Как недальновидность превратила смарт-карты в огромную дыру в безопасности армии США
Примечание:
Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Читать дальше →
Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Тактильная эпоха — Часть 2: Складной планшет vs раскладной смартфон. И почему вы не понимаете, чего хотите
- Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов
- Максим Немов: Почему бизнес-гипотезы почти всегда ошибочны — и как на этом зарабатывают те, кто это понял
- Антипов Александр: Запускаю сервис для автоматической сверки актов. Что оказалось сложнее, чем казалось
- Запущен ещё один бесплатный сервис для проверки текстов на соответствие закону об англицизмах
- Рейтинг Рунета выпустит первый рейтинг компаний, занимающихся продвижением в нейросетях
- SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого
- Феномен OpenClaw: почему инженерная обвязка стала важнее нейросети
- «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ
- Design by Contract в эпоху AI: как контракты Мейера защищают криптографию там, где тесты молчат