Video: Cyber weapons vs other weapons and deterrence (Lokakuu 2024)
San Franciscossa toimiva kryptografiatutkimus on ARM: n jälkeen toiseksi suurin puolijohdeteknologian lisensoija. Jos laitteessa on sisäänrakennettu suojauslaitteisto, CRI-siru on todennäköisesti hyvä. RSA-konferenssissa San Franciscossa yrityksen presidentti ja päätutkija Paul Kocher opetti minua siitä, miksi tuleva siirtyminen sirukortteihin, etäällä magneettinauhaluottokorteista on todella hyvä asia.
"Näet saman tekniikan sirukortilla, puhelimesi SIM-kortilla, valtion myöntämissä yleisissä pääsykorteissa ja muussa", Kocher sanoi. "Alapuolella on pieni mikroprosessori, kirjoitettava muisti, ROM, pieni RAM, salauksenkiihdytin, joitain turvaominaisuuksia. Koko ja nopeus vaihtelevat tietysti."
"Turvallisuusnäkökulmasta sirukortti on kvanttihyppy parannus magneettinauhaan nähden", sanoi Kocher. "Se on kuin vertailla jumbo-suihkukoneta hevoselle ja bugiseen. Jos olisimme jo siirtyneet sirukorteille, Target-rikkomuksella ei olisi merkitystä. Pahat pojat ovat ehkä varastaneet yhden tapahtuman koodit, mutta se ei anna heidän päästä tehdä tulevia tapahtumia. Kaapattujen tietojen avulla he voisivat tehdä täydellisen kopion vaarantuneesta magneettinauhakortista."
"Massamarkkinasovellusten sirut tarjoavat dramaattisesti korkeamman turvallisuuden dollaria kohden kuin melkein mikään muu", Kocher sanoi. "Sirut käyvät 25 senttiä dollarin vaihteluväliin. Suurin osa myyjistä on noin kymmenennen sukupolven ajan. Se tekee viisi tai kuusi iteraatiota, jotkut suuret suunnittelevat, mutta nyt ne ovat aika erikoisia."
Älykortit tulevat
"Jotkut ongelmat korjautuvat, kun Yhdysvallat siirtyy älykortteihin ensi vuonna", sanoi Kocher. "Nyt sinulla on ongelma siinä, missä Eurooppa käyttää niitä, emmekä, joten voit käyttää mag-raitaa täällä. Olemme eurooppalaisten järjestelmien hyökkäyskohtana. Jos varastat kortin siellä, heillä ei aina ole samat riskienhallinnat."
"Euroopassa turvallisuus perustuu siruun; tässä se perustuu PIN-koodiin", hän jatkoi. "Euroopassa PIN-koodeja ei usein salata, joten pahat pojat voivat saada PIN-koodin ja käyttää sitä täällä. Kun synkronoimme, molemmat osapuolet saavat suuren parannuksen. Yhdysvallat on ainoa jättiläismarkkina, joka edelleen käyttää 1960-aikaista magneettinauhaa. teknologiaa."
Kaikkia ongelmia ei ole ratkaistu
"Kaikki petosryhmät, joihin liittyy petollinen kortti, kopio, ne katoavat, kun Yhdysvallat hyväksyy sirukortit", sanoi Kocher. "Kaksi muuta luokkaa eivät ole. Fyysinen varkaus ei lopu tietysti, vaikka PIN-koodin käyttö auttaa sitä vaativissa tapahtumissa. Toinen on tietysti korttittomia online-tapahtumia."
Kocher totesi, että näiden online-tapahtumien turvallisuusmahdollisuus on olemassa. Lisäkortteja, joissa on sisäänrakennettu näyttö turvakoodeille, on olemassa, mutta 12 dollaria korttia kohti ne ovat aivan liian kalliita. Ja petosseulonta voi olla aika hyvä, pelkästään olemassa olevien kauppaa koskevien tietojen perusteella. "Lisäksi sirukortilla kauppias ei saa tietoja, joita tarvitaan kopion väärentämiseen", hän sanoi. "Haitallisen kauppiaan kompromissi ei ole enää uhka."
Kiintein
"Kaikista alueista, joilla turvallisuus on kriisissä", Kocher sanoi, "pankkikorttien turvallisuus on kaikkein korjattavin. Sinulla on fyysinen asia, asiakkaat ovat tottuneet siihen, käyttäytymisen muuttamiseen on pieni tarve ja monimutkaisuus on hallittavissa."
"Tämä muutos on myöhässä", hän jatkoi. "Tällä hetkellä pankit korvaavat väistämättömät petokset keräämällä kauppiaille maksun. Kauppiaille ei ole kannustimia parantaa tietoturvaa. Todellinen muutos liittyy yksinkertaiseen sääntöyn, joka siirtää vastuuta. Jos vilpillinen osto tehdään sirukortilla ja jälleenmyyjä ei tarkista, hintaa maksaa jälleenmyyjä, ei pankki. Nyt vähittäiskauppiaalla on taloudellinen kannustin tarkistaa pankkikortit oikein."
Edellisessä RSA-konferenssissa Kocher esitteli tekniikkaa älypuhelimen hakkerointiin mittaamalla sen lähettämää radiotaajuista säteilyä. "Älykortteja voidaan hyökätä", Kocher myönsi, "mutta tekniikkamme suojaa virrankulutushyökkäyksiltä, radiotaajuushyökkäyksiltä ja muilta. Nämä laitteet vuotavat, elleivät niitä ole suojattu."
Vedonlyöntiä
"Ohjelmistokehittäjät eivät voi koskaan saada kaikkia virheitä ulos", sanoi Kocher, "ja ihmiset ovat erehtyviä. Laitteistoratkaisussa voit erottaa kriittiset tietoturvatoiminnot samasta prosessorista, jonka avulla voit toistaa Flappy Birdin. Se on todellinen turvallisuus."
"Tämä lähestymistapa tapahtuu älykortilla", Kocher sanoi. "Se ei ole riippuvainen siitä, kuinka kauppias pääsee eroon virheistä. Saat tietoturvan korjaamatta ohjelmistoja. Ehkä masentava, mutta taloudellisesti se on totta. Optimistin mielestä hän voi päästä eroon viimeisestä virheestä. Älykortti on tarpeeksi yksinkertainen, että ehkä, mutta ei PC: tä tai käyttöjärjestelmää."
