10 Princípios para proteger os usuários contra sabotagem da NSA : uma carta aberta a empresas de tecnologia

Yan Zhu

 Electronic Frontier Foundation Nos últimos nove meses, a nossa confiança em empresas de tecnologia tem sido muito abalado. Hoje, em colaboração com pesquisadores de segurança proeminentes e tecnólogos, FEP apresenta uma carta aberta a empresas de tecnologia, instando-os a proteger os usuários de backdoors NSA e ganhar de volta a confiança que foi perdida. Desde as revelações Snowden emergem histórias de conluio entre agências de espionagem do governo e as empresas cujos serviços são parte integrante de nossas vidas cotidianas. Houve alegações inquietantes publicados pela Reuters indicam que o RSA, uma empresa influente segurança da informação, aceitou um contrato de US $ 10 milhões da NSA, que incluiu, entre outros itens, um acordo para usar o que sabemos agora ser um gerador de números aleatórios intencionalmente comprometida como a padrão para a sua biblioteca de criptografia BSAFE. Um futuro onde não podemos confiar nas próprias tecnologias destinadas a proteger as nossas comunicações é fundamentalmente insustentável. É hora de as empresas de tecnologia para começar a ajudar os usuários a recuperar a confiança, com transparência e oposição ativa à vigilância ilegal.

A implementação das mudanças necessárias nas práticas de infra-estrutura e de negócios técnicos podem ter custos de curto prazo, no entanto, o custo a longo prazo de manter os usuários no medo perpétuo da NSA sabotagem é muito maior.

Como proteger seus usuários de NSA Backdoors: Uma Carta Aberta para Empresas de Tecnologia

Como pesquisadores de segurança, técnicos e defensores dos direitos digitais, nós estamos profundamente preocupados com a colaboração entre as agências governamentais e as empresas de tecnologia em minar a segurança dos usuários. Entre outros exemplos, estão alarmados com recentes alegações que RSA, Inc. aceites $ 10 milhões do NSA para manter um algoritmo comprometida com a configuração padrão de um produto de segurança por muito tempo após suas falhas foram revelados.

Acreditamos que o conluio secreto com agências de espionagem representa uma grave ameaça para os usuários e deve ser mitigado com compromisso com as seguintes práticas recomendadas para proteger os usuários de vigilância ilegal:

1. Proporcionar o acesso público ao código fonte, sempre que possível, e adotar um processo de construção reprodutível para que outros possam verificar a integridade dos binários pré-compilados. Ambos aberto e software de código fechado devem ser distribuídos com assinaturas verificáveis ​​de uma entidade confiável e um caminho para os usuários para verificar se a sua cópia do software é funcionalmente idêntico a todos os outros de cópia (uma propriedade conhecida como "transparência binário").
2. Explique opções de algoritmos e parâmetros criptográficos. Faça todos os esforços para corrigir ou descontinuar o uso de bibliotecas criptográficas, algoritmos, ou primitivos com vulnerabilidades conhecidas e divulgar aos clientes imediatamente quando uma vulnerabilidade é descoberta.
3. Mantenha um diálogo aberto e produtivo com as comunidades de segurança e privacidade. Isto inclui facilitar revisão e respondendo às críticas produtiva dos pesquisadores.

4. Fornecer um caminho claro e seguro para os pesquisadores de segurança a relatar vulnerabilidades. Corrigir erros de segurança imediatamente.
5. Publicar relatórios de solicitação do governo regularmente (muitas vezes estes são chamados de "Transparência Reports"). Incluir a informação mais granular permitido por lei.
6. Invista em engenharia UX seguro para torná-lo tão fácil quanto possível para os usuários a utilizar o sistema de forma segura e tão duro quanto possível para os usuários a utilizar o sistema de forma insegura.
7. Publicamente opor a vigilância em massa e todos os esforços para impor a inserção de backdoors ou fraquezas intencionais em ferramentas de segurança.
8. Luta em tribunal qualquer tentativa por parte do governo ou de terceiros para comprometer a segurança dos usuários.
9. Adote um princípio de descartar os dados do usuário depois que ele não é mais necessário para o funcionamento do negócio.
10. Sempre proteger os dados em trânsito com criptografia forte, a fim de evitar a vigilância arrastão. Siga as melhores práticas para a criação de SSL / TLS em servidores sempre que aplicável.

Atenciosamente,
A Electronic Frontier Foundation, em colaboração com *:

• Roger Dingledine, Líder do Projeto, Projeto Tor
• Brendan Eich, CTO, Mozilla Corporation
• Matthew Green, Professor Assistente de Pesquisa, Departamento de Ciência da Computação, da Universidade Johns Hopkins
• Nadia Heninger, Professor Assistente do Departamento de Computação e Ciência da Informação, da Universidade da Pensilvânia
• Tanja Lange, professor do Departamento de Matemática e Ciências da Computação, Technische Universiteit Eindhoven
• Nick Mathewson, arquiteto-chefe, Tor Projeto
• Eleanor Saitta, OpenITP / IMMI
• Bruce Schneier, Segurança Technologist
• Christopher Soghoian, Tecnólogo Principal, expressão, privacidade e Tecnologia Projeto, American Civil Liberties Union
• Ashkan Soltani, Pesquisador Independente e Consultor
• Brian Warner, Projeto Tahoe-LAFS
• Zooko Wilcox-O'Hearn, Fundador e CEO, LeastAuthority.com

* Afiliações listados apenas para fins de identificação.

 

FONTE:

http://www.activistpost.com/