Smart Card Alliance Svagt forsvarer Industri

Smart Card Alliance tilbyder floskler, men don &'; t identificere de skyldige

Smart Card Alliance udgivet deres svage reaktion på den seneste Sykipot Tojan angreb, som kaprede det amerikanske forsvarsministerium authentication smartcards!. I modsætning til hypotetiske angreb på smartcards (det kinesiske Restbeløb Sætning Attack kommer til at tænke med brug af en mikrobølgeovn og en lommeregner) dette er en reel trussel mod sikkerheden i et &'; s netværk og data, men ikke så meget at chipkortet selv <. br>

Sykipot Tojan tager fordelene ved de fejl og manglende sikkerhed i Adobe &'; s PDF-dokumenter (zero-day angreb) og Microsoft &'; s Windows OS og anti-virus leverandører ikke blokerer inficerede vedhæftede filer
.

Hvordan disse angreb sker der? Angriberen sender en phishing eller spyd phishing e-mail med en malware inficeret vedhæftet fil til en intetanende person eller medarbejder. Medarbejderen åbner den vedhæftede fil, og lancerer angrebet. Den malware er en keylogger, der fanger pinkode af chipkortet, læser brugeren &'; s certifikater inden Windows og derefter gør det muligt for hackeren at bruge denne information til at logge ind uautoriserede konti

Smart Card Alliance tilbyder kun forsimplet. . sikkerhedsstrategier

1. Uddan brugere på sikker computer og e-mail praksis
2. Opretholde up-to-date anti-virus, -malware og –.. keylogger
software
3. Gennemføre bruger analyse og netværk forensics værktøjer.
4. Medtag multi-faktor-autentificering (Jeg troede, at
var hele formålet med chipkortet)
5. Køb en PIN pad smartcard læser. (Dyrt)
6. Hærdning autentificering mellem bruger, tastatur,
og smartcard. (Det &'; s hvad OS er Antag at gøre)
7. Skift dit kort PIN-kode og certifikater (Bemærk: skiftende
certifikater kan skabe ravage på dokumenter, adgang
rettigheder mv, der brugte ældre certifikat. Plus,
angriberne vil stadig have adgang til den ældre
oplysninger.)

Dette er baloney. Disse anbefalinger er fornærmende i bedste, da det &'; s Sikkerhedsråd 101. For de offentlige repræsentanter for chipkortet industrien til at sætte sådanne namby pamby floskler og enten afvise eller endda forstå, hvordan at løse de virkelige syndere er en uretfærdighed for os alle i chipkortet industri, som arbejder på at gøre data sikre og brugergodkendelse pålidelig.

Hvad dybt bekymrer mig om deres svar er, at hverken det smartcard industri eller PKI industrien er skyld i ulykken. Forebyggelse og sikkerhed er forkert placeret på brugeren. Fejlen faktisk ligger hos usikre applikationer (Adobe), Operating System (Microsoft) og netværkssikkerhed, don &'; t opdage beskadigede filer. Angrebet anvendte var usofistikerede og har været viden og oplevet i årevis. Hvorfor hasn &'; t computerindustrien rettet disse kendte trusler

Så her er mit “ centrale elementer i Sikkerhed &" ;:

1. Skrot Windows 8 og udvikle en helt ny operativsystem
system fra jorden op. Don &'; t gøre det bagud
kompatibel med noget. Gør sikkerhed en integreret
del af designet. Sikker på der vil være udgifter til nye
applikationer og drivere, men som er værst? Omkostningerne
af opgradering eller en fortsættelse af den multi-milliard
dollar identitetstyveri taber som kan nedbringe vores
økonomi?
2. Bloker alle Adobe PDF filer, indtil de fastsætte deres
problem . Ingen ældre vedhæftede PDF-filer vil blive tilladt i
enhver computer
3. Cloud og fremstilling &' netværk;. S produkter scanne
vedhæftede for skjulte filer
4. Oplad disse selskaber 1 mia $ for hver sikkerhed patch de har at frigive. Windows Patch tirsdag har
stået på siden Windows 98. Er Microsofts
Ledelsen så opsat på overskud, opbygge en betroet
-system er uden reel betydning for dem? Hvis USA
Postal Service brug for en ny kampagne for at få folk til
faktisk købe frimærker og andre postale produkter
derefter minde alle amerikanere som “ snail mail &"; ikke
påvirket af virus, og kan &'; t tage ned din computer
eller netværk

Påstanden om, at den fælles Access Card (CAC) har reduceret netværk indtrængen med 46% ved udskiftning af adgangskoder er også. meget vildledende. Det har reduceret indtrængen, når du forhindre brugerne fra selvstændig styre deres adgangskoder. Igen og igen ved vi, at folk vil vælge enkle passwords, bruge den samme adgangskode overalt og skrive adgangskoder på noter. Hvorfor? Fordi vi kan &'; t huske, at mange af dem. Men hvis du indarbejde et smartcard-baseret, multi-faktor-autentificering password manager vil du se lignende reduktioner indtrængen; og på en brøkdel af omkostninger og tid. PKI er en stor teknologi og det gør nogle ting bedre end nogen anden teknologi, men det er ikke hensigtsmæssigt for alle. Så sammenligne CAC til selvforvaltende passwords er uvederhæftigt.

Som du kan se, jeg er helt ulykkelig og mere end en smule vred. Ikke på hackere, kriminelle eller endda kineserne, da de gør deres job og gør det meget godt. Men med computeren industri, der gør det muligt for disse angreb for at fortsætte. Og på Smart Card Alliance for ikke at identificere de sande syndere og tilbyde solide sikkerheds anbefalinger. Angrebet udkæmpes ikke var sofistikerede. Så i stedet for Microsoft, Adobe og andre, der kommer op med en ny, og" pretty &"; interface, bruge pengene sikre din software
.