Le fait de TJX pour sécuriser wi-fi pourrait coûter 1 milliard $ zdnet

Les nouvelles de la violation de données TJ Maxx a secoué l’industrie du détail et de la banque, et beaucoup estiment que cela va coûter des centaines de millions, voire un milliard de dollars en plus dans la récupération de données de dommages financiers pour téléchargement gratuit Android. Il a déjà été largement rapporté en Mars que la violation TJ Maxx est probablement due à un réseau sans fil non sécurisé, mais le Wall Street Journal rapporte maintenant qu’il est arrivé à l’extérieur d’un Saint

Les nouvelles de la violation de données TJ Maxx a secoué l’industrie du détail et de la banque, et beaucoup estiment que cela va coûter des centaines de millions, voire des milliards de dollars un-plus en dommages financiers. Il a déjà été largement rapporté en Mars que la violation TJ Maxx est probablement due à un réseau sans fil non sécurisé, mais le Wall Street Journal rapporte maintenant qu’il est arrivé à l’extérieur d’un Saint


Paul, MN, magasin discount Marshalls en Juillet 2005 (Marshalls est détenue par TJX Cos.) WSJ rapporte que les enquêteurs pensent que le pirate a utilisé un ordinateur portable et une antenne en forme de télescope.

Le réseau sans fil de détaillant 17,4 milliards $ avait moins de sécurité que beaucoup de gens ont sur leurs réseaux à domicile, et pendant 18 mois, la société – qui est également propriétaire T.J. Maxx, Accueil biens et A.J. Wright – avait aucune idée de ce qui se passait. Les pirates, qui n’ont pas été trouvés, téléchargé au moins 45,7 millions Credit- et numéros de carte de débit d’environ la valeur des dossiers d’un an, la compagnie dit. Une personne familière avec l’enquête interne dit qu’ils ont attrapé jusqu’à 200 millions de numéros de cartes toutes racontées à partir des dossiers de quatre ans de l’entreprise.

[Mise à jour 04:45 – Alors que Pereira a cité l’estimation de la firme de recherche Forrester, Boston.com cite une estimation en dollars 1,35 milliard $ de Forrester. D’autres, comme la lecture sombre signalent que l’amende pourrait être aussi élevé que $ 4.5B.

IPLocks, une société de sécurité et de conformité base de données, l’estimation fonde sur les coûts cumulés des amendes, les frais juridiques, les frais de notification et la dépréciation de la marque, selon Adrian Lane, directeur de la technologie de l’entreprise. Il a ajouté que 100 $ par enregistrement perdu est une moyenne pour les principales violations de données, mais des charges calculées propres à TJX et est sorti avec la même figure.

L’Institut Ponemon, un groupe de réflexion axé sur la confidentialité des dossiers et la protection des données, prévoit que les coûts de violation TJX être encore plus élevé. Ils citent les coûts de l’ordre de 182,00 $ par enregistrement, sur la base de la recherche de Novembre 2006 du coût des infractions encourues dans 31 incidents Assistant de récupération de données torrent pro. Pour TJX, cela se traduit par 8,6 milliards $.]

WEP a été démontré à être rompu en 2001 et il a été brisé pire encore par un facteur de 20 au début de 2005, puis de nouveau rompu par un autre facteur de 20 mois dernier par des chercheurs allemands. Cryptage WEP 104 bits peut maintenant être craqué en moins d’une minute sur un réseau utilisant ARP-802.11g replay actives techniques d’injection de paquets. Depuis la brèche TJX a commencé vers la mi-2005, les attaquants auraient pu facilement déchiffré le réseau dans une demi-heure à l’aide de la deuxième génération d’outils de craquage WEP.

Ce qui est le plus alarmant à ce sujet est que la plupart des grands détaillants au cours de cette période ont été en cours d’exécution WEP et beaucoup fonctionnent encore avec une certaine forme de WEP. Il n’y a aucune raison de croire que les mêmes attaquants n’ont pas essayé ce genre d’attaque sur de nombreux autres détaillants et continuent d’attaquer activement les réseaux perspectives d’aujourd’hui récupération de mot de passe de fichier de données. De nombreuses entreprises et organisations, y compris les hôpitaux, sont en cours d’exécution STILL WEP ou une autre forme inutile de la sécurité. Certains sont en cours d’exécution un peu meilleure version entreprise du WEP, qui utilise dynamiques par session par utilisateur clés qui tournent soi-disant toutes les heures, mais même cela est sans valeur depuis la troisième génération d’outils de craquage WEP peut casser WEP en moins d’une minute.

Lorsque je travaillais en tant que consultant en sécurité pour les grands détaillants et les organisations en 2004 à 2005, je savais que c’était une bombe à retardement prête à exploser parce que la grande majorité des entreprises et les détaillants étaient en cours d’exécution mauvaise sécurité LAN sans fil avec la sécurité manifestement faible. De nombreuses entreprises ont refusé de fixer leur sécurité et refuser à ce jour, grâce à une combinaison de l’ignorance et le déni. Certaines entreprises et les détaillants ont écouté et amélioré leur sécurité WPA; d’autres, à plat refusé. J’ai eu en fait un client aller le mile supplémentaire pour acheter tout nouveau matériel WPA capable, pour se faire dire à la fin qu’ils ne mettent en œuvre parce que WEP était le "la norme" leurs quartiers de sièges sociaux utilisés.

Amener les gens à mettre à niveau leur sécurité et leur était assez dur comme il était d’éduquer, mais le fait que de nombreux cours de formation professionnels et la sécurité de la sécurité recommandent toujours les pires formes de sécurité sans fil LAN exacerbé la situation. Je l’ai fait de mon mieux pour passer le mot sur la sécurité LAN sans fil, et même publié un guide 10 article à la sécurité LAN sans fil d’entreprise, qui est essentiellement un livre électronique gratuit. Il est essentiel que les entreprises et les organisations à mettre en œuvre le genre de sécurité que je décris dans mon guide d’entreprise.

Pour les maisons et les petits bureaux, la sécurité LAN sans fil peut se résumer en un seul paragraphe récupération de données pour Android apk. Tout ce que vous devez faire est d’utiliser la sécurité WPA-PSK avec une phrase de passe alphanumérique aléatoire qui a un minimum de 10 caractères. J’estime qu’un WPA-PSK alphanumérique vraiment aléatoire 10 caractères phrase de passe en utilisant les ordinateurs mono-core modernes prendra un millier de PC travaillant en parallèle 500 ans à se fissurer. Si votre matériel ne prend pas en charge le mode WPA, vous pouvez presque toujours obtenir une mise à niveau des logiciels libres / firmware pour le soutenir. Si le matériel ne peut pas être mis à niveau, les entreprises ne peuvent pas se permettre une brèche dans la sécurité des données et ils doivent acheter du matériel conforme WPA quel que soit le coût. Le coût ne doit pas être utilisé comme jamais une excuse pour avoir une mauvaise sécurité et il ne vous aidera pas au tribunal lorsque vous obtenez poursuivi wondershare la récupération de données crack mac. points d’accès WPA-conformes et les cartes sans fil peuvent être acquises pour moins de 50 $ par appareil.

Comment TJX a détourné l’attention et a l’aide des médias Les médias ne doivent PAS être acheter des tactiques de diversion de TJX, beaucoup moins question la nécessité pour le chiffrement des données.

TJX, lors de son dépôt de 10 K, a saisi l’occasion de pointer du doigt ailleurs aux normes de l’industrie du paiement par carte plutôt que d’admettre des erreurs et promis plus tard pour lutter contre toute poursuite. Certains dans la presse totalement se sont trompés et a blâmé le problème sur le cryptage. Lisa Vaas de eWeek effectivement allé jusqu’à remettre en question la nécessité pour le chiffrement obligatoire de la Maison Blanche d’ordinateurs portables et a cité des déclarations de McAfee OSC Dr Carmichael qui ont montré un niveau inquiétant de l’ignorance en cryptographie de base (pas sûr si elle a été cité correctement).

Note: Je la cueillette sur l’histoire Vaas seulement parce qu’il a été largement cité par un certain nombre de blogs et d’articles sur l’Internet qui a essayé de montrer comment le cryptage était futile. Ceci est tout à fait le mauvais message à envoyer comme le public sur le cryptage!

Les médias ne doivent PAS être acheter des tactiques de diversion de TJX, beaucoup moins question la nécessité pour le chiffrement des données. Ils devraient plutôt être appeler taureau sur TJX et concentrer leur attention sur l’endroit où TJX n’a ​​pas.

J’ai contacté à la fois Vaas et McAfee sur le " Pourquoi le chiffrement n’a pas épargné TJX" article et ils ont dit Vaas promis de fixer l’article logiciel de récupération de données pour Android mémoire interne du téléphone gratuit. J’ai demandé une conversation avec le Dr Carmichael pour lui faire préciser les citations, mais McAfee PR commencé à parler de nouveaux podcasts qu’ils faisaient et n’a jamais abordé ma demande. Je leur ai donné beaucoup de chances de clarifier et de corriger eux-mêmes, mais rien ne se passe dans un mois, et aucune des deux parties suivi avec moi, même si elles me envoyées par courriel qu’ils le feraient. Étant donné que ni Vaas ou des OSC de McAfee ont l’intention de se corriger, je vais poster quelques extraits de deux e-mails je les ai envoyés et corriger pour eux. Pourquoi le chiffrement n’a pas épargné TJX:

"Il y a plusieurs raisons pour lesquelles le cryptage n’a pas épargné TJX et ne sauvera pas beaucoup d’entreprises, peu importe combien les législateurs ont mandaté ou si vous voulez imposer son utilisation. (Un exemple est le mandat de la Maison Blanche Juin 2006 exigeant des agences fédérales pour chiffrer les disques durs de tous les ordinateurs portables et les appareils mobiles.)"

Lisa, le cryptage ne pouvait pas dire sauver le jour est un argument homme de paille. Personne ne cryptage jamais prétendu était une panacée. Le cryptage est seulement là pour protéger les données au repos (sur le disque dur, dans le cas où il est toujours physiquement volé) ou il est là pour protéger les données en mouvement sur une liaison non fiable (réseaux internes comptent comme non fiable, surtout quand il est mauvais sécurité LAN sans fil endroit). Le chiffrement est une très petite (mais critique) composante de la sécurité, mais il ne guérit pas tout seul stellaire de récupération de keygen données mac Phoenix. Cela ne signifie pas que vous escomptez l’utilisation du chiffrement ou de la nécessité.

• TJX a publié un LAN sans fil avec le type de mesures de sécurité faibles, vous semblez penser était correct. Il a couru l’authentification et le cryptage insuffisante sur son réseau local sans fil.

• TJX a échoué dans le durcissement hôte de base en permettant aux pirates de posséder ses stations de point de vente et de transaction. Ne blâmez pas le chiffrement. Si quoi que ce soit, TJX n’a ​​pas mis en œuvre assez chiffrement et d’authentification sur son réseau local sans fil, en plus de tous les aspects de la sécurité, il bâclé.

Ordinateur portable et le chiffrement des appareils mobiles avec une forte capacité de gestion des clés est très important parce que rien d’autre va vous faire économiser lorsque ce portable se physiquement volé. Cela ne signifie pas que vous êtes immunisé contre les attaques en ligne ou que vous n’avez pas besoin d’infrastructures – et le durcissement au niveau de l’hôte. Cela aussi ne signifie pas que vous obtenez à rabais la nécessité pour le chiffrement. Ils ne sont pas mutuellement exclusifs.

"Ce type de cryptographie à clé publique / privée est utilisée parce que la distribution des clés est un problème majeur, Carmichael a déclaré stellaire clé d’enregistrement de récupération de données mac Phoenix. Les clés partagées doivent être stockés quelque part. Ils peuvent être non sécurisés, peu importe où ils sont conservés."

Tout d’abord, vous vous rendez compte que le chiffrement à clé symétrique est toujours utilisé, même lorsque le chiffrement asymétrique est utilisé, non? Le chiffrement asymétrique est généralement utilisé pour chiffrer une clé de session utilisée pour la transmission de données ou pour le chiffrement de données sur un disque dur (ce qui est l’échange de clés, pas le chiffrement des données). Nous ne généralement pas mis en œuvre soit / ou des solutions; nous mettons en œuvre des systèmes généralement symétrique / asymétrique hybride, où asymétrique est utilisé pour l’échange de clés et symétrique est utilisée pour le chiffrement en vrac. Le chiffrement asymétrique est une technologie merveilleuse et essentielle, mais il est faux de suggérer que les clés publiques / privées ne doivent pas être stockés.

"Ceux qui utilisent la cryptographie à clé publique / privée ont la clé privée stockée dans un « endroit très spécial, » Carmichael dit-un serveur de certificats qui est durci et fixé."

Je l’ai construit un grand nombre de systèmes VPN et serveurs qui utilisent Crypto, et je l’ai construit beaucoup de systèmes PKI la récupération de données EASEUS mac torrent. Je dois encore voir un "serveur de certificats" qui stocke les clés privées. Quand tu dis "serveur de certificats," vous avez référence à un CA (autorité de certification) comme ceux que VeriSign exerce ses activités, mais les autorités de certification ne sont pas là pour stocker les clés privées des gens; ils sont là pour lier votre clé signature cryptographique publique à votre nom avec une signature numérique.

Les clés privées dans la grande majorité des symétriques / implémentations asymétriques hybrides sont stockés sur les serveurs eux-mêmes sur le drive.Those dur qui sont plus soucieux de la sécurité ou besoin FIPS de grade supérieur magasin de certification de leurs clés privées à l’intérieur d’un module cryptographique qui ne divulgue jamais la clé privée à l’extérieur du module lui-même. Mais même dans ces cas où les modules cryptographiques sont utilisés, ces modules sont soit encore à l’intérieur lui-même le serveur sous la forme d’une carte PCI-X ou un périphérique SCSI directement connecté. A aucun moment, est un "serveur de certificats" utilisé pour stocker des clés privées. Ils pourraient avoir des serveurs principaux d’entiercement (qui ne stockent les clés privées) pour la clé d’urgence ou de récupération de données, mais qui est en dehors des opérations cryptographiques de routine au jour le jour.

Que Vaas a obtenu les citations erronées ou si des OSC de McAfee a mal n’a pas vraiment d’importance pour moi, car aucune des deux parties a clarifié ou de se corriger. L’histoire et l’information qui est tout simplement absurde plaine asoftech torrent de récupération de données. Il est troublant de voir ces informations fondamentalement mauvais publié, largement cité comme preuve que les mandats de chiffrement sont sans valeur, et pas corrigée. Cette histoire et ceux qui l’ont cité depuis lors, sont essentiellement jouer dans les mains de TJX en leur permettant de détourner l’attention du vrai coupable. Rubriques connexes:

En vous inscrivant, vous devenez un membre de la famille de CBS Interactive des sites et que vous avez lu et accepté les Conditions d’utilisation, Politique de confidentialité et politique des services vidéo. Vous acceptez de recevoir des mises à jour, des alertes et des promotions de CBS et CBS peut partager des informations vous concernant avec nos partenaires commerciaux afin qu’ils puissent vous contacter par courriel ou autrement sur leurs produits ou services.

Vous recevrez également un abonnement gratuit à Tech mise à jour aujourd’hui et ZDNet les bulletins d’annonce du ZDNet. Vous pouvez vous désabonner de ces lettres d’information à tout moment.