sábado, 1 de março de 2014

Home » » 10 Princípios para proteger os usuários contra sabotagem da NSA : uma carta aberta a empresas de tecnologia

10 Princípios para proteger os usuários contra sabotagem da NSA : uma carta aberta a empresas de tecnologia

By  Nenhum comentário:

Yan Zhu
 Electronic Frontier Foundation Nos últimos nove meses, a nossa confiança em empresas de tecnologia tem sido muito abalado. Hoje, em colaboração com pesquisadores de segurança proeminentes e tecnólogos, FEP apresenta uma carta aberta a empresas de tecnologia, instando-os a proteger os usuários de backdoors NSA e ganhar de volta a confiança que foi perdida. Desde as revelações Snowden emergem histórias de conluio entre agências de espionagem do governo e as empresas cujos serviços são parte integrante de nossas vidas cotidianas. Houve alegações inquietantes publicados pela Reuters indicam que o RSA, uma empresa influente segurança da informação, aceitou um contrato de US $ 10 milhões da NSA, que incluiu, entre outros itens, um acordo para usar o que sabemos agora ser um gerador de números aleatórios intencionalmente comprometida como a padrão para a sua biblioteca de criptografia BSAFE. Um futuro onde não podemos confiar nas próprias tecnologias destinadas a proteger as nossas comunicações é fundamentalmente insustentável. É hora de as empresas de tecnologia para começar a ajudar os usuários a recuperar a confiança, com transparência e oposição ativa à vigilância ilegal.

A implementação das mudanças necessárias nas práticas de infra-estrutura e de negócios técnicos podem ter custos de curto prazo, no entanto, o custo a longo prazo de manter os usuários no medo perpétuo da NSA sabotagem é muito maior.

Como proteger seus usuários de NSA Backdoors: Uma Carta Aberta para Empresas de Tecnologia
Como pesquisadores de segurança, técnicos e defensores dos direitos digitais, nós estamos profundamente preocupados com a colaboração entre as agências governamentais e as empresas de tecnologia em minar a segurança dos usuários. Entre outros exemplos, estão alarmados com recentes alegações que RSA, Inc. aceites $ 10 milhões do NSA para manter um algoritmo comprometida com a configuração padrão de um produto de segurança por muito tempo após suas falhas foram revelados.
Acreditamos que o conluio secreto com agências de espionagem representa uma grave ameaça para os usuários e deve ser mitigado com compromisso com as seguintes práticas recomendadas para proteger os usuários de vigilância ilegal:
  1. Proporcionar o acesso público ao código fonte, sempre que possível, e adotar um processo de construção reprodutível para que outros possam verificar a integridade dos binários pré-compilados. Ambos aberto e software de código fechado devem ser distribuídos com assinaturas verificáveis ​​de uma entidade confiável e um caminho para os usuários para verificar se a sua cópia do software é funcionalmente idêntico a todos os outros de cópia (uma propriedade conhecida como "transparência binário").
  2. Explique opções de algoritmos e parâmetros criptográficos. Faça todos os esforços para corrigir ou descontinuar o uso de bibliotecas criptográficas, algoritmos, ou primitivos com vulnerabilidades conhecidas e divulgar aos clientes imediatamente quando uma vulnerabilidade é descoberta.
  3. Mantenha um diálogo aberto e produtivo com as comunidades de segurança e privacidade. Isto inclui facilitar revisão e respondendo às críticas produtiva dos pesquisadores.
  4. Fornecer um caminho claro e seguro para os pesquisadores de segurança a relatar vulnerabilidades. Corrigir erros de segurança imediatamente.
  5. Publicar relatórios de solicitação do governo regularmente (muitas vezes estes são chamados de "Transparência Reports"). Incluir a informação mais granular permitido por lei.
  6. Invista em engenharia UX seguro para torná-lo tão fácil quanto possível para os usuários a utilizar o sistema de forma segura e tão duro quanto possível para os usuários a utilizar o sistema de forma insegura.
  7. Publicamente opor a vigilância em massa e todos os esforços para impor a inserção de backdoors ou fraquezas intencionais em ferramentas de segurança.
  8. Luta em tribunal qualquer tentativa por parte do governo ou de terceiros para comprometer a segurança dos usuários.
  9. Adote um princípio de descartar os dados do usuário depois que ele não é mais necessário para o funcionamento do negócio.
  10. Sempre proteger os dados em trânsito com criptografia forte, a fim de evitar a vigilância arrastão. Siga as melhores práticas para a criação de SSL / TLS em servidores sempre que aplicável.
Atenciosamente,
A Electronic Frontier Foundation, em colaboração com *:
  • Roger Dingledine, Líder do Projeto, Projeto Tor
  • Brendan Eich, CTO, Mozilla Corporation
  • Matthew Green, Professor Assistente de Pesquisa, Departamento de Ciência da Computação, da Universidade Johns Hopkins
  • Nadia Heninger, Professor Assistente do Departamento de Computação e Ciência da Informação, da Universidade da Pensilvânia
  • Tanja Lange, professor do Departamento de Matemática e Ciências da Computação, Technische Universiteit Eindhoven
  • Nick Mathewson, arquiteto-chefe, Tor Projeto
  • Eleanor Saitta, OpenITP / IMMI
  • Bruce Schneier, Segurança Technologist
  • Christopher Soghoian, Tecnólogo Principal, expressão, privacidade e Tecnologia Projeto, American Civil Liberties Union
  • Ashkan Soltani, Pesquisador Independente e Consultor
  • Brian Warner, Projeto Tahoe-LAFS
  • Zooko Wilcox-O'Hearn, Fundador e CEO, LeastAuthority.com
* Afiliações listados apenas para fins de identificação.
 

FONTE:
http://www.activistpost.com/
Share:

0 comentários:

Postar um comentário

Faça seu comentário aqui ou deixe sua opinião.

Observação: somente um membro deste blog pode postar um comentário.

SUA LOCALIZAÇÃO, EM TEMPO REAL.

Blogger Themes

Total de visualizações de página

Seguidores deste canal

Arquivo Geral do Blog

Minha lista de Sites e Blogs Parceiros

Translate this page

Hora Certa