Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Ustawa ma lepiej zabezpieczyć użytkowników komórek

Recommended Posts

Po skandalu Carrier IQ w Izbie Reprezentantów złożono projekt ustawy, która ma zapewniać lepszą ochronę klientom sieci telefonii komórkowych. Mobile Device Privacy Act został złożony przez Edwarda Markeya’a z Partii Demokratycznej.

Ustawa przewiduje, że „konsumenci mają prawo wiedzieć jakie oprogramowanie, które zbiera i przesyła ich dane osobiste, jest obecne na urządzeniu przenośnym i mają prawo nie zgodzić się na jego obecność“. Przewidziano też, że w przyszłości zbieranie i przesyłanie danych nie będzie możliwe bez wyraźnej zgody użytkownika. Ponadto firmy, które chciałyby przekazać takie dane firmom trzecim, będą musiały uzyskać zgodę Federalnej Komisji Handlu i Federalnej Komisji Komunikacji.

Ustawa nakłada też na sprzedawców urządzeń mobilnych informowanie użytkownika o tym, czy na urządzeniu zainstalowano oprogramowanie zbierające dane, jakie dane są zbierane, do kogo zostają wysłane i w jakim celu są używane. Firmy zbierające dane będą zaś musiały odpowiednio je zabezpieczyć.

Teraz Markey musi znaleźć odpowiednie poparcie dla swojej ustawy, co pozwoli prowadzić nad nią dalsze prace.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
      Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
      W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
      Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
      Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
      Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
      Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.
      Wszystkie powyższe dane dotyczą USA.
    • By KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
      Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
    • By KopalniaWiedzy.pl
      Dzisiaj administracja prezydenta Obamy ma oficjalnie zaprezentować zarys dokumentu [PDF] określanego jako Bill of Rights (Karta Praw) prywatności. To oczywiste nawiązanie do konstytucyjnego Bill of Rights, czyli dziesięciu pierwszych poprawek do Konstytucji USA, które gwarantują podstawowe wolności obywatelskie.
      Zdaniem urzędników z Białego Domu nowe przepisy powinny gwarantować użytkownikom prywatność w internecie. Mają się one opierać na następujących zasadach:
      - indywidualnej kontroli. Użytkownik ma prawo do kontrolowania danych zbieranych na jego temat przez firmy oraz powinien być poinformowany, w jaki sposób są one używane.
      - przejrzystości. Użytkownik powinien posiadać łatwy dostęp do napisanej w sposób dlań zrozumiały polityki prywatności i bezpieczeństwa.
      - zachowanie kontekstu: Użytkownik ma prawo oczekiwać, że firmy będą zbierały, używały i ujawniały dane w sposób, który jest zgodny z kontekstem, w jakim dane zostały im dostarczone.
      - bezpieczeństwo: Użytkownik ma prawo oczekiwać, że dane będą przechowywane w sposób bezpieczny i odpowiedzialny.
      - dostęp i dokładność: Użytkownik ma prawo dostępu i poprawiania swoich danych, które powinny być mu prezentowane w sposób umożliwiający przeprowadzani takich informacji. Zmiana danych powinna odbywać się tak, by informacje pozostawały bezpieczne i by uwzględniać ryzyko związane z pojawieniem się niedokładnych danych.
      - precyzja: Użytkownik ma prawo do ograniczenia ilości informacji, jakie na jego temat firmy zbierają i przechowują.
      - odpowiedzialność: Użytkownik ma prawo oczekiwać,że jego dane będą zbierane tylko przez firmy, które posiadają odpowiednie mechanizmy zapewniające, że Consumer Privacy Bill of Rights będzie przestrzegane.
    • By KopalniaWiedzy.pl
      Pod pozorem zagwarantowania wykupionej przepustowości łącza internetowego mogą zostać wprowadzone przepisy które de facto zmuszą dostawców sieci do zapisywania i przechowywania danych o odwiedzanych witrynach oraz pobieranych plikach. Na wypadek ewentualnych reklamacji będziemy zmuszeni przez 12 miesięcy przechowywać szczegółowe informacje o tym, z jakimi stronami łączył się użytkownik oraz jakie pliki i skąd pobierał - powiedział Dziennikowi Gazecie Prawnej przedstawiciel jednego z największych polskich dostawców internetu.
      Przygotowywany projekt ustawy przewiduje, że dostawca internetu ma zagwarantować taką prędkość łącza, jaka została przez klienta wykupiona. Odkładając na bok kwestie techniczne i w ogóle możliwość zagwarantowania stałej przepustowości należy zauważyć, że rozpatrywanie reklamacji będzie możliwe tylko w przypadku zapisywania szczegółowych danych o każdym połączeniu. Jeśli zaś dostawcy internetu będą posiadali takie informacje, to nie można zagwarantować, że dostępu do nich nie uzyskają służby specjalne, policja czy też sieci reklamowe.
    • By KopalniaWiedzy.pl
      Prokuratorzy federalni prowadzący śledztwo przeciwko Megaupload poinformowali, że już w najbliższy czwartek może rozpocząć się usuwanie danych z serwerów serwisu. Jak rozumiemy, firmy hostingowe mogą rozpocząć usuwanie zawartości serwerów już 2 lutego 2012 roku - napisał w przesłanych do sądu dokumentach prokurator Neil H. MacBride.
      Z dokumentów prokuratury, które w piątek trafiły do sądu, dowiadujemy się, że śledczy zakończyli przeszukiwanie serwerów i skopiowali część danych. MacBride poinformował sąd, że żadne dane nie zostały z maszyn usunięte. Nakaz przeszukania został wykonany, a że jego ważność wygasła, organy ścigania nie mają już dostępu do serwerów. Prokurator poinformował jednocześnie, że firmy hostingowe odzyskały do nich dostęp i to do tych firm powinni zwracać się użytkownicy, chcący odzyskać pliki.
      Serwery były przeszukiwane na miejscu, śledczy nigdzie ich nie przewozili. Nadal znajdują się one w siedzibach firm hostingowych Carpathia Hosting i Cogent Communications. Nie jest jasne, dlaczego jakakolwiek zawartość miałaby zostać usuwana. Tym bardziej, że na serwerach znajdują się również legalne treści należące do milionów użytkowników Megaupload.
      Przedstawiciele Carpathia Hosting oświadczyli iż śledczy się mylą i że ich firma nie ma i nigdy nie miała dostępu do danych Megaupload. Nie ma też żadnych możliwości „zwrócenia“ użytkownikom ich treści. Przedstawiciele firmy poradzili osobom, które chciałyby odzyskać swoje dokumenty, by kontaktowały się bezpośrednio z Megaupload.
      Nie jest też jasne, dlaczego w prokurator MacBride zasugerował datę 2 lutego.
      Prawnik Megaupload poinformował, że Carpathia i Cogent są firmami, którym serwis płacił za świadczenie usług hostingowych. Aktywa Megaupload zostały zamrożone, więc w tej chwili dalsze opłacanie abonamentu jest niemożliwe. Wyrażono jednak nadzieję, że uda się dojść do porozumienia.
      Najprawdopodobniej zatem informacja o usuwaniu zawartości serwerów nie oznacza, iż Carpathia i Cogent otrzymały polecenie, by to zrobić. Śledczy zakończyli sprawdzanie maszyn, więc można wyczyścić dyski, bez narażenia się na zarzut o niszczenie dowodów. Prawdopodobnie od decyzji Carpathia i Cogent będzie zależało, czy mimo braku opłat ze strony Megaupload zdecydują się na pozostawienie danych na serwerach. Głównym problemem dla użytkowników jest obecnie blokada nałożona przez prokuraturę na adres megaupload.com
×
×
  • Create New...