Smart Card Alliance Zwak verdedigt de industrie

De Smart Card Alliance biedt platitudes, maar don &'; t identificeren van de daders

De Smart Card Alliance vrijgegeven hun zwakke reactie op de recente Sykipot Tojan aanval, die het ministerie van Defensie authenticatie smartcards gekaapt!. In tegenstelling tot de hypothetische aanvallen op smartcards (de Chinese Reststelling Attack komt te letten bij het gebruik van een magnetron en een rekenmachine), dit is een reële bedreiging voor de veiligheid van de ene &'; s netwerk en data, maar niet zo veel aan de smartcard zelf <. br>

De Sykipot Tojan neemt voordelen van de gebreken en het gebrek aan veiligheid in Adobe &'; s PDF-documenten (zero-day aanvallen) en Microsoft &'; s Windows-besturingssysteem en leveranciers van anti-virus niet te blokkeren geïnfecteerde bijlagen
.

Hoe worden deze aanvallen gebeuren? De aanvaller stuurt een phishing of spear phishing e-mail met een malware geïnfecteerde bijlage bij een nietsvermoedende persoon of werknemer. De werknemer opent de gehechtheid en lanceert de aanval. De malware is een keylogger die de pincode van de smartcard vangt, leest de gebruiker &'; s certificaten in Windows, en dan kan de aanvaller deze informatie gebruiken om in te loggen op onbevoegde accounts

De Smart Card Alliance biedt alleen simplistisch. . security strategieën

1. Educate gebruikers op een veilige computer en e-mail praktijken
2. Maintain up-to-date anti-virus, -malware en –.. keylogger
software verhuur 3. implementeren gebruiker analyse en netwerk forensische gereedschappen.
4. Inclusief multi-factor authenticatie (ik dacht dat
was het hele doel van de smartcard)
5. Koop een PIN-pad smartcardlezer. (Dure)
6. Harden de authenticatie tussen gebruiker, toetsenbord, medailles en smartcard. (Dat &'; s wat het OS is te veronderstellen doen)
7. Verander uw pincode en certificaten kaart (Opmerking: het veranderen
certificaten kunnen grote schade aanrichten aan documenten, toegang
rechten, enz., Dat de oudere gebruikt certificaat. Plus,
de aanvallers nog steeds toegang hebben tot de oudere
informatie.)

Dit is flauwekul. Deze aanbevelingen zijn beledigend in het beste, omdat het &'; s veiligheid 101. Voor de publieke vertegenwoordigers van de smartcard-industrie om dergelijke namby pamby platitudes begrijpen hoe de echte schuldigen te pakken te zetten en ofwel te weigeren, of zelfs is een onrechtvaardigheid voor ons allemaal in de smartcard-industrie die werken om gegevens veilig en authenticatie van gebruikers betrouwbaarder te maken.

Hoe diep gaat me over hun reactie is dat noch de smartcard-industrie, noch de PKI-industrie is schuldig. Preventie en beveiliging is verkeerd geplaatst op de gebruiker. De fout ligt eigenlijk bij de onveilige applicaties (Adobe), het besturingssysteem (Microsoft) en de veiligheid van het netwerk, dat don &'; t detecteren beschadigde bestanden. De aanval gebruikt was naïef en heeft kennis geweest en ervaren jaren. Waarom hasn &'; t de computer industrie gericht deze bekende bedreigingen

Dus hier zijn mijn “ kernelementen van Veiligheid &" ;:

1. Scrap Windows 8 en het ontwikkelen van een geheel nieuw besturingssysteem
systeem van de grond af. Don &'; t maakt het achterwaarts
compatibel met om het even wat. Maak veiligheid een integraal
onderdeel van het ontwerp. Tuurlijk zijn er de kosten van nieuwe
applicaties en drivers zijn, maar dat is het slechtst? De kosten
van upgrading of de voortzetting van de multi-miljard dollar
identiteitsdiefstal verliest die naar beneden kunnen brengen onze
economie?
2. Blokkeer alle Adobe PDF-bijlagen, totdat zij hun
probleem op te lossen . Niet ouder PDF bijlagen zal worden toegestaan ​​in
elke computer
3. Cloud en netwerk fabricage &';. S producten scannen
opzetstukken voor verborgen bestanden
4. Laad deze bedrijven $ 1 miljard voor elke beveiliging patch ze moeten vrijgeven. Windows Patch Tuesday is
al sinds Windows 98. Is de Microsoft
management zo enthousiast over de winst die de bouw van een vertrouwde
systeem is niet echt belangrijk voor hen? Als de VS
Postal Service heeft een nieuwe campagne om mensen krijgen om daadwerkelijk
kopen postzegels en andere postale producten
dan aan herinneren dat elke Amerikaan “ snail mail &"; is niet
beïnvloed door virussen en kan van &'; t neemt uw computer
of het netwerk

De bewering dat de Common Access Card (CAC) netwerk inbraak heeft verminderd met 46% bij het vervangen van wachtwoorden is ook. zeer misleidend. Het heeft de inbraak verminderd wanneer u voorkomen dat de gebruikers zelf het beheer van hun wachtwoorden. Keer op keer weten we dat mensen halen eenvoudige wachtwoorden, gebruiken hetzelfde wachtwoord overal en schrijf wachtwoorden op notities. Waarom? Omdat we can &'; t vergeet niet dat veel van hen. Maar als je een smartcard-gebaseerde, multi-factor authenticatie password manager nemen u vergelijkbare reducties inbraak te zien; en, bij een fractie van de kosten en tijd. PKI is een geweldige technologie en het doet sommige dingen beter dan elke andere technologie, maar het is niet geschikt voor iedereen. Dus vergelijken CAC om in eigen beheer wachtwoorden is oneerlijk.

Zoals je kunt zien, ben ik heel verdrietig en meer dan een beetje boos. Niet aan de hackers, criminelen of zelfs de Chinezen, omdat zij hun werk doen en doen het heel goed. Maar de computerindustrie waarmee deze aanvallen verder. En op de Smart Card Alliantie voor het niet identificeren van de ware schuldigen en het aanbieden van stevige aanbevelingen veiligheid. De aanval wordt gevoerd was niet verfijnd. Dus in plaats van Microsoft, Adobe en anderen komen met een nieuwe, “ mooie &"; -interface, het geld het beveiligen van uw software
.