2017年7月11日 星期二

因漏洞遭駭,將受法律懲罰


據美Sunnyvale市消息,RFID門禁程控系統的OEM專門企業--Farpointe Data,對他們的合作夥伴提出預警,表示:  所開發的解決方案中,若未予以加密處理,可能導制法律追訴或甚至會收到重大罰款。 因為在最近幾起因漏洞遭駭的案件中,已經導致ADT公司收到判決需支付1600萬美元的和解金。

Edenborough控告ADT一案,因為該公司提供的無線安全系統中並未提供加密保護,致使遭駭,ADT將必須支付1600萬美元來針對五個駭客攻擊漏洞行為,進行和解。
Farpointe Data總經理 Scott Lindley強調,"由美國聯邦貿易委員會高層所做出的和解決議,透過法庭審理判定,Wyndham全球(連鎖旅館)控股公司及D-Link (無線伺服器與IP camera製造商)要為未能履行提供良好的資訊安全負責。這趨勢將變得越來越明朗化。 若有涉及任何形式的安全議題,包括電子門禁設備,若未能提供適當的資安防護就會被究責;包括器材已經具備的密碼機制。"

據Lindley先生表示,"所有非接觸式的智慧卡式的證件都支援加密,但是舊款(傳統)的證件製成技術就沒有。 這些加密方式,可以參照,如3DES, AES (各國政府普遍採用進行資訊分級保護), TEA, 及 RSA等技術標準規範。"

安防專業業者應該考慮高安全性的13.56MHz 智慧加密憑證來替代125KHz的近距感應式讀卡。"Mifare"由NXP半導體所推出的科技,就是非感應式智慧IC的主要技術及品牌。最新的Mifare標準--Desfire EV1--提供包含在卡片上加密的模組,可以對感應卡或讀取機之資料傳輸與交易多加一層密碼保護。Desfire EV1防護機制,對於使用多用途智慧卡片(可以進行門禁進出管理、搭乘大眾運輸、又能進行電子支付...等),需要多重防護的終端使用者來說,更形重要。

另一項重要選擇,就是有效ID (Valid ID); 它能讓非接觸式的智慧卡片、圓扣、及讀取機具有防破壞的功能。 因為是硬體嵌入式,它為傳統的Mifare智慧卡片多加了一層驗證功能及更安全的防護機制。Valid ID 僅能核驗具有預設機密存取程控編碼的卡片或感應扣環,因此不能被假造或複製。

Lindley語重心長地說,"從現在起,不論是為防恐保衛國家或鄰家小孩,所用來避免電子門禁系統遭駭之安全防護機制,就應從加密開始做起。不過,這只是個開端。若要進一步阻止駭客入侵,應該向器材製造商,索取資安漏洞檢查清單(Cybersecurity Vulnerability Checklist)查核。 "

新聞原文: Hacking vulnerabilities lead to major legal penalties (按此線上檢視)  /  翻譯 Asha

沒有留言: