Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США
Примечание:
Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Читать дальше →
Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit
- AlinaTen: Сделка между OpenAI и Windsurf сорвалась — глава стартапа уходит в Google
- Kubernetes на базе Deckhouse в облаке Linx Cloud: встроенный мониторинг, безопасность и управление сертификатами
- Без(д)воз(д)мездно, то есть даром
- Настраиваем роутер и WiFi с VLAN в тоннель
- Новости кибербезопасности за неделю с 7 по 13 июля 2025
- Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google