Новые поправки к закону о шифровании в США внесли еще больший сумбур в законодательство

В штате Невада, США, принят новый закон SB-227 «О внесении (в нормативные акты) некоторых изменений касательно кражи личности» (http://www.leg.state.nv.us/75th2009/Bills/SB/SB227.pdf), положения которого с нового года заменят положения действующего ныне закона NRS 597.970.

В Неваде действует юридическое определение шифрования (в законе NRS 205.4742), которое позволяет создавать дешёвые технические решения, формально соответствующие этому определению, но фактически ничего не шифрующие и не защищающие. Вот выдержка из данного определения:
«кодирование означает применение защитных или разрушающих мер, без ограничения, включая криптографию, шифрование, кодирование или компьютерные программы, искажающие или разрушающие информацию для: 1. Предотвращения, помехи, задержки или разрыва доступа к любым данным, информации, изображениям, программам, сигналам или звуковым сигналам; 2. Сделать любые данные, информацию, изображения, программы, сигналы или звуковые сигналы не пригодными или неразборчивыми; 3. Предотвращения, помехи, задержки или разрыва нормального функционирования или использования любых компонентов, приборов, оборудования, системных сетей».
Такое притворное шифрование используется для обхода (т.е. чисто формального соответствия) требований закона ради экономии затрат.

Новый закон SB 227 вводит новое определение шифрования, обойти которое будет не так просто:
 «(b) Шифрование это защита данных при их хранении или передаче в электронном или оптическом виде с применением :
(1) Технологий шифрования, которые были приняты в соответствии с установленными уполномоченным органом стандартами, в том числе, но неограниченные, Федеральными стандартами обработки информации, разработанными Национальным Институтом Стандартов и Технологий, определившим подобные данные как не поддающиеся расшифровке при отсутствии соответствующих криптографических ключей, необходимых для расшифровки подобных данных;
(2) Надлежащего управления и обеспечения безопасности криптографических ключей для защиты целостности кодирования, использующего принципы, провозглашенные в установленных уполномоченным органом стандартах, в том числе, но не ограниченных Национальным Институтом Стандартов и Технологий».
Тем не менее, и в новом законе есть ряд недостатков, которые предоставляют некоторые возможности его обхода. Не все термины в новом определении трактуются однозначно. Также новое определение противоречит определениям из других нормативных актов. В некоторых случаях использование притворного шифрования позволяет избежать обязательного информирования властей или потерпевших об утечках либо обнаруженных уязвимостях при обработке персональных данных. В соответствии с новым законом SB 227, в случае утечки персональных данных организация будет нести ответственность, но согласно SB 347 она не обязана сообщать о подобных утечках.

Эти несовершенства наводят на мысль о необходимости внесения поправок как во вновь принятый закон, так и в ряд действующих, чтобы между ними не было несоответствий.

О том, как обстоят дела с российской практикой шифрования данных, рассказывает Николай Федотов, ведущий аналитик InfoWatch: «Данная проблема - использование притворного шифрования для достижения чисто формального соответствия требованиям - в России отсутствует. Отечественные производители пока не доведены конкуренцией до таких крайностей, чтобы экономить копейки на шифровании.
В России иногда встречается прямо противоположная проблема: производитель применяет в своём продукте надёжное шифрование, но из-за разных бюрократических запретов вынужден делать вид, что никакого шифрования там нет. С точки зрения специалиста по информационной безопасности, лучше быть, чем казаться».


Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Забытые в коде ключи доступа к OpenAI API позволяют спиратить GPT-4

Разработчики, встраивающие технологии OpenAI в свои приложения, зачастую оставляют API-ключи в коде. Злоумышленники этим пользуются: собирают такие секреты из общедоступных проектов и расшаривают их в соцсетях и чатах, провоцируя пиратство.

Оказалось, что только на GitHub можно с легкостью заполучить более 50 тыс. ключей к OpenAI API, неумышленно слитых в паблик. Украденные данные позволяют использовать ассоциированный аккаунт OpenAI для бесплатного доступа к мощным ИИ-системам вроде GPT-4.

Недавно модераторы Discord-канала r/ChatGPT забанили скрипт-кидди с ником Discodtehe, который упорно рекламировал свою коллекцию ключей OpenAI API, собранных на платформе для совместной работы Replit. Такие же объявления доброхот с марта публиковал в канале r/ChimeraGPT, суля бесплатный доступ к GPT-4 и GPT-3.5-turbo.

Как выяснилось, скрейпинг API-ключей OpenAI на Replit тоже не составляет большого труда. Нужно лишь создать аккаунт на сайте и воспользоваться функцией поиска.

В комментарии для Motherboard представитель OpenAI заявил, что они регулярно сканируют большие публичные репозитории и отзывают найденные ключи к API. Пользователям рекомендуется не раскрывать сгенерированный токен и не хранить его в клиентском коде (браузерах, других приложениях). Полезно также периодически обновлять API-ключ, а в случае компрометации его следует немедленно сменить.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru