Smart Card Alliance debolmente Difende L'industria

La Smart Card Alliance offre banalità ma don &'; t identificare i colpevoli

La Smart Card Alliance hanno pubblicato il loro debole risposta al recente attacco Sykipot Tojan che dirottato il Dipartimento di! smartcard autenticazione difesa. A differenza di attacchi ipotetici su smart card (il cinese Attacco Resto teorema viene in mente con l'uso di un forno a microonde e una calcolatrice), questa è una vera minaccia per la sicurezza di un &'; s di rete e dati, ma non tanto per la smart card stessa <. br>

Il Sykipot Tojan sta prendendo vantaggi dei difetti e la mancanza di sicurezza in Adobe &'; s documenti PDF (attacco zero-day) e Microsoft &'; s sistema operativo Windows e fornitori di anti-virus non sono bloccando allegati infetti
.

Come sono questi attacchi accadendo? L'aggressore invia una e-mail di phishing o di spear phishing con un allegato infetto di malware a una persona ignara o impiegato. Il dipendente apre l'allegato e lancia l'attacco. Il malware è un keylogger che cattura il PIN della smart card, si legge l'utente &'; s certificati all'interno di Windows, e quindi permette al malintenzionato di utilizzare queste informazioni per accedere a conti non autorizzate

La Smart Card Alliance offre solo semplicistico. . strategie di sicurezza

1. educare gli utenti su di computer ed e-mail pratiche sicure
2. Mantenere up-to-date anti-virus, -malware e –.. keylogger
software
3. Implementare l'analisi degli utenti e forensi di rete strumenti.
4. Includere autenticazione a più fattori (ho pensato che fosse
lo scopo della smartcard)
5. Acquistare un PIN pad lettore di smart card. (Costoso): profilo 6. indurimento l'autenticazione tra utente, tastiera, Comprare e smart card. (That &'; s che cosa il sistema operativo è supponiamo di fare)
7. Cambiare il PIN della carta e certificati (Nota: cambiando
certificati può devastare i documenti, i diritti di accesso
, ecc, che ha utilizzato il più vecchio certificato. Inoltre,
gli attaccanti continueranno ad avere accesso alle informazioni più vecchio
.)

Questa è una sciocchezza. Queste raccomandazioni sono un insulto al meglio, dal momento che &'; s di sicurezza 101. Per i rappresentanti pubblici del settore smart card di mettere tali banalità pamby namby e rifiutare o addirittura capire come affrontare i veri colpevoli è un'ingiustizia per tutti noi a l'industria smart card che stanno lavorando per rendere i dati di autenticazione sicura e user affidabili.

Quello che mi preoccupa profondamente la loro risposta è che né l'industria né smart card PKI l'industria è in difetto. Prevenzione e sicurezza è erroneamente collocato per l'utente. La colpa in realtà si trova con le applicazioni non sicure (Adobe), il sistema operativo (Microsoft) e la sicurezza di rete che don &'; t rilevare file danneggiati. L'attacco è stato utilizzato poco sofisticata ed è stato conosciuto e vissuto per anni. Perché hasn &'; t l'industria dei computer rivolto queste minacce conosciute

Così qui sono il mio “ Elementi chiave della Sicurezza &" ;:

1. Rottami di Windows 8 e di sviluppare un nuovo
operativo sistema da zero. Don &'; t rendono all'indietro
compatibile con qualsiasi cosa. Rendere la sicurezza un
parte integrante del design. Certo ci sarà il costo delle nuove applicazioni e dei driver
ma che è peggio? Il costo Immagini di aggiornamento o la continuazione del multi-miliardi di
furto di identità dollaro perde il che può far cadere
nostra economia?
2. bloccare tutti gli allegati Adobe PDF fino a che non risolvere il loro problema
. Non sono ammesse più anziani allegati PDF in
qualsiasi computer
3. Nube e produzione di rete e'. S prodotti scansione
allegati per i file nascosti
4. carica queste aziende $ 1 miliardo per ogni sicurezza cerotto devono rilasciare. Finestre Patch Martedì è
andata avanti a partire da Windows 98. E 'la Microsoft
gestione così appassionato di profitti che la costruzione di un sistema sicuro
è alcuna reale importanza per loro? Se gli Stati Uniti
Postal Service ha bisogno di una nuova campagna per convincere la gente a
effettivamente acquistare francobolli e altri prodotti postali
poi ricordano ogni americano che “ snail mail e" non è
colpiti da virus e can &'; t prendere il vostro
computer o la rete

L'affermazione che la Common Access Card (CAC) ha ridotto intrusioni di rete del 46% in caso di sostituzione delle password è anche. molto fuorviante. Ha ridotto l'intrusione quando si impedisce agli utenti di auto-gestire le proprie password. Di volta in volta sappiamo che la gente scegliere password semplici, utilizzare la stessa password ovunque e scrivere le password su appunti. Come mai? Perché possiamo di &'; t ricordare che molti di loro. Ma se si incorporano un basato su smart card-multi-fattore di gestore di password di autenticazione vedrete riduzioni delle intrusioni simili; e, ad una frazione del costo e del tempo. PKI è una grande tecnologia e lo fa alcune cose meglio di qualsiasi altra tecnologia, ma non è appropriato per tutti. Quindi, confrontando CAC alle password autogestiti è in malafede.

Come potete vedere, io sono abbastanza in difficoltà e più di un po 'arrabbiato. Non al hacker, criminali o anche i cinesi dato che stanno facendo il loro lavoro e che lo fanno molto bene. Ma con l'industria dei computer che permette di continuare questi attacchi. E alla Smart Card Alliance per non identificare i veri colpevoli e offrendo raccomandazioni di sicurezza solide. L'attacco è scatenata non era sofisticato. Così, invece di Microsoft, Adobe e altri venire con un nuovo, “ piuttosto &"; interfaccia, spendere i soldi la protezione del software
.