Закон о возмещении ущерба в случае похищения персональных данных 2007 года получил единодушное согласие сената. Как это часто бывает с нашей законодательной властью, две палаты конгресса - Палата представителей и сенат - работают над примерно одинаковыми задачами, и каждая разрабатывает очень похожие законопроекты. Версия Палаты представителей, однако, еще находится на обсуждении в подкомитете для последующей передачи на рассмотрение в Палату представителей.
Законопроект, принятый сенатом, став законом, внесет изменения в Статью 18 Свода законов США. Законопроект направлен против тайных сговоров с целью совершения "киберпреступлений", как обозначает их наш сенат, закрывает лазейки в действующем законе для предотвращения вымогательств, дает жертвам похищения личности больше возможностей в восстановлении своего положения и, в частности, затрагивает феномен ботнета. Впервые ботнет был упомянут в ИТЕРАкте, где этот вид преступлений был причислен к "нанесению вреда", включая различные толкования этого, которому подвергаются 10 или более комрьютеров в течение одного года.
Тим Беннет, президент CSIA (сообщество компаний, работающих на рынке информационной безопасности), говорит: "Данный законопроект о киберпреступности - неотъемлемая часть борьбы с сетевыми преступлениями, но необходимо также, чтобы конгресс в первую очередь законодательно решил и другие аспекты этой проблемы, такие как защита данных, предотвращение попадания конфиденциальной личной информации к преступникам".
Люди, занятые в индустрии безопасности, тем не менее, не слишком оптимистично смотрят на перспективы принятия этого законопроекта Палатой представителей до конца текущего года, учитывая, что почти все время Палата уделяет вопросам войны в Ираке и "безопасности отечества". Добавьте к этому еще и превышение бюджета. Так что нет ничего удивительного в словах Кевина Ричардса, управляющего по взаимодействию с правительственными структурами корпорации Symantec, что вероятность принятия закона в этом году очень мала.
В случае, если законопроект об охране частной жизни граждан от злоупотребления информацией будет принят конгрессом, его формулировку не следует упускать из виду. Тут возможно несколько вариантов. Наилучший, по моему мнению, - это закон об охране личных цифровых сведений и данных, который укрепит положения Четвертой и Пятой поправок к Конституции США. Если бы это стало чем-то большим, чем неудачный официальный документ без шансов на юридическое одобрение, то такой закон в значительной степени защищал бы от злоупотребления властью: скандалы с перехватом телефонных разговоров, которые мы наблюдаем в последние годы, положения USA PATRIOT Act ("Акт об объединении и укреплении Америки с помощью необходимых для пресечения терроризма мер") и возможные "черные ходы" в общепринятом стандарте шифрования, как, например, предполагаемая умышленная уязвимость в алгоритме с использованием метода эллиптических кривых Dual_EC_DRBG, разработанном Агентством Национальной Безопасности США.
Хотя статью Брюса Шнайера в журнале Wired стоит прочесть самостоятельно, я все же процитирую для вас небольшой отрывок:
2...Этот стандарт содержит четыре хэш-функции DRBG, одобренные для использования в государственных учреждениях и рекомендованные к широкому публичному использованию. Агентство национальной безопасности (АНБ) рекомендовало генератор случайных чисел на основе эллиптических кривых Dual_EC_DRBG в качестве стандарта Агентства Национальной Безопасности США.
3...Dual_EC_DRBG очень медленный и содержит маленькое, но заметное числовое смещение. Никакие другие стандарты DRBG не имеют такой проблемы, поэтому возникает вопрос, почему АНБ заботилось о включении именно его в число стандартов. Dual_EC_DRBG содержит математическую уязвимость, которая может быть, а может и не быть намеренной, и к которой у АНБ может иметь, а может и не иметь ключ. Обратное проектирование ключа, должно быть, трудоемкая задача, скорей всего, практически неосуществимая на современном техническом уровне, но его, возможно, очень легко генерировать во время создания констант, используемых для определения эллиптической кривой алгоритма. Чтобы узнать об этом более подробно, я рекомендую воспользоваться Google, потому что этот вопрос выходит далеко за рамки настоящей статьи.
4...Вопрос о "черных ходах" был поднят Дэном Шумовым и Нильсом Фергюсоном на конференции в 2007 году. Поблагодарите старательных шифровальщиков во всем мире за помощь в сохранении вашей безопасности, отчасти засчет нахождения изъянов в рекомендуемых правительством системах шифрования, до того как они нанесут вам вред. Если нам очень сильно повезет, скоро мы сможем поблагодарить конгресс за принятие закона о защите данных, который заставит АНБ действовать несколько осторожнее, когда дело касается попыток сохранения "черных ходов" в нашу частную информацию.
5...Даже если вы убеждены, что каждый человек в АНБ, имеющий доступ к ключам от государства, заслуживает доверия и не причинит вреда вам или вашему бизнесу, имея в своем распоряжении такие инструменты, позволять правительству США оставлять "черные ходы" в программах шифрования - неудачная мысль. Только подумайте, в последние несколько лет правительственными органами, следящими за сохранением безопасности, якобы был утерян лэптоп, в котором хранилась персональная идентифицирующая информация по большому числу граждан, а обеспечиваемая ими сетевая безопасность была скомпрометирована иностранными правительствами. Также они опубликовали ошибочно скомпонованные PDF-файлы, так что стало возможным с легкостью восстановить те части, которые не собирались раскрывать (совет: не используйте только черные линии, чтобы скрыть текст в Adobe Acrobat). Обо всех этих и других фактах говорят с 2001 года.
Какой урок следует извлечь? Даже если вы доверяете АНБ ключи от государства, возможно, стоит подумать о тех, кто может получить эти ключи от АНБ, о том, как обычная некомпетентность может стать причиной того, что эти ключи попадут в плохие руки.
Как однажды сказала моя бабушка: "Это не тебе я не доверяю свои секреты, а тем, кому ты их расскажешь".