Video: Seguridad basada en comportamiento Sabe qué es? Conse 2018 +573207668606 (Noviembre 2024)
Cryptography Research, con sede en San Francisco, es el segundo mayor licenciatario de tecnología de semiconductores, después de ARM. Si un dispositivo tiene un hardware de seguridad incorporado, es muy probable que haya un chip CRI involucrado. En la Conferencia RSA en San Francisco, Paul Kocher, Presidente y Jefe Científico de la compañía, me educó sobre por qué el próximo cambio a las tarjetas con chip, lejos de las tarjetas de crédito con banda magnética es algo realmente bueno.
"Ves la misma tecnología en una tarjeta con chip, la tarjeta SIM de tu teléfono, las tarjetas de acceso común emitidas por el gobierno y más", dijo Kocher. "Debajo hay un pequeño microprocesador, memoria regrabable, ROM, un poco de RAM, un acelerador criptográfico, algunas características de seguridad. El tamaño y la velocidad varían, por supuesto".
"Desde una perspectiva de seguridad, la tarjeta con chip es una mejora de salto cuántico sobre la banda magnética", dijo Kocher. "Es como comparar un avión jumbo con un caballo y un cochecito. Si ya hubiéramos cambiado a tarjetas con chip, la violación de Target no habría importado. Los tipos malos podrían haber robado los códigos para una transacción, pero eso no les permitiría realizar transacciones futuras. Con los datos que capturaron, podrían hacer una copia completa de una tarjeta de banda magnética comprometida ".
"Los chips en aplicaciones de mercado masivo ofrecen una seguridad dramáticamente más alta por dólar que casi cualquier otra cosa", dijo Kocher. "Las fichas se ejecutan en el rango de 25 centavos por dólar. La mayoría de los vendedores están alrededor de la décima generación. Tomó cinco o seis iteraciones, algunos rediseños importantes, pero ahora son bastante extraordinarios".
Próximas tarjetas inteligentes
"Algunos problemas se solucionarán cuando Estados Unidos vaya a las tarjetas inteligentes el próximo año", dijo Kocher. "Ahora tienes el problema donde Europa los usa y nosotros no, así que puedes usar la banda magnética aquí. Somos el punto de ataque para los sistemas europeos. Si robas una carta allí, no siempre tienen los mismos controles de riesgo ".
"En Europa, la seguridad se basa en el chip; aquí se basa en un PIN", continuó. "En Europa, los PIN a menudo no están encriptados, por lo que los malos pueden obtener el PIN y usarlo aquí. Cuando nos sincronicemos, ambas partes obtendrán una gran mejora. Estados Unidos es el único mercado gigante que todavía usa la banda magnética de la era de 1960 tecnología."
No todos los problemas resueltos
"Todas las categorías de fraude que involucran una tarjeta fraudulenta, una copia, desaparecerán cuando Estados Unidos adopte tarjetas con chip", dijo Kocher. "Otras dos categorías no lo harán. El robo físico no se detendrá, por supuesto, aunque tener un PIN ayudará en las transacciones que lo requieran. La otra, por supuesto, son las transacciones en línea sin tarjeta".
Kocher señaló que existe la posibilidad de seguridad de esas transacciones en línea. Existen tarjetas avanzadas con una pantalla integrada para los códigos de seguridad, pero a $ 12 por tarjeta son demasiado caras. Y la detección de fraudes puede ser bastante buena, solo en función de los datos existentes sobre la transacción. "Además, con una tarjeta con chip el comerciante no recibe la información que sería necesaria para falsificar una copia", dijo. "El compromiso de un comerciante malicioso ya no es una amenaza".
El más reparable
"De todas las áreas donde la seguridad está en crisis", dijo Kocher, "la seguridad de las tarjetas bancarias es la más reparable. Usted tiene algo físico, los clientes están acostumbrados, hay una pequeña necesidad de cambio de comportamiento y la complejidad es manejable".
"Este cambio está muy retrasado", continuó. "En la actualidad, los bancos compensan los fraudes inevitables incorporando un cargo a los comerciantes. No hay incentivos para que los comerciantes mejoren la seguridad. El cambio real viene con una regla simple que cambia la responsabilidad. Si se realiza una compra fraudulenta con una tarjeta con chip y el minorista no puede verificar, es el minorista quien paga el precio, no el banco. Ahora el minorista tiene un incentivo financiero para verificar correctamente las tarjetas bancarias ".
En una conferencia anterior de RSA, Kocher demostró una técnica para hackear un teléfono inteligente midiendo la radiación de RF que emite. "Hay formas de atacar las tarjetas inteligentes", admitió Kocher, "pero nuestra tecnología protege contra ataques de consumo de energía, ataques de RF y más. Estos dispositivos tienen fugas si no están protegidos".
Apuesta por errores
"Los desarrolladores de software nunca pueden eliminar todos los errores", dijo Kocher, "y los humanos son falibles. En una solución de hardware, puede separar las operaciones críticas de seguridad del mismo procesador que le permite jugar a Flappy Bird. Eso es seguridad real".
"Ese enfoque es lo que está sucediendo con una tarjeta inteligente", dijo Kocher. "No depende de que el comerciante se deshaga de los errores. Se obtiene seguridad sin reparar el software. Quizás deprimente, pero económicamente es cierto. El optimista cree que puede deshacerse del último error. Una tarjeta inteligente es lo suficientemente simple como para que usted pueda, pero no una PC o un sistema operativo ".
