Ошибка: Failed to parse the Currency Converter XML document.
$37 350.12


Ошибка: Failed to parse the Currency Converter XML document.
$28 608.53


Ошибка: Failed to parse the Currency Converter XML document.
$1 149.08


Что моя бабушка говорила об IT-безопасности

Закон о возмещении ущерба в случае похищения персональных данных 2007 года получил единодушное согласие сената. Как это часто бывает с нашей законодательной властью, две палаты конгресса — Палата представителей и сенат — работают над примерно одинаковыми задачами, и каждая разрабатывает очень похожие законопроекты. Версия Палаты представителей, однако, еще находится на обсуждении в подкомитете для последующей передачи на рассмотрение в Палату представителей.

Законопроект, принятый сенатом, став законом, внесет изменения в Статью 18 Свода законов США. Законопроект направлен против тайных сговоров с целью совершения «киберпреступлений», как обозначает их наш сенат, закрывает лазейки в действующем законе для предотвращения вымогательств, дает жертвам похищения личности больше возможностей в восстановлении своего положения и, в частности, затрагивает феномен ботнета. Впервые ботнет был упомянут в ИТЕРАкте, где этот вид преступлений был причислен к «нанесению вреда», включая различные толкования этого, которому подвергаются 10 или более комрьютеров в течение одного года.


Тим Беннет, президент CSIA (сообщество компаний, работающих на рынке информационной безопасности), говорит: «Данный законопроект о киберпреступности — неотъемлемая часть борьбы с сетевыми преступлениями, но необходимо также, чтобы конгресс в первую очередь законодательно решил и другие аспекты этой проблемы, такие как защита данных, предотвращение попадания конфиденциальной личной информации к преступникам».


Люди, занятые в индустрии безопасности, тем не менее, не слишком оптимистично смотрят на перспективы принятия этого законопроекта Палатой представителей до конца текущего года, учитывая, что почти все время Палата уделяет вопросам войны в Ираке и «безопасности отечества». Добавьте к этому еще и превышение бюджета. Так что нет ничего удивительного в словах Кевина Ричардса, управляющего по взаимодействию с правительственными структурами корпорации Symantec, что вероятность принятия закона в этом году очень мала.

В случае, если законопроект об охране частной жизни граждан от злоупотребления информацией будет принят конгрессом, его формулировку не следует упускать из виду. Тут возможно несколько вариантов. Наилучший, по моему мнению, — это закон об охране личных цифровых сведений и данных, который укрепит положения Четвертой и Пятой поправок к Конституции США. Если бы это стало чем-то большим, чем неудачный официальный документ без шансов на юридическое одобрение, то такой закон в значительной степени защищал бы от злоупотребления властью: скандалы с перехватом телефонных разговоров, которые мы наблюдаем в последние годы, положения USA PATRIOT Act («Акт об объединении и укреплении Америки с помощью необходимых для пресечения терроризма мер») и возможные «черные ходы» в общепринятом стандарте шифрования, как, например, предполагаемая умышленная уязвимость в алгоритме с использованием метода эллиптических кривых Dual_EC_DRBG, разработанном Агентством Национальной Безопасности США.

Хотя статью Брюса Шнайера в журнале Wired стоит прочесть самостоятельно, я все же процитирую для вас небольшой отрывок:

1...Национальный институт стандартов и технологий США предложил новый официальный стандарт по генераторам случайных чисел, которые используются в алгоритмах шифрования (NIST Special Publication 800-90 [PDF]).

2...Этот стандарт содержит четыре хэш-функции DRBG, одобренные для использования в государственных учреждениях и рекомендованные к широкому публичному использованию. Агентство национальной безопасности (АНБ) рекомендовало генератор случайных чисел на основе эллиптических кривых Dual_EC_DRBG в качестве стандарта Агентства Национальной Безопасности США.

3...Dual_EC_DRBG очень медленный и содержит маленькое, но заметное числовое смещение. Никакие другие стандарты DRBG не имеют такой проблемы, поэтому возникает вопрос, почему АНБ заботилось о включении именно его в число стандартов. Dual_EC_DRBG содержит математическую уязвимость, которая может быть, а может и не быть намеренной, и к которой у АНБ может иметь, а может и не иметь ключ. Обратное проектирование ключа, должно быть, трудоемкая задача, скорей всего, практически неосуществимая на современном техническом уровне, но его, возможно, очень легко генерировать во время создания констант, используемых для определения эллиптической кривой алгоритма. Чтобы узнать об этом более подробно, я рекомендую воспользоваться Google, потому что этот вопрос выходит далеко за рамки настоящей статьи.

4...Вопрос о «черных ходах» был поднят Дэном Шумовым и Нильсом Фергюсоном на конференции в 2007 году. Поблагодарите старательных шифровальщиков во всем мире за помощь в сохранении вашей безопасности, отчасти засчет нахождения изъянов в рекомендуемых правительством системах шифрования, до того как они нанесут вам вред. Если нам очень сильно повезет, скоро мы сможем поблагодарить конгресс за принятие закона о защите данных, который заставит АНБ действовать несколько осторожнее, когда дело касается попыток сохранения «черных ходов» в нашу частную информацию.

5...Даже если вы убеждены, что каждый человек в АНБ, имеющий доступ к ключам от государства, заслуживает доверия и не причинит вреда вам или вашему бизнесу, имея в своем распоряжении такие инструменты, позволять правительству США оставлять «черные ходы» в программах шифрования — неудачная мысль. Только подумайте, в последние несколько лет правительственными органами, следящими за сохранением безопасности, якобы был утерян лэптоп, в котором хранилась персональная идентифицирующая информация по большому числу граждан, а обеспечиваемая ими сетевая безопасность была скомпрометирована иностранными правительствами. Также они опубликовали ошибочно скомпонованные PDF-файлы, так что стало возможным с легкостью восстановить те части, которые не собирались раскрывать (совет: не используйте только черные линии, чтобы скрыть текст в Adobe Acrobat). Обо всех этих и других фактах говорят с 2001 года.

Какой урок следует извлечь? Даже если вы доверяете АНБ ключи от государства, возможно, стоит подумать о тех, кто может получить эти ключи от АНБ, о том, как обычная некомпетентность может стать причиной того, что эти ключи попадут в плохие руки.

Как однажды сказала моя бабушка: «Это не тебе я не доверяю свои секреты, а тем, кому ты их расскажешь».

 

Интересное

Средства Delphi 7 для...
Рассмотрим наборы компонентов, которые присутствуют в библиотеке компонентов delphi 7, предназначенных для работы с базами данных. Вы узнаете, что такое набор данных, источник данных и...
Подробнее...
Чистка Windows
Причин подобного поведения «форточек» можно привести массу — от всевозможного программного мусора, забивающегося в укромные уголки Windows и сжирающего немало ресурсов компьютера, до инфицирования...
Подробнее...
Seagate eSATA External...
Внешние жёсткие диски — незаменимая в домашнем быту и на работе вещь. Резервные копии, архивы и перенос больших объёмов информации — тут не обойтись «флэшкой» А вот внешний...
Подробнее...
Улучшение охлаждения блока...
Недавно наконец-то справился с шумом исходящим от процессорного кулера. При помощи охлаждения сделанного из воды. Но это почти не дало эффекта. Шумел вентилятор блока питания. Чтобы труды не...
Подробнее...
Отдых
Отпуск: как не пожалеть о потраченном времени Для большинства людей отпуск – желанное и долгожданное событие, к тому же длится он сравнительно недолго, что делает его еще более ценным....
Подробнее...
Почтовые функции в РНР
Одним из возможных применений imap функций является создание почтового демона, который будет управлять подпиской и отпиской пользователей от вашей почтовой рассылки. Для реализации этой задачи,...
Подробнее...
Ajax
Когда существующих возможностей становиться мало, а совершенствовать существующее уже некуда, тогда и происходит технологический прорыв. Таким прорывом и есть AJAX (Asynchronous JavaScript and...
Подробнее...
Запись дисков через ATAPI...
Есть у меня CD-RW. И на нем я иногда пишу. Однажды я задумался: «Что же это за извращение такое, эмуляция scsi на ide?» И решил я записать диск на ATAPI CD-RW через ATAPI. Что из этого вышло…
Подробнее...
Интернет в розетке
Многие наверняка слышали о возможности подключению к интернету через обыкновенную бытовую электросеть. Эта технология обладает тем важнейшим преимуществом, что электросеть куда более развита и...
Подробнее...
Предварительная загрузка...
Если у вас есть серия изображений для предзагрузки, то вы можете воспользоваться функцией preLoad, которую я написал для подобных ситуаций, которая проста в работе и не требует каких-либо...
Подробнее...