Smart Card Alliance débilmente defiende la Industria

La Smart Card Alliance ofrece lugares comunes pero don &'; t identificar a los culpables

La Smart Card Alliance lanzó su débil respuesta al reciente ataque Sykipot Tojan que secuestró las tarjetas inteligentes de autenticación del Departamento de Defensa!. A diferencia de los ataques hipotéticos sobre las tarjetas inteligentes (el Ataque teorema chino del residuo viene a la mente con el uso de un horno de microondas y una calculadora) se trata de una amenaza real para la seguridad de uno y' s de redes y datos, pero no tanto para la propia tarjeta inteligente <. br>

El Sykipot Tojan está tomando ventajas de los defectos y la falta de seguridad en Adobe y' s documentos PDF (ataque de día cero) y Microsoft &'; s del sistema operativo Windows y los proveedores de antivirus no están bloqueando los archivos adjuntos infectados
.

¿Cómo están sucediendo estos ataques? El atacante envía un correo electrónico de phishing o spear phishing con un archivo adjunto infectado de malware a una persona inocente o empleado. El empleado se abre el archivo adjunto e inicia el ataque. El malware es un keylogger que captura el PIN de la tarjeta inteligente, lee el usuario y' s certificados dentro de Windows, y luego permite que el atacante utilizar esta información para acceder a cuentas no autorizadas

La Smart Card Alliance ofrece solamente simplista. estrategias de seguridad.

1. Educar a los usuarios sobre las prácticas de ordenador y de correo electrónico seguras
2. Mantener actualizados antivirus, y -malware y-.. el software keylogger
3. Implementar análisis de usuario y forenses red herramientas.
4. Incluir autenticación de múltiples factores (pensé que
era todo el propósito de la tarjeta inteligente)
5. Comprar un lector de tarjetas inteligentes PIN pad. (Caro)
6. Endurecimiento la autenticación entre el usuario, el teclado, España y la tarjeta inteligente. (Eso y' es lo que el sistema operativo se supone que debe hacer)
7. Cambiar el PIN de la tarjeta y los certificados (Nota: el cambio de
certificados puede causar estragos en los documentos, acceso
derechos, etc., que utiliza la más vieja certificado. Además,
los atacantes seguirán teniendo acceso a la mayor información
.)

Esto es una tontería. Estas recomendaciones son un insulto a lo mejor, ya que y' s de Seguridad 101. Para los representantes públicos de la industria de tarjetas inteligentes para apagar esas perogrulladas pamby namby y, o bien se niegan, o incluso entender la forma de abordar los verdaderos culpables es una injusticia para todos nosotros en la industria de tarjetas inteligentes que están trabajando para hacer que los datos de autenticación segura y fácil fiables.

Lo que me preocupa profundamente acerca de su respuesta es que ni la industria de tarjetas inteligentes ni la industria de PKI es la culpa. Prevención y seguridad se coloca erróneamente en el usuario. La culpa en realidad se encuentra con las aplicaciones inseguras (Adobe), el sistema operativo (Microsoft) y la seguridad de la red que don &'; t detectan archivos dañados. El ataque fue utilizado poco sofisticado y ha sido conocer y experimentado durante años. ¿Por qué hasn y' t la industria informática dirigida estas amenazas conocidas

Así que aquí están mi y" Elementos Clave de Seguridad &" ;:

1. Chatarra Windows 8 y desarrollar una nueva operación
sistema desde cero. Don y' t hacen retroceder
compatible con cualquier cosa. Hacer una seguridad
parte integral del diseño. Seguro que será el coste de las nuevas aplicaciones y controladores
pero que es lo peor? El costo Red de la actualización o la continuación de la de miles de millones
robo de identidad dólar pierde lo que puede hacer caer nuestra
economía?
2. Bloquear todos los archivos adjuntos PDF de Adobe hasta que arreglen su problema
. No hay mayores datos adjuntos PDF se permitirá en
cualquier ordenador
3. Nube y la producción de la red y'. S productos escanear
adjuntos de archivos ocultos
4. Carga estas empresas $ 1 mil millones para toda seguridad parche que tienen que liberar. Ventanas martes de parches ha
estado sucediendo desde Windows 98. ¿Está el Microsoft
Gestión tan interesado en los beneficios que la construcción de un sistema grande no tiene ninguna importancia real para ellos? Si los EE.UU.
Servicio Postal necesita una nueva campaña para que la gente
realidad comprar sellos y otros productos postales
entonces recuerdan cada estadounidense que y" correo postal y" No se
afectados por los virus y el can &'; t toma el ordenador o la red

La afirmación de que la tarjeta de acceso común (CAC) ha reducido intrusiones en la red en un 46% al sustituir las contraseñas es también. muy engañoso. Ha reducido la intrusión cuando se impide a los usuarios de la auto-gestión de sus contraseñas. Una y otra vez, sabemos que la gente va a elegir contraseñas simples, utilice la misma contraseña en todas partes y escribir las contraseñas en notas. ¿Por qué? Porque podemos los &'; t recordar que muchos de ellos. Pero si se incorporan a, multifactorial administrador de contraseñas de autenticación basada en tarjeta inteligente verá reducciones de intrusión similares; y, a una fracción del costo y el tiempo. PKI es una gran tecnología y hace algunas cosas mejor que cualquier otra tecnología, pero no es apropiado para todos. Así que la comparación de CAC a las contraseñas de autogestión es falso.

Como puedes ver, estoy muy angustiado y más que un poco enojado. No, en los hackers, delincuentes o incluso los chinos, ya que están haciendo su trabajo y hacerlo muy bien. Pero con la industria de la computación que permite a estos ataques continúen. Y en la Smart Card Alliance por no identificar a los verdaderos culpables y ofreciendo recomendaciones de seguridad sólidas. El ataque se libra no era sofisticado. Así que en lugar de Microsoft, Adobe y otros vienen con un nuevo, y" bastante y" interfaz, gastar el dinero la seguridad de su software Restaurant  .;