее, не слишком оптимистично смотрят на перспективы принятия этого законопроекта Палатой представителей до конца текущего года, учитывая, что почти все время Палата уделяет вопросам войны в Ираке и «безопасности отечества». Добавьте к этому еще и превышение бюджета. Так что нет ничего удивительного в словах Кевина Ричардса, управляющего по взаимодействию с правительственными структурами корпорации Symantec, что вероятность принятия закона в этом году очень мала.

В случае, если законопроект об охране частной жизни граждан от злоупотребления информацией будет принят конгрессом, его формулировку не следует упускать из виду. Тут возможно несколько вариантов. Наилучший, по моему мнению, — это закон об охране личных цифровых сведений и данных, который укрепит положения Четвертой и Пятой поправок к Конституции США. Если бы это стало чем-то большим, чем неудачный официальный документ без шансов на юридическое одобрение, то такой закон в значительной степени защищал бы от злоупотребления властью: скандалы с перехватом телефонных разговоров, которые мы наблюдаем в последние годы, положения USA PATRIOT Act («Акт об объединении и укреплении Америки с помощью необходимых для пресечения терроризма мер») и возможные «черные ходы» в общепринятом стандарте шифрования, как, например, предполагаемая умышленная уязвимость в алгоритме с использованием метода эллиптических кривых Dual_EC_DRBG, разработанном Агентством Национальной Безопасности США.

Хотя статью Брюса Шнайера в журнале Wired стоит прочесть самостоятельно, я все же процитирую для вас небольшой отрывок:

1...Национальный институт стандартов и технологий США предложил новый официальный стандарт по генераторам случайных чисел, которые используются в алгоритмах шифрования (NIST Special Publication 800-90 [PDF]).

2...Этот стандарт содержит четыре хэш-функции DRBG, одобренные для использования в государственных учреждениях и рекомендованные к широкому публичному использованию. Агентство национальной безопасности (АНБ) рекомендовало генератор случайных чисел на основе эллиптических кривых Dual_EC_DRBG в качестве стандарта Агентства Национальной Безопасности США.

3...Dual_EC_DRBG очень медленный и содержит маленькое, но заметное числовое смещение. Никакие другие стандарты DRBG не имеют такой проблемы, поэтому возникает вопрос, почему АНБ заботилось о включении именно его в число стандартов. Dual_EC_DRBG содержит математическую уязвимость, которая может быть, а может и не быть намеренной, и к которой у АНБ может иметь, а может и не иметь ключ. Обратное проектирование ключа, должно быть, трудоемкая задача, скорей всего, практически неосуществимая на современном техническом уровне, но его, возможно, очень легко генерировать во время создания констант, используемых для определения эллиптической кривой алгоритма. Чтобы узнать об этом более подробно, я рекомендую воспользоваться Google, потому что этот вопрос выходит далеко за рамки настоящей статьи.

4...Вопрос о «черных ходах» был поднят Дэном Шумовым и Нильсом Фергюсоном на конференции в 2007 году. Поблагодарите старательных шифровальщиков во всем мире за помощь в сохранении вашей безопасности, отчасти засчет нахождения изъянов в рекомендуемых правительством системах шифрования, до того как они нанесут вам вред. Если нам очень сильно повезет, скоро мы сможем поблагодарить конгресс за принятие закона о защите данных, который заставит АНБ действовать несколько осторожнее, когда дело касается попыток сохранения «черных ходов» в нашу частную информацию.

5...Даже если вы убеждены, что каждый человек в АНБ, имеющий доступ к ключам от государства, заслуживает доверия и не причинит вреда вам или вашему бизнесу, имея в своем распоряжении такие инструменты, позволять правительству США оставлять «черные ходы» в программах шифрования — неудачная мысль. Только подумайте, в последние несколько лет правительственными органами, следящими за сохранением безопасности, якобы был утерян лэптоп, в котором хранилась персональная идентифицирующая информация по большому числу граждан, а обеспечиваемая ими сетевая безопасность была скомпрометирована иностранными правительствами. Также они опубликовали ошибочно скомпонованные PDF-файлы, так что стало возможным с легкостью восстановить те части, которые не собирались раскрывать (совет: не используйте только черные линии, чтобы скрыть текст в Adobe Acrobat). Обо всех этих и других фактах говорят с 2001 года.

Какой урок следует извлечь? Даже если вы доверяете АНБ ключи от государства, возможно, стоит подумать о тех, кто может получить эти ключи от АНБ, о том, как обычная некомпетентность может стать причиной того, что эти ключи попадут в плохие руки.

Как однажды сказала моя бабушка: «Это не тебе я не доверяю свои секреты, а тем, кому ты их расскажешь».

 

Интересное

Как через форму положить...
Один из частых вопросов, это как через форму положить файл на сервер. Делается это весьма легко, всего около 10 строк кода и php скрипт готов. И при этом ничего кроме php вам не понадобится.Для...
Подробнее...
Настраиваем Apache - FAQ...
В: Что такое Apache и зачем он нужен?О: Apache — это web-сервер, один из наиболее распространенных, безопасных и удобных во всем мире. Если вы создаете свой динамичный сайт с использованием языков...
Подробнее...
Полезные советы для работы...
Язык XML уже сильно распространён, но способы и методы его применения еще находятся в процессе развития. Кроме того, даже уже оформившиеся подходы часто имеют некачественный дизайн, что весьма...
Подробнее...
10 действий, которые...
Компьютер с системой Microsoft Windows, на который не были установлены защитные обновления, обязательно будет заражён вредоносными программами (malware) в течение нескольких минут после...
Подробнее...
Wi-Fi ноутбука может...
Два ведущих эксперта по безопасности обратили внимание на то, что оборудование Wi-Fi, разработанное без должного тщания, может оказаться небезопасным, позволяя хакерам использовать уязвимости для...
Подробнее...
Что такое CSS
Обычный HTML позволяет задавать цвет и размер текста с помощью тегов форматирования. Если понадобится изменить параметры однотипных элементов на сайте, придется просматривать все страницы, чтобы...
Подробнее...
Очистка списка последних...
При частом применении команды «Подключить сетевой диск» (Map Network Drive) в Windows XP, в списке последних операций (Most Recently Used, MRU) появляется множество различных сетевых путей. В этом...
Подробнее...
Советы по графике в Delphi
Вы наверное часто видели довольно хитроумные картины, на которых непонятно что изображено, но все равно необычность их форм завораживает и приковывает внимание. Как правило, это хитроумные формы...
Подробнее...
Система адресации в Интернете
Каждый человек, живущий на Земле, имеет адрес, по которому его в случае необходимости можно разыскать. Думаю, ни у кого не вызовет удивления то, что каждая работающая в Интернете машина также...
Подробнее...
Поэтапная оптимизация сайта
Термин «оптимизация сайтов» в последнее время на слуху у многих компаний, предоставляющих те или иные услуги в глобальной сети. Но это и не удивительно, учитывая огромную выгоду, которую можно...
Подробнее...