Smart Card Alliance Svagt försvarar Industry

Smart Card Alliance erbjuder plattityder, men don &'en; t identifiera gärningsmännen Omdömen

Smart Card Alliance släppte sin svaga reaktion på den senaste tidens Sykipot trojanske attack som kapade Department of Defense! autentiserings smartkort. Till skillnad från hypotetiska attacker mot smarta (den kinesiska restsatsen Attack kommer att tänka med hjälp av en mikrovågsugn och en miniräknare) Detta är ett verkligt hot mot säkerheten för ett &'; s nätverk och data, men inte så mycket att det smarta kortet själv <. br>

Sykipot trojanske tar fördelarna med brister och bristande säkerhet i Adobe och' s PDF-dokument (zero-day attack) och Microsoft och' s Windows OS och anti-virus leverantörer inte blockerar infekterade bilagor Omdömen.

Hur dessa attacker händer? Angriparen skickar ett phishing eller spjut phishing e-post med en malware angripen bilaga till en intet ont anande person eller anställd. Den anställde öppnar den bifogade filen och startar attacken. Det skadliga programmet är en keylogger som fångar PIN smartkortet, läser användarens 'en; s certifikat i Windows, och sedan låter angripare att använda denna information för att logga in obehöriga konton Omdömen

Smart Card Alliance erbjuder bara naivt. . säkerhetsstrategier Omdömen

1. Utbilda användare på säkra datorer och e-postrutiner Omdömen 2. Behåll up-to-date anti-virus, -malware och –.. keylogger Omdömen Software Review 3. Genomföra användaranalys och nätverkskriminalteknik verktyg. Omdömen 4. Inkludera multifaktorautentisering (jag trodde att Omdömen var hela syftet med det smarta kortet)
5. Köp en PIN-pad smartkort läsare. (Dyr)
6. Härdning autentisering mellan användaren, tangentbord, Mössor och smartkort. (Det &'; s vad OS är tänkt att göra)
7. Ändra ditt kort PIN-kod och certifikat (Obs: ändra Omdömen certifikat kan utlösa förödelse på dokument, tillgång Omdömen rättigheter, osv, som använde äldre certifikat. Dessutom
angriparna kommer fortfarande att ha tillgång till den äldre Omdömen information.) katalog

Det här är struntprat. Dessa rekommendationer är förolämpande i bästa fall, eftersom det &'; s säkerhetsråd 101. För offentliga företrädare för smartkort industrin att sätta sådana namby pamby plattityder och antingen vägra eller ens förstå hur man ska hantera de verkliga syndarna är en orättvisa för oss alla i smartkortet branschen som arbetar för att göra data säkra och användarautentisering tillförlitliga. Omdömen

Vad djupt oroar mig om deras svar är att varken smartkortet industrin eller PKI industrin är fel. Förebyggande och säkerhet felaktigt placerad på användaren. Felet faktiskt ligger hos de osäkra program (Adobe), operativsystemet (Microsoft) och nätverkssäkerhet som don &'en; t upptäcka korrupta filer. Attacken som användes var unsophisticated och har varit vet och erfarna i åratal. Varför hasn och'? T datorindustrin riktar dessa kända hot Omdömen

Så här är min “ Key Elements of Security &" ;: Omdömen

1. Skrot Windows 8 och utveckla ett helt nytt operativsystem Omdömen system från grunden. Don &'; t göra det bakåt Omdömen kompatibel med någonting. Gör säkerhet en integrerad Omdömen del av designen. Visst kommer det att finnas kostnaden för nya
program och drivrutiner, men som är värst? Kostnaden
av uppgradering eller en fortsättning på flera miljarder Omdömen dollar identitetsstöld förlorar som kan få ner vår Omdömen ekonomi?
2. Blockera alla Adobe PDF-bilagor förrän de har rättat sin Omdömen problem . Inga äldre PDF-bilagor kommer att tillåtas i
vilken dator som helst
3. Cloud och nätverks tillverkning och' s. Produkter skanna Omdömen fästen för dolda filer Omdömen 4. Ladda dessa företag $ 1 miljard euro för varje säkerhet patch de måste släppa. Windows Patch tisdag har Omdömen pågått sedan Windows 98. Är Microsoft Hantering, så angelägna om vinster som att bygga en betrodd Omdömen systemet är ingen verklig betydelse för dem? Om USA
Postal Service behöver en ny kampanj för att få folk till
faktiskt köpa frimärken och andra post produkter Omdömen sedan påminna varje amerikan som “ snigelpost &"; inte
påverkas av virus och kan &'en; t ta ner din dator Omdömen eller nätverk

Påståendet att Common Access Card (CAC) har minskat nätverk intrång med 46% vid byte lösenord är också. mycket vilseledande. Det har minskat intrång när du förhindra användarna från självstyrande sina lösenord. Gång på gång vet vi att människor kommer att plocka enkla lösenord, använda samma lösenord överallt och skriva lösenord på sedlar. Varför? Eftersom vi kan &'en; t komma ihåg att många av dem. Men om du infoga ett smartkort baserad multifaktorautentisering Password Manager kommer du att se liknande minskningar intrång; och, till en bråkdel av kostnaden och tid. PKI är en fantastisk teknik och det gör vissa saker bättre än någon annan teknik, men det är inte lämpligt för alla. Så jämföra CAC till självförvaltade lösenord är oärligt. Omdömen

Som ni kan se, jag är ganska bekymrad och mer än lite arg. Inte på hackers, kriminella eller ens kineserna eftersom de gör sitt jobb och gör det mycket bra. Men med datorindustrin som gör att dessa attacker fortsätter. Och på Smart Card Alliance för att inte identifiera de verkliga gärningsmännen och erbjuder fasta säkerhetsrekommendationer. Attacken utkämpas var inte sofistikerade. Så i stället för Microsoft, Adobe och andra kommer med en ny, “ ganska &"; gränssnitt, spendera pengarna säkra din programvara Omdömen  ..