וִידֵאוֹ: RSAC Не мешай (ПРЕМЬЕРА КЛИПА 2К19) (אוֹקְטוֹבֶּר 2024)
מחקר קריפטוגרפיה מבוסס סן פרנסיסקו הוא הרשיון השני בגודלו של טכנולוגיית מוליכים למחצה, אחרי ARM. אם למכשיר יש חומרת אבטחה מובנית, רוב הסיכויים שיש שבב CRI מעורב. בכנס RSA בסן פרנסיסקו חינך אותי פול קוצ'ר, נשיא המדען הראשי של החברה, מדוע בדיוק המעבר הקרוב לכרטיסי שבב, הרחק מכרטיסי אשראי של פס מגנטי הוא דבר טוב באמת.
"אתה רואה אותה טכנולוגיה בכרטיס שבב, בכרטיס ה- SIM של הטלפון שלך, בכרטיסי גישה נפוצים שהונפקו על ידי הממשלה ועוד", אמר קוצ'ר. "מתחתיו נמצא מעבד קטן, זיכרון הניתן להחלפה, ROM, קצת זיכרון RAM, מאיץ קריפטו, כמה מאפייני אבטחה. הגודל והמהירות משתנים כמובן."
"מנקודת מבט ביטחונית, כרטיס השבב מהווה שיפור בקפיצת מדרגה על פני פס מגנטי", אמר קוצ'ר. "זה כמו להשוות מטוס ג'מבו לסוס ובאגי. אם כבר היינו עוברים לכרטיסי שבב, הפרת היעד לא הייתה חשובה. הרעים אולי גנבו את הקודים לעסקה אחת , אבל זה לא היה מאפשר להם לבצע עסקאות עתידיות. עם הנתונים שהם אכן תפסו, הם יוכלו ליצור עותק שלם של כרטיס פס מגנטי פגום."
"צ'יפס ביישומי שוק המוני מציע אבטחה גבוהה יותר באופן דרמטי לדולר כמעט מכל דבר אחר", אמר קוצ'ר. "השבבים נעים בין 25 הסנט לטווח דולר. רוב הספקים נמצאים בסביבות הדור העשירי. זה מציין חמש או שישה איטרציות, כמה עיצובים מחדש גדולים, אבל עכשיו הם די יוצאי דופן."
כרטיסים חכמים מגיעים
"כמה בעיות יתקנו כאשר ארה"ב תגיע לכרטיסים חכמים בשנה הבאה", אמרה קוצ'ר. "עכשיו יש לך את הבעיה שבה אירופה משתמשת בהם ואנחנו לא, כך שתוכל להשתמש בפסים המקסים כאן. אנחנו נקודת ההתקפה של מערכות אירופאיות. אם אתה גונב שם כרטיס, לא תמיד יש להם את אותו סיכון שולט."
"באירופה הביטחון מבוסס על השבב; הנה זה מבוסס על קוד PIN, " המשיך. "באירופה מספרי ה- PIN לעתים קרובות אינם מוצפנים, כך שהאדם הרע יכול לקבל את ה- PIN ולהשתמש בו כאן. כשנכנס לסנכרון, שני הצדדים יקבלו שיפור גדול. ארה"ב היא שוק הענק היחיד שעדיין משתמש בפס מגנטי משנות השישים. טכנולוגיה."
לא כל הבעיות שנפתרו
"כל קטגוריות ההונאה הכרוכות בכרטיס הונאה, עותק, אלה ייעלמו כאשר ארה"ב תאמץ כרטיסי שבב", אמרה קוצ'ר. "שתי קטגוריות נוספות לא יפסיקו. גניבה גופנית לא תיפסק, כמובן, אם כי קוד PIN יסייע בעסקאות שדורשות זאת. השנייה, כמובן, היא עסקאות מקוונות שלא קיימות כרטיסים."
קוצ'ר ציין כי קיימת אפשרות לאבטחה של עסקאות מקוונות. קיימים כרטיסים מתקדמים עם תצוגה מובנית לקודי אבטחה, אך במחיר של 12 $ לכרטיס הם פשוט יקרים מדי. סינון הונאה יכול להיות די טוב, רק על סמך נתונים קיימים על העסקה. "בנוסף, באמצעות כרטיס שבב הסוחר אינו מקבל את המידע הדרוש לזיוף עותק, " אמר. "פשרה של סוחר זדוני אינה מהווה עוד איום."
הכי ניתן לתיקון
"מכל התחומים שבהם האבטחה נמצאת במשבר", אמר קוצ'ר, "אבטחת כרטיסי בנק היא התיקון ביותר. יש לך דבר פיזי, הלקוחות רגילים לזה, יש צורך קטן בשינוי התנהגות, והמורכבות ניתנת לניהול."
"השינוי הזה הוא כבר איחור, " המשיך. "נכון לעכשיו, בנקים מפצים על הונאה בלתי נמנעת על ידי העמדת תשלום לסוחרים. אין שום תמריץ לסוחרים לשפר את האבטחה. השינוי האמיתי בא עם כלל פשוט שמעביר אחריות. אם רכישה הונאה מתבצעת באמצעות כרטיס שבב ו הקמעונאי לא מצליח לאמת, הקמעונאי הוא זה שמשלם את המחיר ולא הבנק. כעת יש לקמעונאי תמריץ כספי לאמת נכון את כרטיסי הבנק."
בכנס RSA הקודם הדגים קוצ'ר טכניקה לפריצת סמארטפון באמצעות מדידת קרינת ה- RF שהוא פולט. "יש דרכים לתקוף כרטיסים חכמים, " הודה קוצ'ר, "אבל הטכנולוגיה שלנו מגנה מפני התקפות צריכת חשמל, התקפות RF ועוד. מכשירים אלה אכן דולפים אם אינם מוגנים."
הימור על באגים
"מפתחי תוכנה לעולם לא יוכלו להוציא את כל הבאגים", אמר קוצ'ר, "ובני אדם הם נופלים. בפתרון חומרה אתה יכול להפריד פעולות אבטחה קריטיות מאותו מעבד שמאפשר לך לשחק Flappy Bird. זה ביטחון אמיתי."
"גישה זו היא מה שקורה עם כרטיס חכם, " אמר קוצ'ר. "זה לא תלוי בכך שהסוחר יפטר מבאגים. אתה מקבל אבטחה בלי לתקן תוכנה. אולי מדכא, אבל מבחינה כלכלית זה נכון. האופטימיסט חושב שהוא יכול להיפטר מהבאג האחרון. כרטיס חכם פשוט מספיק כדי שאולי תוכל, אבל לא מחשב, או מערכת הפעלה."
