Тут-то и
выяснилось, что "оценка на соответствие
CC" и "сертификация" - две большие
разницы. Результаты тестирования на
предмет сертификации положено открыто
публиковать, а Visa и APACS
категорически отказываются предоставить
кому-либо отчет об оценке безопасности
терминалов. Более того, засекречены и
сами инстанции, проводившие эту оценку.
В ответах же исследователям, которые еще
в ноябре прошлого года предупредили об
уязвимости все заинтересованные
стороны - APACS, Visa, изготовителей
PED, - серьезность угрозы намеренно
приуменьшается.
Реакция Visa,
например, выглядит так: "В академической
статье Кембриджа мы не увидели ничего
такого, чего не знали раньше, и ничего
такого, что представляло бы угрозу для
безопасности карт в реальном мире".
Представители же Ingenico, одного из
изготовителей PED, выразились не столь
высокомерно, но в том же ключе: "Метод,
описанный в университетской статье,
требует специальных знаний и сопряжен с
техническими трудностями. По этой
причине он невоспроизводим в широких
масштабах и не учитывает тот мониторинг
мошенничества, что применяется в
индустрии"…
Один из членов
кембриджской команды, профессор Росс
Андерсон, сражается с порочным подходом
банков и индустрии к безопасности уже
два десятка лет. По поводу последней
работы он говорит так: "Уроки, которые
мы здесь получаем, вовсе не
ограничиваются банкингом. В самых разных
областях, от машин для голосования до
автоматизированных систем учета
медицинских данных, постоянно появляется
одна и та же комбинация из глупых
ошибок, фиктивных сертификаций и
препятствующих исследованиям властей.
Повсюду, где люди вынуждены опираться на
безопасность систем, нам требуются
честные процедуры оценки, результаты
которых открыто публикуются и
проверяются независимой
экспертизой".
Стоит ли пояснять,
какая из препирающихся сторон больше
права. Жаль только, что далеко не в
каждой стране есть Кембриджи и
Андерсоны.
Новости
подготовили
Галактион
Андреев
Александр
Бумагин
Егор Васильев
Владимир
Головинов
Евгений
Гордеев
Артем Захаров
Евгений
Золотов
Денис Коновальчик
Игорь
Куксов
Максим Мусин
Павел
Протасов
Иван Прохоров
Дмитрий
Шабанов
Четырнадцать электрических, одна
угольная и девять нефтяных компаний США
будут отвечать в суде перед эскимосами
Аляски за… глобальное потепление.
Коренные жители заполярья из деревни
Кивалина считают ответчиков виновными в
таянии льдов, вызванном изменением
климата. Погодные неурядицы грозят
уничтожением деревне, и теперь суд
должен решить, является ли глобальное
потепление делом рук человеческих или
капризом матушки-природы. Возможно,
после решения суда споры на этот счет
прекратятся. В случае признания
ответчиков виновными наверняка последуют
и другие иски, а добывающим и
энергетическим компаниям придется ох как
несладко. Пока обвиняемым, похоже, ни
тепло ни холодно: никаких комментариев
от них не последовало. АБ