Ошибка: Failed to parse the Currency Converter XML document.
$3 167.39


Ошибка: Failed to parse the Currency Converter XML document.
$48 356.95


Ошибка: Failed to parse the Currency Converter XML document.
$3 250.80


Что моя бабушка говорила об IT-безопасности

Закон о возмещении ущерба в случае похищения персональных данных 2007 года получил единодушное согласие сената. Как это часто бывает с нашей законодательной властью, две палаты конгресса — Палата представителей и сенат — работают над примерно одинаковыми задачами, и каждая разрабатывает очень похожие законопроекты. Версия Палаты представителей, однако, еще находится на обсуждении в подкомитете для последующей передачи на рассмотрение в Палату представителей.

Законопроект, принятый сенатом, став законом, внесет изменения в Статью 18 Свода законов США. Законопроект направлен против тайных сговоров с целью совершения «киберпреступлений», как обозначает их наш сенат, закрывает лазейки в действующем законе для предотвращения вымогательств, дает жертвам похищения личности больше возможностей в восстановлении своего положения и, в частности, затрагивает феномен ботнета. Впервые ботнет был упомянут в ИТЕРАкте, где этот вид преступлений был причислен к «нанесению вреда», включая различные толкования этого, которому подвергаются 10 или более комрьютеров в течение одного года.


Тим Беннет, президент CSIA (сообщество компаний, работающих на рынке информационной безопасности), говорит: «Данный законопроект о киберпреступности — неотъемлемая часть борьбы с сетевыми преступлениями, но необходимо также, чтобы конгресс в первую очередь законодательно решил и другие аспекты этой проблемы, такие как защита данных, предотвращение попадания конфиденциальной личной информации к преступникам».


Люди, занятые в индустрии безопасности, тем не менее, не слишком оптимистично смотрят на перспективы принятия этого законопроекта Палатой представителей до конца текущего года, учитывая, что почти все время Палата уделяет вопросам войны в Ираке и «безопасности отечества». Добавьте к этому еще и превышение бюджета. Так что нет ничего удивительного в словах Кевина Ричардса, управляющего по взаимодействию с правительственными структурами корпорации Symantec, что вероятность принятия закона в этом году очень мала.

В случае, если законопроект об охране частной жизни граждан от злоупотребления информацией будет принят конгрессом, его формулировку не следует упускать из виду. Тут возможно несколько вариантов. Наилучший, по моему мнению, — это закон об охране личных цифровых сведений и данных, который укрепит положения Четвертой и Пятой поправок к Конституции США. Если бы это стало чем-то большим, чем неудачный официальный документ без шансов на юридическое одобрение, то такой закон в значительной степени защищал бы от злоупотребления властью: скандалы с перехватом телефонных разговоров, которые мы наблюдаем в последние годы, положения USA PATRIOT Act («Акт об объединении и укреплении Америки с помощью необходимых для пресечения терроризма мер») и возможные «черные ходы» в общепринятом стандарте шифрования, как, например, предполагаемая умышленная уязвимость в алгоритме с использованием метода эллиптических кривых Dual_EC_DRBG, разработанном Агентством Национальной Безопасности США.

Хотя статью Брюса Шнайера в журнале Wired стоит прочесть самостоятельно, я все же процитирую для вас небольшой отрывок:

1...Национальный институт стандартов и технологий США предложил новый официальный стандарт по генераторам случайных чисел, которые используются в алгоритмах шифрования (NIST Special Publication 800-90 [PDF]).

2...Этот стандарт содержит четыре хэш-функции DRBG, одобренные для использования в государственных учреждениях и рекомендованные к широкому публичному использованию. Агентство национальной безопасности (АНБ) рекомендовало генератор случайных чисел на основе эллиптических кривых Dual_EC_DRBG в качестве стандарта Агентства Национальной Безопасности США.

3...Dual_EC_DRBG очень медленный и содержит маленькое, но заметное числовое смещение. Никакие другие стандарты DRBG не имеют такой проблемы, поэтому возникает вопрос, почему АНБ заботилось о включении именно его в число стандартов. Dual_EC_DRBG содержит математическую уязвимость, которая может быть, а может и не быть намеренной, и к которой у АНБ может иметь, а может и не иметь ключ. Обратное проектирование ключа, должно быть, трудоемкая задача, скорей всего, практически неосуществимая на современном техническом уровне, но его, возможно, очень легко генерировать во время создания констант, используемых для определения эллиптической кривой алгоритма. Чтобы узнать об этом более подробно, я рекомендую воспользоваться Google, потому что этот вопрос выходит далеко за рамки настоящей статьи.

4...Вопрос о «черных ходах» был поднят Дэном Шумовым и Нильсом Фергюсоном на конференции в 2007 году. Поблагодарите старательных шифровальщиков во всем мире за помощь в сохранении вашей безопасности, отчасти засчет нахождения изъянов в рекомендуемых правительством системах шифрования, до того как они нанесут вам вред. Если нам очень сильно повезет, скоро мы сможем поблагодарить конгресс за принятие закона о защите данных, который заставит АНБ действовать несколько осторожнее, когда дело касается попыток сохранения «черных ходов» в нашу частную информацию.

5...Даже если вы убеждены, что каждый человек в АНБ, имеющий доступ к ключам от государства, заслуживает доверия и не причинит вреда вам или вашему бизнесу, имея в своем распоряжении такие инструменты, позволять правительству США оставлять «черные ходы» в программах шифрования — неудачная мысль. Только подумайте, в последние несколько лет правительственными органами, следящими за сохранением безопасности, якобы был утерян лэптоп, в котором хранилась персональная идентифицирующая информация по большому числу граждан, а обеспечиваемая ими сетевая безопасность была скомпрометирована иностранными правительствами. Также они опубликовали ошибочно скомпонованные PDF-файлы, так что стало возможным с легкостью восстановить те части, которые не собирались раскрывать (совет: не используйте только черные линии, чтобы скрыть текст в Adobe Acrobat). Обо всех этих и других фактах говорят с 2001 года.

Какой урок следует извлечь? Даже если вы доверяете АНБ ключи от государства, возможно, стоит подумать о тех, кто может получить эти ключи от АНБ, о том, как обычная некомпетентность может стать причиной того, что эти ключи попадут в плохие руки.

Как однажды сказала моя бабушка: «Это не тебе я не доверяю свои секреты, а тем, кому ты их расскажешь».

 

Интересное

Увеличение...
Невысокая производительность и плохой доступ к информации часто вызваны неэффективностью каналов глобальной сети. Это ведет к снижению продуктивности, недовольству клиентов и несоблюдению правовых...
Подробнее...
10 причин медленной работы...
Пользователи редко жалуются на работу новых ПК. Немудрено, ведь и система, и программы запускаются мгновенно. Однако со временем они начинают замечать, что система работает всё медленнее и с...
Подробнее...
Определение наличия...
По статистике, около 90% пользователей в наши дни пользуются Internet Explorer (5-й или 6-й версией). В этих браузерах Flash, как правило, уже установлен (если же нет, то, при наличии...
Подробнее...
Выделенный сервер
Вас интересует вопрос, что такое выделенный сервер(Dedicated Server) и для чего он нужен.Этот хостинг, который предоставляет клиенту в полное пользование отдельным выделенным сервером. Есть...
Подробнее...
Сквозная навигация
Сквозная навигация — это система связей (гиперссылок), облегчающих движение пользователя по сайту. Речь идёт о максимально возможном переплетении данных. Кроме того, наличие такой связи...
Подробнее...
Обзор ASP
Этот текст предназначен для тех, кто никогда не имел дела с ASP, и вообще смутно себе представляет возможности программирования на стороне сервера. Я ставил себе задачу, создать у читателя общее...
Подробнее...
Развертывание пакета...
Вопрос. Действительно ли пакет обновления 1 для Exchange Server 2007 выпущен только в 64-разрядной версии? А если 32-разрядная версия есть, поддерживается ли она для рабочей среды?Ответ. Тут...
Подробнее...
Ajax
Когда существующих возможностей становиться мало, а совершенствовать существующее уже некуда, тогда и происходит технологический прорыв. Таким прорывом и есть AJAX (Asynchronous JavaScript and...
Подробнее...
Создание маршрутизатора на...
Есть две сети которые необходимо соединить роутером. Обе сети полностью сделаны на Windows 2000, с использованием ActiveDirectory. В принципе можно было поднять роутер на Windows, но использовать...
Подробнее...
2 способа обойти...
Инсталляция Windows Server 2008 возможна только с DVD-носителя. При необходимости установки этой платформы на компьютер, не имеющий DVD-привода или загрузки с USB-диска, неизбежно возникают...
Подробнее...