JК
Журнал Компьютерра -726 :: Компьютерра
Страница: 56 из 197На Туманном Альбионе
выдачей сертификатов о соответствии
Common Criteria (СС) ведает
правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ
сообщили, что ничего не знают о
терминалах PED, поскольку эти устройства
никогда не сертифицировались на
соответствие CC.
Тут-то и
выяснилось, что "оценка на соответствие
CC" и "сертификация" - две большие
разницы. Результаты тестирования на
предмет сертификации положено открыто
публиковать, а Visa и APACS
категорически отказываются предоставить
кому-либо отчет об оценке безопасности
терминалов. Более того, засекречены и
сами инстанции, проводившие эту оценку.
В ответах же исследователям, которые еще
в ноябре прошлого года предупредили об
уязвимости все заинтересованные
стороны - APACS, Visa, изготовителей
PED, - серьезность угрозы намеренно
приуменьшается.
Реакция Visa,
например, выглядит так: "В академической
статье Кембриджа мы не увидели ничего
такого, чего не знали раньше, и ничего
такого, что представляло бы угрозу для
безопасности карт в реальном мире".
Представители же Ingenico, одного из
изготовителей PED, выразились не столь
высокомерно, но в том же ключе: "Метод,
описанный в университетской статье,
требует специальных знаний и сопряжен с
техническими трудностями.
выдачей сертификатов о соответствии
Common Criteria (СС) ведает
правительственная спецслужба GCHQ,
аналог американского АНБ. Однако в GCHQ
сообщили, что ничего не знают о
терминалах PED, поскольку эти устройства
никогда не сертифицировались на
соответствие CC.
Тут-то и
выяснилось, что "оценка на соответствие
CC" и "сертификация" - две большие
разницы. Результаты тестирования на
предмет сертификации положено открыто
публиковать, а Visa и APACS
категорически отказываются предоставить
кому-либо отчет об оценке безопасности
терминалов. Более того, засекречены и
сами инстанции, проводившие эту оценку.
В ответах же исследователям, которые еще
в ноябре прошлого года предупредили об
уязвимости все заинтересованные
стороны - APACS, Visa, изготовителей
PED, - серьезность угрозы намеренно
приуменьшается.
Реакция Visa,
например, выглядит так: "В академической
статье Кембриджа мы не увидели ничего
такого, чего не знали раньше, и ничего
такого, что представляло бы угрозу для
безопасности карт в реальном мире".
Представители же Ingenico, одного из
изготовителей PED, выразились не столь
высокомерно, но в том же ключе: "Метод,
описанный в университетской статье,
требует специальных знаний и сопряжен с
техническими трудностями.