JК
Журнал Компьютерра -726 :: Компьютерра
Страница: 39 из 197Было
объявлено, что устройства PED прошли
"оценку на соответствие Common
Criteria", то есть международному набору
стандартов для систем безопасности,
принятому в Великобритании, США и других
странах НАТО. На Туманном Альбионе
выдачей сертификатов о соответствии
Common Criteria (СС) ведает
правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ
сообщили, что ничего не знают о
терминалах PED, поскольку эти устройства
никогда не сертифицировались на
соответствие CC.
Тут-то и
выяснилось, что "оценка на соответствие
CC" и "сертификация" - две большие
разницы. Результаты тестирования на
предмет сертификации положено открыто
публиковать, а Visa и APACS
категорически отказываются предоставить
кому-либо отчет об оценке безопасности
терминалов. Более того, засекречены и
сами инстанции, проводившие эту оценку.
В ответах же исследователям, которые еще
в ноябре прошлого года предупредили об
уязвимости все заинтересованные
стороны - APACS, Visa, изготовителей
PED, - серьезность угрозы намеренно
приуменьшается.
Реакция Visa,
например, выглядит так: "В академической
статье Кембриджа мы не увидели ничего
такого, чего не знали раньше, и ничего
такого, что представляло бы угрозу для
безопасности карт в реальном мире".
объявлено, что устройства PED прошли
"оценку на соответствие Common
Criteria", то есть международному набору
стандартов для систем безопасности,
принятому в Великобритании, США и других
странах НАТО. На Туманном Альбионе
выдачей сертификатов о соответствии
Common Criteria (СС) ведает
правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ
сообщили, что ничего не знают о
терминалах PED, поскольку эти устройства
никогда не сертифицировались на
соответствие CC.
Тут-то и
выяснилось, что "оценка на соответствие
CC" и "сертификация" - две большие
разницы. Результаты тестирования на
предмет сертификации положено открыто
публиковать, а Visa и APACS
категорически отказываются предоставить
кому-либо отчет об оценке безопасности
терминалов. Более того, засекречены и
сами инстанции, проводившие эту оценку.
В ответах же исследователям, которые еще
в ноябре прошлого года предупредили об
уязвимости все заинтересованные
стороны - APACS, Visa, изготовителей
PED, - серьезность угрозы намеренно
приуменьшается.
Реакция Visa,
например, выглядит так: "В академической
статье Кембриджа мы не увидели ничего
такого, чего не знали раньше, и ничего
такого, что представляло бы угрозу для
безопасности карт в реальном мире".