Австралия стала первой западной страной, которая запретила безопасное шифрование

Австралия стала первой западной страной, которая запретила безопасное шифрование

Австралия стала первой страной Запада, которая запретила безопасность после того, как ее парламент принял законопроект, обязывающий компании передавать зашифрованные данные полиции по требованию. Правительству будет разрешено требовать этого без какого-либо судебного надзора или надзора, за исключением требования получить ордер в первую очередь. Кроме того, закон требует, чтобы корпорации создавали инструменты, чтобы дать им возможность перехватывать данные, разыскиваемые полицией, когда такие инструменты еще не существуют. В то время как законопроект прошел только нижнюю палату Австралии, верхняя палата указала, что он примет законодательство, если позднее будут приняты решения по неуказанным поправкам к действующему законопроекту.

Австралия стала первой страной, принявшей в законодательстве то, чего очень хотят правительства Великобритании и США, - чёрно-белые санкционированные правительством системы шифрования, которые требуют от корпораций передачи данных по требованию. Реакция технологической отрасли была простой: нет способа выполнить эту задачу, которая не ослабила бы фундаментально безопасность. И, несмотря на то, что журналистика часто представляет собой процесс изложения множества сторон для спора или дебатов, здесь не должно быть никаких реальных дебатов - по крайней мере, в том, что касается принципов безопасности. Мы, безусловно, можем спорить о том, должны ли люди иметь право на неприкосновенность частной жизни, или же правительства номинально свободных стран должны иметь доступ к этой информации в первую очередь. Но что касается того, возможно ли на самом деле встроить секретные бэкдоры в системы безопасности без фундаментального их ослабления, доказательства просты: нет.

Как Синди Кон написал в недавнем сообщении в блоге Lawfare:

Даже без ущерба для криптографии, нет никакого способа разрешить доступ только хорошим парням (например, правоохранительным органам с ордером на титул III), а не плохим парням (враждебным правительствам, коммерческим шпионам, ворам, преследователям, плохим полицейским и Больше). За последние несколько лет у АНБ было несколько инцидентов, когда оно потеряло контроль над своей сумкой уловок, поэтому старая правительственная идея под названием NOBUS - «никто, кроме нас» мог использовать эти атаки - не основана на реальности. Передача ключей в руки технологических компаний вместо правительств просто перемещает цель для враждебных игроков. И нереально ожидать, что компании будут защищать ключи и каждый раз получать их правильно в своих ответах на сотни тысяч запросов правоохранительных органов и органов национальной безопасности в год из местных, штатных, федеральных и иностранных юрисдикций. История показала, что плохие актеры выясняют, как использовать те же механизмы, которые используют хорошие парни, будь то корпоративные или правительственные, и сами становятся «преследователями».

В сообществе безопасности просто нет споров на эту тему. Создание ключей для системы шифрования или, наоборот, поддержание шифрования, но вынуждающее компании создавать инструменты, позволяющие им прикреплять «преследователя» к системе для невидимого мониторинга коммуникаций (Великобритания предлагает этот метод наблюдения и вышеупомянутый закон В блоге есть больше об этом), автоматически создающий огромный стимул для любого, кто знает о существовании таких инструментов, либо пытаться украсть их (если они черные шляпы), либо использовать их для собственного использования (если они правительства) , Как только компании будут вынуждены создавать эти инструменты для работы на австралийском рынке, они будут вынуждены принести их в другие страны.

Идея о том, что корпорациям можно доверять для защиты этих жизненно важных инструментов или для хранения жизненно важных данных в счетах условного депонирования, не выдерживает контакта с реальностью. Даже без санкционированных правительством бэкдоров компании регулярно страдают от взломов и атак, часто передавая личные данные десяткам сотен миллионов людей. Потребность в лучшей безопасности данных огромна, и решение этой проблемы не в том, чтобы создавать инструменты, которые можно использовать для атаки на саму концепцию. Продукты от Facebook, Google, Apple, Microsoft, и все подобные усилия теперь должны будут включать системные недостатки, в то время как продукты с открытым исходным кодом пока не будут затронуты. В случае, если вам интересно, согласно опросу 343 комментариев, сделанных к законопроекту во время его обсуждения, только один из них - а не гражданин Австралии - был в поддержке. Парламент Австралии просто не заботился.

Читать далее

Лучшие системы безопасности умного дома
Лучшие системы безопасности умного дома

Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности

Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.