Smart Card Alliance Weakly defende a indústria

A Smart Card Alliance oferece platitudes, mas don &'; t identificar os culpados

A Smart Card Alliance lançou seu fraca resposta ao recente ataque Sykipot Tojan que sequestraram o Departamento de Defesa dos smartcards de autenticação!. Ao contrário de ataques hipotéticos sobre smartcards (os chineses Restante Theorem Ataque vem à mente com o uso de um forno de microondas e uma calculadora), esta é uma ameaça real para a segurança de um &'; s de rede e dados, mas não tanto para o próprio cartão inteligente <. br>

O Sykipot Tojan está tomando vantagens das falhas e falta de segurança no Adobe &'; s documentos PDF (ataque zero-day) e Microsoft &'; s do sistema operacional Windows e anti-vírus fornecedores não estão bloqueando anexos infectados
.

Como são esses ataques acontecendo? O atacante envia um e-mail phishing ou spear phishing com um anexo infectado malwares para uma pessoa confiante ou funcionário. O funcionário abre o anexo e inicia o ataque. O malware é um keylogger que captura o PIN do cartão inteligente, lê o usuário &'; s certificados dentro do Windows, e então permite que um atacante a usar esta informação para entrar em contas não autorizadas

A Smart Card Alliance oferece apenas simplista. estratégias de segurança.

1. Educar os usuários sobre as práticas de computador e e-mail seguro
2. Manter-se-to-date anti-vírus, -malware e –..
keylogger software Sims 3. Implementar análise de usuário e ferramentas de rede forense.
4. Incluir autenticação de vários fatores (eu pensei que era
todo o propósito do smartcard)
5. Comprar um leitor de smart card PIN pad. (Caro)
6. Fortalecimento da autenticação entre o usuário, teclado,
e smartcard. (That &'; s que o OS é suposto fazer)
7. Altere o PIN do cartão e certificados (Nota: mudar
certificados podem causar estragos em documentos,
direitos de acesso, etc., que utilizou o mais velho certificado. Além disso,
os atacantes ainda terá acesso ao
informações mais velho.)

Esta é bobagem. Essas recomendações são um insulto na melhor das hipóteses, uma vez que &'; s de Segurança 101. Para os representantes públicos do setor de smart card para colocar para fora esses chavões pamby namby e quer recusar, ou mesmo entender como lidar com os verdadeiros culpados é uma injustiça para com todos nós em a indústria smartcard que estão trabalhando para tornar os dados de autenticação segura e de confiança do usuário.

O que me preocupa profundamente sobre a sua resposta é que nem a indústria nem smartcard indústria de PKI é a culpa. Prevenção e segurança está mal colocado no usuário. A falha na verdade está com as aplicações inseguras (Adobe), o sistema operacional (Microsoft) ea segurança de rede que don &'; t detectar arquivos corrompidos. O ataque foi usado sem sofisticação e tem sido saber e experientes durante anos. Por hasn &';? T indústria de computadores abordou estas ameaças conhecidas

Então, aqui é meu “ Key Elements of Segurança &" ;:

1. Scrap Windows 8 e desenvolver uma inteiramente nova operação
sistema a partir do zero. Don &'; t torná-lo para trás
compatível com qualquer coisa. Fazer da segurança uma
parte integrante do projeto. Claro que haverá o custo de novos aplicativos e drivers
mas o que é pior? O custo
a modernização ou a continuação do multi-bilhões
roubo de identidade dólar perde que pode derrubar
nossa economia?
2. bloquear todos os anexos Adobe PDF até que corrigir seu problema
. Sem anexos de PDF mais antigos serão autorizados a entrar
qualquer computador
3. Nuvem e fabricação de rede e'. S produtos digitalizar
anexos de arquivos ocultos
4. Taxa essas empresas $ 1 bilhão para toda a segurança remendo eles têm que liberar. O Windows Patch Tuesday tem
acontecendo desde o Windows 98. É o Microsoft
Gestão tão interessado em lucros que a construção de um sistema confiável
é de nenhuma importância real para eles? Se os EUA
Serviço Postal precisa de uma nova campanha para levar as pessoas a
realmente comprar selos e outros valores postais
seguida, lembrar cada americano que “ Snail Mail &"; não é
afetados por vírus e pode &'; t derrubar o seu computador ou rede

A alegação de que o cartão de acesso comum (CAC) reduziu de intrusão de rede em 46% ao substituir senhas também é. muito enganador. Ele reduziu a intrusão quando você impedir que os usuários de auto-gestão das suas senhas. E outra vez nós sabemos que as pessoas vão escolher senhas simples, use a mesma senha em todos os lugares e escrever senhas em notas. Por quê? Porque nós can &'; t lembrar que muitos deles. Mas se você incorporar um, multi-fator gerenciador de senhas de autenticação baseada em cartão inteligente você vai ver reduções de intrusão semelhantes; e, em uma fração do custo e do tempo. PKI é uma grande tecnologia e ele faz algumas coisas melhor do que qualquer outra tecnologia, mas não é adequado para todos. Assim, comparando CAC às senhas de auto-gestão é falso.

Como você pode ver, estou muito angustiado e mais do que um pouco irritado. Não nos hackers, criminosos ou mesmo os chineses desde que eles estão fazendo seu trabalho e fazê-lo muito bem. Mas com a indústria de computador que permite que esses ataques para continuar. E no Smart Card Alliance para não identificar os verdadeiros culpados e oferecendo recomendações de segurança sólidos. O ataque a ser travada não era sofisticado. Assim em vez de Microsoft, Adobe e outros chegando com uma nova, “ belos &"; interface, gastar o dinheiro garantir o seu software
 .;