Lar Securitywatch Rsac: segurança baseada em chip oferece o melhor retorno

Rsac: segurança baseada em chip oferece o melhor retorno

Vídeo: Investindo em ações: desafios do Brasil atual (Novembro 2024)

Vídeo: Investindo em ações: desafios do Brasil atual (Novembro 2024)
Anonim

A Cryptography Research, com sede em São Francisco, é o segundo maior licenciador de tecnologia de semicondutores, depois da ARM. Se um dispositivo possui hardware de segurança embutido, é provável que haja um chip CRI envolvido. Na conferência da RSA em São Francisco, Paul Kocher, presidente e cientista-chefe da empresa, me ensinou exatamente por que a mudança para os cartões com chip, longe dos cartões de tarja magnética, é realmente uma coisa boa.

"Você vê a mesma tecnologia em um cartão com chip, cartão SIM do seu telefone, cartões de acesso comum emitidos pelo governo e muito mais", disse Kocher. "Embaixo está um pequeno microprocessador, memória regravável, ROM, um pouco de RAM, um acelerador de criptografia, alguns recursos de segurança. Tamanho e velocidade variam, é claro."

"Do ponto de vista da segurança, o cartão com chip é uma melhoria quântica em relação à tarja magnética", disse Kocher. "É como comparar um jumbo a um cavalo e buggy. Se já tivéssemos mudado para cartões com chip, a violação do Target não teria importância. Os bandidos podem ter roubado os códigos de uma transação, mas isso não os deixaria". realizar transações futuras. Com os dados capturados, eles poderiam fazer uma cópia completa de um cartão de tarja magnética comprometido ".

"Os chips em aplicativos de mercado de massa oferecem segurança drasticamente maior por dólar do que quase qualquer outra coisa", disse Kocher. "Os chips custam de 25 centavos a uma faixa de dólar. A maioria dos fornecedores está na décima geração. Faz cinco ou seis iterações, algumas das principais reformulações, mas agora são bastante extraordinárias".

Vinda dos cartões inteligentes

"Alguns problemas serão corrigidos quando os EUA usarem cartões inteligentes no próximo ano", disse Kocher. "Agora você tem o problema em que a Europa os usa e nós não, então você pode usar a tarja magnética aqui. Nós somos o ponto de ataque dos sistemas europeus. Se você roubar um cartão lá, eles nem sempre têm o mesmos controles de risco ".

"Na Europa, a segurança é baseada no chip; aqui é baseado em um PIN", continuou ele. "Na Europa, os PINs geralmente não são criptografados, portanto, o bandido pode obtê-lo e usá-lo aqui. Quando sincronizarmos, os dois lados terão uma grande melhoria. Os EUA são o único mercado gigante que ainda usa a tarja magnética da década de 1960. tecnologia."

Nem todos os problemas foram resolvidos

"Todas as categorias de fraude que envolvem um cartão fraudulento, uma cópia, desaparecem quando os EUA adotarem cartões com chip", disse Kocher. "Duas outras categorias não. O roubo físico não para, é claro, embora ter um PIN ajude nas transações que o exigem. A outra, é claro, são transações on-line sem cartão."

Kocher observou que existe a possibilidade de segurança dessas transações online. Existem cartões avançados com um visor embutido para códigos de segurança, mas a US $ 12 por cartão são muito caros. E a triagem de fraudes pode ser muito boa, apenas com base nos dados existentes sobre a transação. "Além disso, com um cartão com chip, o comerciante não recebe as informações necessárias para forjar uma cópia", disse ele. "O compromisso de um comerciante mal-intencionado não é mais uma ameaça."

O mais corrigível

"De todas as áreas em que a segurança está em crise", disse Kocher, "a segurança do cartão bancário é a mais corrigível. Você tem uma coisa física, os clientes estão acostumados, há pouca necessidade de mudança de comportamento e a complexidade é gerenciável".

"Esta mudança está muito atrasada", continuou ele. "Atualmente, os bancos compensam fraudes inevitáveis, cobrando encargos aos comerciantes. Não há incentivo para os comerciantes melhorarem a segurança. A mudança real vem com uma regra simples que muda a responsabilidade. Se uma compra fraudulenta for feita com um cartão com chip e o varejista não verifica, é o varejista quem paga o preço, não o banco. Agora, o varejista tem um incentivo financeiro para verificar corretamente os cartões bancários ".

Em uma conferência anterior da RSA, Kocher demonstrou uma técnica para invadir um smartphone medindo a radiação de RF que ele emite. "Existem maneiras de atacar cartões inteligentes", admitiu Kocher, "mas nossa tecnologia protege contra ataques de consumo de energia, ataques de RF e muito mais. Esses dispositivos vazam se não estiverem protegidos".

Bet On Bugs

"Os desenvolvedores de software nunca conseguem eliminar todos os erros", disse Kocher, "e os seres humanos são falíveis. Em uma solução de hardware, você pode separar operações críticas de segurança do mesmo processador que permite jogar o Flappy Bird. Isso é segurança real".

"Essa abordagem é o que está acontecendo com um cartão inteligente", disse Kocher. "Não depende do comerciante se livrar de bugs. Você obtém segurança sem consertar software. Talvez deprimente, mas economicamente é verdade. O otimista acha que pode se livrar do último bug. Um cartão inteligente é simples o suficiente para que você possa, mas não um PC ou um sistema operacional ".

Rsac: segurança baseada em chip oferece o melhor retorno