Casa Securitywatch Rsac: la sicurezza basata su chip offre il miglior rapporto qualità-prezzo

Rsac: la sicurezza basata su chip offre il miglior rapporto qualità-prezzo

Video: Come funzionano i nuovi Servizi segreti italiani (Novembre 2024)

Video: Come funzionano i nuovi Servizi segreti italiani (Novembre 2024)
Anonim

Cryptography Research, con sede a San Francisco, è il secondo più grande licenziatario della tecnologia dei semiconduttori, dopo ARM. Se un dispositivo ha un hardware di sicurezza integrato, è probabile che sia coinvolto un chip CRI. Alla conferenza RSA di San Francisco, Paul Kocher, presidente e capo scienziato della compagnia, mi ha istruito sul perché il prossimo spostamento verso le chip card, lontano dalle carte di credito a banda magnetica, è davvero una buona cosa.

"Vedi la stessa tecnologia su una chip card, la scheda SIM del tuo telefono, le schede di accesso comuni emesse dal governo e altro ancora", ha affermato Kocher. "Sotto c'è un piccolo microprocessore, memoria riscrivibile, ROM, un po 'di RAM, un acceleratore crittografico, alcune funzionalità di sicurezza. Le dimensioni e la velocità variano, ovviamente."

"Dal punto di vista della sicurezza, la chip card rappresenta un notevole miglioramento rispetto alla banda magnetica", ha affermato Kocher. "È come paragonare un jumbo-jet a un cavallo e un buggy. Se avessimo già passato a chip card, la violazione di Target non avrebbe avuto importanza. I cattivi avrebbero potuto rubare i codici per una transazione, ma ciò non gli avrebbe permesso effettuare transazioni future. Con i dati acquisiti, potrebbero fare una copia completa di una carta a banda magnetica compromessa ".

"I chip nelle applicazioni del mercato di massa offrono una sicurezza per dollaro nettamente superiore rispetto a qualsiasi altra cosa", ha affermato Kocher. "Le chips vanno da 25 centesimi a un intervallo di dollari. La maggior parte dei venditori è intorno alla decima generazione. Compie cinque o sei iterazioni, alcune importanti riprogettazioni, ma ora sono piuttosto straordinarie."

Smart Card in arrivo

"Alcuni problemi verranno risolti quando gli Stati Uniti passeranno alle smart card il prossimo anno", ha affermato Kocher. "Ora hai il problema di dove l'Europa li usa e noi no, quindi puoi usare la banda magnetica qui. Siamo il punto di attacco per i sistemi europei. Se rubi una carta lì, non sempre hanno il stessi controlli di rischio ".

"In Europa, la sicurezza si basa sul chip; qui si basa su un PIN", ha continuato. "In Europa i PIN spesso non sono crittografati, quindi i cattivi possono ottenere il PIN e utilizzarlo qui. Quando ci sincronizzeremo, entrambe le parti otterranno un grande miglioramento. Gli Stati Uniti sono l'unico mercato gigante che utilizza ancora la banda magnetica degli anni '60 tecnologia."

Non tutti i problemi risolti

"Tutte le categorie di frodi che coinvolgono una carta fraudolenta, una copia, scompaiono quando gli Stati Uniti adottano le carte chip", ha affermato Kocher. "Due altre categorie non lo faranno. Il furto fisico non si fermerà, ovviamente, anche se avere un PIN aiuterà nelle transazioni che lo richiedono. L'altra, ovviamente, sono le transazioni online non presenti sulla carta."

Kocher ha osservato che esiste la possibilità per la sicurezza di tali transazioni online. Esistono carte avanzate con un display integrato per i codici di sicurezza, ma a $ 12 per carta sono semplicemente troppo costose. E lo screening delle frodi può essere abbastanza buono, basandosi solo sui dati esistenti sulla transazione. "Inoltre, con una chip card il commerciante non riceve le informazioni necessarie per crearne una copia", ha affermato. "Il compromesso di un commerciante dannoso non è più una minaccia."

Il più riparabile

"Di tutte le aree in cui la sicurezza è in crisi", ha affermato Kocher, "la sicurezza delle carte di credito è la più risolvibile. Hai una cosa fisica, i clienti sono abituati, c'è poca necessità di cambiare comportamento e la complessità è gestibile".

"Questo cambiamento è in ritardo", ha continuato. "Al momento, le banche compensano le inevitabili frodi istituendo un addebito per i commercianti. Non vi è alcun incentivo per i commercianti a migliorare la sicurezza. Il vero cambiamento arriva con una semplice regola che sposta la responsabilità. Se un acquisto fraudolento viene effettuato con una chip card e il rivenditore non riesce a verificare, è il rivenditore che paga il prezzo, non la banca. Ora il rivenditore ha un incentivo finanziario per verificare correttamente le carte bancarie ".

In una precedente conferenza RSA, Kocher ha dimostrato una tecnica per hackerare uno smartphone misurando la radiazione RF che emette. "Esistono modi per attaccare le smart card", ha ammesso Kocher, "ma la nostra tecnologia protegge da attacchi di consumo di energia, attacchi RF e altro. Questi dispositivi perdono se non protetti."

Scommetti sui bug

"Gli sviluppatori di software non potranno mai eliminare tutti i bug", ha detto Kocher, "e gli umani sono fallibili. In una soluzione hardware puoi separare le operazioni di sicurezza critiche dallo stesso processore che ti consente di giocare a Flappy Bird. Questa è vera sicurezza."

"Questo approccio è quello che sta succedendo con una smart card", ha detto Kocher. "Non dipende dal fatto che il commerciante si sbarazzi dei bug. Ottieni sicurezza senza riparare il software. Deprimere, forse, ma economicamente è vero. L'ottimista pensa di poter sbarazzarsi dell'ultimo bug. Una smart card è abbastanza semplice che forse puoi, ma non un PC o un sistema operativo."

Rsac: la sicurezza basata su chip offre il miglior rapporto qualità-prezzo