Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США
Примечание:
Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Читать дальше →
Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Читать дальше →
Источник: Хабрахабр
- Хабрахабр Информационная безопасность Блог компании Дата-центр «Миран» Информационная безопасность Читальный зал Миран дата-центр Миран miran.ru армия США CAC PIV карты смарт-карты считыватели драйвера малвари информационная безопасность точки дост
- Настрочить жалобу в спортлото
- Data_center_MIRAN
- Распечатать
