Smart Card Alliance Heikosti Puolustaa Industry

Smart Card Alliance tarjoaa latteuksia mutta don &'; t tunnistaa syyllisiä!

Smart Card Alliance julkaisi heikko vastauksena komission äskettäin Sykipot Tojan hyökkäys joka kaappasivat puolustusministeriön todennus älykortit. Toisin kuin hypoteettinen hyökkäykset älykorttien (kiinalainen jäännöslause Hyökkäys tulee mieleen käyttämällä mikroaaltouuni ja laskin) tämä on todellinen uhka turvallisuudelle yhden &'; n verkon ja tietoja, mutta ei niin paljon älykortin itse.

Sykipot Tojan on hyödyntämästä puutteita ja turvattomuus Adobe &'; s PDF-dokumentteja (nollapäivähaavoittuvuus) ja Microsoft &'; n Windows ja anti-virus toimittajat eivät estä tartunnan liitetiedostoja.

Miten nämä hyökkäykset tapahtuu? Hyökkääjä lähettää phishing tai keihäs phishing sähköpostin haittaohjelmien tartunnan liitetiedoston hyväuskoinen henkilö tai työntekijä. Työntekijä avaa liitetiedoston ja käynnistää hyökkäys. Haittaohjelma on keylogger joka kaappaa PIN älykortin, lukee käyttäjän &'; s todistukset sisällä Windows, ja sitten mahdollistaa hyökkääjän käyttää tätä tietoa kirjautua luvattoman tilejä.

Smart Card Alliance on vain yksinkertainen turvallisuusstrategioita.

1. kouluttaa käyttäjiä turvallisesta tietokoneella ja sähköpostia käytäntöjä.
2. pidettävä ajan tasalla anti-virus, -malware ja – keylogger
ohjelmisto.
3. Toteuta käyttäjä analyysi ja verkko Forensics työkaluja.
4. Sisällytä Moninkertainen tunnistus (ajattelin, että
oli koko tarkoitus älykortin)
5. Osta PIN pad älykortin lukija. (Kallis)
6. kovettumista todentaminen käyttäjä, näppäimistö,
ja älykortin. (Tämä &'; s mitä käyttöjärjestelmä on kai tehdä)
7. Muuta kortin PIN ja todistukset (Huom: muuttuvat
varmenteita voi aiheuttaa tuhoa asiakirjoja, pääsy
oikeudet jne, että käytetty vanhemmat todistus. Plus,
hyökkääjät edelleen käyttää vanhempia
tiedot.)

Tämä on roskaa. Nämä suositukset ovat loukkaavia parhaimmillaan, koska se &todellisten tuloste; s Security 101. yleisön edustajille älykortin teollisuuden laittaa tällaisia ​​namby pamby latteuksia ja joko hylätä tai edes ymmärrä miten käsitellä todelliset syylliset on vääryys meitä kaikkia älykortin teollisuus, jotka työskentelevät tehdä tietojen turvallinen ja käyttäjätunnistus luotettava.

Mikä syvästi minua huolestuttaa heidän vastaus on, ettei älykortti teollisuuden eikä PKI teollisuus on syyllinen. Ennaltaehkäisy ja turvallisuus on virheellisesti asettanut käyttäjä. Vika todella kuuluu turvaton sovellusten (Adobe), Käyttöjärjestelmä (Microsoft) ja verkon turvallisuus että Don &'; T havaita vioittuneet tiedostot. Hyökkäys käytettiin koruton ja on ollut tietotaitoa ja kokenut vuosia. Miksi Hasn &'; t tietokoneen teollisuuden käsitelty näitä tunnettuja uhkia?

Joten tässä on minun “ avaintekijät Turvallisuus &" ;:

1. Romu Windows 8 ja kehittää kokonaan uusia toimintatapoja
järjestelmän maasta ylös. Don &'; t tehdä se taaksepäin
yhteensopiva mitään. Tee turvallisuus olennainen
osa suunnittelua. Toki siellä on kustannukset uusien
sovellusten ja ohjainten mutta joka on pahin? Kustannukset
parantamista tai jatkamista monen miljardin
dollarin identiteettivarkauden menettää joka voi tuoda alas meidän
talous?
2. Estä kaikki Adobe PDF-liitteet kunnes ne korjata niiden
ongelma . Ei vanhempi PDF liitteet päästetä
tahansa tietokoneelta.
3. Cloud ja verkon valmistukseen &'; tuotteiden skannata
liitetiedostot piilotetut tiedostot.
4. periä nämä yritykset $ 1 miljardi kaikinpuolisen turvallisuuden
patch ne täytyy vapauttaa. Windows Patch tiistai on
jatkunut vuodesta Windows 98 Onko Microsoft
Management niin innokas voitosta että rakennus luotettu
järjestelmä ei ole todellista merkitystä heille? Jos Yhdysvaltain
Postal Service tarvitsee uuden kampanjan saada ihmiset
itse ostaa postimerkkejä ja muita postituotteiden
sitten muistuttaa jokaisen amerikkalaisen että “ etanapostin &"; ei
vaikuta virusten ja voi &'; t ottaa alas tietokoneen
tai verkko.

väite, että Common Access Card (CAC) on vähentänyt verkon tunkeutumisen 46%, kun vaihdat salasanoja on myös hyvin harhaanjohtava. Se on vähentänyt tunkeutumisen kun estää käyttäjiä itseohjautuvista niiden salasanoja. Kerta toisensa jälkeen me tiedämme, että ihmiset hakemaan yksinkertaisia ​​salasanoja, käytä samaa salasanaa kaikkialla ja kirjoittaa salasanoja muistiinpanoja. Miksi? Koska voimme &'; t muistaa, että monet heistä. Mutta jos sisällyttää älykortin-pohjainen, Moninkertainen tunnistus Password Manager näet samanlainen tunkeutumisen vähennykset; ja, murto-osalla kustannuksia ja aikaa. PKI on hyvä tekniikka ja se joitakin asioita paremmin kuin mikään muu tekniikka, mutta se ei sovi kaikille. Joten vertaamalla CAC itsehallinnoivia salasanat on vilpillinen.

Kuten näette, olen melko ahdistunut ja enemmän kuin vähän vihainen. Ei at hakkerit, rikolliset tai jopa Kiinan, koska ne tekevät työtään ja tekee sen hyvin. Mutta tietokone teollisuuden, jonka avulla nämä hyökkäykset jatkaa. Ja Smart Card Alliance for ei tunnistamiseksi totta syyllisiä ja tarjoaa vankan turvallisuuden suosituksia. Hyökkäys käydään ollut hienostunut. Joten sen sijaan Microsoft, Adobe ja muut keksiä uusi, “ melko &"; liitäntä, käyttää rahaa turvata oma ohjelmisto.
.