На милиони държавни служители и изпълнители на САЩ са издадени защитени смарт карти за самоличност, които позволяват физически достъп до сгради и контролирани пространства и осигуряват достъп до правителствени компютърни мрежи и системи на подходящото ниво на сигурност на притежателя на картата. Но много държавни служители не са получили одобрено устройство за четене на карти, което им позволява да използват тези карти у дома или от разстояние, и затова се обръщат към евтини четци, които намират онлайн. Какво може да се обърка? Ето един пример.
Примерна карта за общ достъп (CAC). Изображение: Cac.mil.
KrebsOnSecurity наскоро се свърза с читател — ще го наречем „Марк“, защото не е бил упълномощен да говори с пресата – който работи в ИТ за голям държавен изпълнител на отбраната и му е издадено удостоверение за лична самоличност (PIV) държавна смарт карта, предназначена за цивилни служители. Тъй като нямаше четец на смарт карти у дома и нямаше очевидни насоки от колегите си как да се снабди с такъв, Марк избра да закупи четец за 15 долара от Amazon, който каза, че е направен да работи със смарт карти на правителството на САЩ.
USB-базираното устройство, на което Марк се спря, е първият резултат, който в момента се появява при търсене в Amazon.com за „PIV четец на карти“. Четецът на карти, който Марк купи, беше продаден от компания, наречена Saicoo, чийто спонсориран списък на Amazon рекламира „DOD Military USB Common Access Card (CAC) Reader“ и има повече от 11 700 предимно положителни оценки.
Общата карта за достъп (CAC) е стандартната идентификация за активен униформен обслужващ персонал, избран резерв, цивилни служители на Министерството на отбраната и отговарящ на условията персонал на изпълнител. Това е основната карта, използвана за осигуряване на физически достъп до сгради и контролирани пространства и осигурява достъп до компютърни мрежи и системи на DoD.
Марк каза, че когато получи четеца и го включи в своя компютър с Windows 10, операционната система се оплака, че хардуерните драйвери на устройството не функционират правилно. Windows предложи да се консултирате с уебсайта на доставчика за по-нови драйвери.
Четецът на смарт карти Saicoo, закупен от Марк. Изображение: Amazon.com
И така, Марк отиде на уебсайта, споменат на опаковката на Saicoo, и намери ZIP файл, съдържащ драйвери за Linux, Mac OS и Windows:
Изображение: Saicoo
От голяма предпазливост Марк изпрати файла с драйверите на Saicoo на Virustotal.com, който едновременно сканира всички споделени файлове с повече от пет дузини антивирусни и защитни продукти. Virustotal съобщи, че около 43 различни инструмента за сигурност са открили драйверите на Saicoo като злонамерени. Консенсусът изглежда е, че ZIP файлът в момента крие заплаха от зловреден софтуер, известна като Ramnit, доста често срещан, но опасен троянски кон, който се разпространява чрез добавяне към други файлове.
Изображение: Virustotal.com
Ramnit е добре позната и по-стара заплаха — появила се за първи път преди повече от десетилетие — но се е развила през годините и все още се използва при по-сложни атаки за ексфилтрация на данни. Amazon каза в писмено изявление, че разследва докладите.
„Изглежда като потенциално значителен риск за националната сигурност, като се има предвид, че много крайни потребители може да имат повишени нива на достъп, които използват PIV карти за защитен достъп“, каза Марк.
Марк каза, че се е свързал със Saicoo относно уебсайта им, обслужващ зловреден софтуер, и е получил отговор, в който се казва, че най-новият хардуер на компанията не изисква допълнителни драйвери. Той каза, че Saicoo не е отговорила на загрижеността му, че пакетът с драйвери на неговия уебсайт е снабден със зловреден софтуер.
В отговор на искането на KrebsOnSecurity за коментар, Saicoo изпрати малко по-малко успокояващ отговор.
„От подробностите, които предложихте, проблемът вероятно може да е причинен от системата за защита на вашата компютърна сигурност, тъй като изглежда не разпознава нашия рядко използван драйвер & го откри като злонамерен или вирус“, пише екипът за поддръжка на Saicoo в имейл.
„Всъщност той не носи никакъв вирус, тъй като можете да ни се доверите, ако имате нашия четец под ръка, моля, просто го игнорирайте и продължете стъпките за инсталиране“, продължава съобщението. „Когато драйверът е инсталиран, това съобщение ще изчезне от погледа. Не се притеснявайте.“
Отговорът на Saicoo на KrebsOnSecurity.
Проблемът с очевидно заразените драйвери на Saicoo може да е малко повече от случай на хакнат сайт на технологична компания, който реагира зле. Уил Дорман, анализатор на уязвимости в CERT/CC, написа в Twitter, че изпълнимите файлове (.exe) в ZIP файла на драйверите на Saicoo не са били променени от зловреден софтуер Ramnit — само включените HTML файлове.
Дорман каза, че е достатъчно лошо, че търсенето на драйвери за устройства онлайн е една от най-рисковите дейности, които човек може да предприеме онлайн.
„Извършването на търсене на драйвери в мрежата е МНОГО опасно (от гледна точка на съотношението легитимни/злонамерени попадения) търсене за извършване въз основа на резултатите от всеки път, когато съм се опитвал да го направя“, добави Дорман. „Комбинирайте това с очевидната надлежна грижа на продавача, описана тук, и добре, това не е красива картина.“
Но по всички сметки потенциалната повърхност за атака тук е огромна, тъй като много федерални служители очевидно ще закупят тези четци от безброй онлайн доставчици, когато възникне нужда. Списъците с продукти на Saicoo, например, са пълни с коментари от клиенти, които сами заявяват, че работят във федерална агенция (и няколко, които съобщават за проблеми при инсталирането на драйвери).
Нишка за опита на Марк в Twitter предизвика силен отговор от някои от моите последователи, много от които очевидно работят за правителството на САЩ в някакво качество и имат издадени от правителството CAC или PIV карти.
От този разговор стана ясно две неща. Първият беше общото объркване относно това дали правителството на САЩ има някакъв списък с одобрени доставчици. Това го прави. Администрацията на общите услуги (GSA), агенцията, която се занимава с обществени поръчки за федерални граждански агенции, поддържа списък с одобрени доставчици на четци на карти на idmanagement.gov (Saicoo не е в този списък). [Благодаря на @MetaBiometrics и @shugenja за връзката!]
Другата тема, която премина през дискусията в Twitter, беше реалността, че много хора намират закупуването на готови четци за по-целесъобразно, отколкото преминаването през официалния процес на възлагане на обществена поръчка на GSA, независимо дали защото никога не са им издавали такива, или четецът, който са били използването просто вече не работеше или беше загубено и те бързо се нуждаеха от друг.
„Почти всеки офицер и подофицер [подофицер], когото познавам в резервния компонент, има четец за CAC, който е купил, защото е трябвало да стигнат до имейла си на DOD у дома и никога не са им издавали лаптоп или CAC читател“, каза Дейвид Диксън, ветеран от армията и автор, който живее в Северна Вирджиния. „Когато вашият шеф ви каже да проверите имейла си у дома и сте в Националната гвардия и живеете на 2 часа от най-близката [некласифицирана военна мрежова инсталация], какво мислите, че ще се случи?“
Интересно е, че всеки, който пита в Twitter как да навигира при закупуването на правилния четец на смарт карти и да накара всичко да работи правилно, неизменно се насочва към militarycac.com. Уебсайтът се поддържа от Майкъл Данбъри, украсен и пенсиониран ветеран от армията, който стартира сайта през 2008 г. (дизайнът му, който е натоварен с текст и връзки, много ни връща към онази ера на интернет и уеб страниците като цяло ). Сайтът му дори е официално препоръчан от армията (PDF). Марк сподели имейли, показващи, че самият Saicoo препоръчва militarycac.com.
Изображение: Militarycac.com.
„Армейският резерв започна да използва CAC влизане през май 2006 г.“, пише Данбъри на своята страница „Относно“. „Аз [за пореден път] станах „Отидете на човек“ за моя армейски резервен център и Минесота. Помислих си защо да спирам дотук? Бих могъл да използвам уебсайта си и знанията си за CAC и да ги споделя с вас.“
Данбъри не отговори на исканията за интервю - без съмнение, защото е зает с техническа поддръжка за федералното правителство. Любезното съобщение на гласовата поща на Danberry инструктира обаждащите се, нуждаещи се от поддръжка, да оставят подробна информация за проблема, който имат с четците на карти CAC/PIV.
Диксън каза, че Данбъри е „направил повече, за да поддържа армията работеща и свързана, отколкото всички G6 [главни информационни служители на армията] взети заедно.“
В много отношения г-н Данбъри е еквивалентът на онзи малко известен разработчик на софтуер, чийто малък проект с отворен код в крайна сметка става широко възприет и в крайна сметка се сгъва в тъканта на Интернет. Чудя се дали някога си е представял преди 15 години че неговият уебсайт един ден ще стане „критична инфраструктура“ за чичо Сам?
