Milionům vládních zaměstnanců a dodavatelů v USA byla vydána bezpečná čipová ID karta, která umožňuje fyzický přístup do budov a kontrolovaných prostor a poskytuje přístup k vládním počítačovým sítím a systémům na odpovídající úrovni zabezpečení držitele karty. Ale mnoha státním zaměstnancům nebylo vydáno schválené zařízení pro čtení karet, které by jim umožňovalo používat tyto karty doma nebo na dálku, a tak se obracejí na levné čtečky, které najdou online. Co by se mohlo pokazit? Zde je jeden příklad.
Ukázka Common Access Card (CAC). Obrázek: Cac.mil.
KrebsOnSecurity se nedávno dozvěděl od čtenáře – budeme mu říkat „Mark“, protože neměl oprávnění mluvit s tiskem – který pracuje v IT pro významného vládního dodavatele obrany a bylo mu vydáno ověření osobní identity (PIV) vládní čipová karta určená pro civilní zaměstnance. Protože neměl doma čtečku čipových karet a postrádal jakékoli zřejmé pokyny od svých spolupracovníků, jak si ji pořídit, rozhodl se Mark zakoupit čtečku za 15 dolarů od Amazonu, která uvedla, že byla vyrobena pro práci s čipovými kartami vlády USA.
Zařízení na bázi USB, na kterém se Mark usadil, je první výsledek, který se v současné době objeví, když na Amazon.com hledá „čtečka karet PIV“. Čtečku karet, kterou Mark koupil, prodala společnost s názvem Saicoo, jejíž sponzorovaný seznam Amazon inzeruje „čtečku karet DOD Military USB Common Access Card (CAC)“ a má více než 11 700 převážně kladných hodnocení.
Common Access Card (CAC) je standardní identifikace pro aktivní službu uniformovaný servisní personál, vybranou zálohu, civilní zaměstnance ministerstva obrany a způsobilý smluvní personál. Je to hlavní karta používaná k umožnění fyzického přístupu do budov a kontrolovaných prostor a poskytuje přístup do počítačových sítí a systémů ministerstva obrany.
Mark řekl, že když dostal čtečku a připojil ji k počítači se systémem Windows 10, operační systém si stěžoval, že ovladače hardwaru zařízení nefungují správně. Systém Windows navrhl vyhledat novější ovladače na webu dodavatele.
Čtečka čipových karet Saicoo, kterou si Mark zakoupil. Obrázek: Amazon.com
Mark tedy zašel na webovou stránku uvedenou na obalu Saicoo a našel soubor ZIP obsahující ovladače pro Linux, Mac OS a Windows:
Obrázek: Saicoo
Z velké opatrnosti Mark odeslal soubor ovladačů Saicoo na server Virustotal.com, který současně kontroluje všechny sdílené soubory s více než pěti desítkami antivirových a bezpečnostních produktů. Virustotal oznámil, že asi 43 různých bezpečnostních nástrojů detekovalo ovladače Saicoo jako škodlivé. Zdá se, že shoda panuje v tom, že soubor ZIP v současné době skrývá malwarovou hrozbu známou jako Ramnit, poměrně běžný, ale nebezpečný trojský kůň, který se šíří připojením k jiným souborům.
Obrázek: Virustotal.com
Ramnit je dobře známá a starší hrozba – poprvé se objevila před více než deseti lety – ale v průběhu let se vyvíjela a stále se používá v sofistikovanějších útocích na exfiltraci dat. Amazon v písemném prohlášení uvedl, že zprávy prošetřuje.
„Vypadá to jako potenciálně významné národní bezpečnostní riziko, vezmeme-li v úvahu, že mnoho koncových uživatelů může mít zvýšené úrovně prověřování, kteří používají PIV karty pro bezpečný přístup,“ řekl Mark.
Mark uvedl, že kontaktoval Saicoo ohledně jejich webových stránek, které šíří malware, a obdržel odpověď, že nejnovější hardware společnosti nevyžaduje žádné další ovladače. Řekl, že Saicoo neřešilo jeho obavy, že balíček ovladače na jeho webu obsahuje malware.
V reakci na žádost KrebsOnSecurity o komentář poslal Saicoo poněkud méně uklidňující odpověď.
„Podle podrobností, které jste nabídli, může být problém pravděpodobně způsoben bezpečnostním systémem vašeho počítače, protože se zdá, že nebyl rozpoznán náš zřídka používaný ovladač & detekoval to jako škodlivý nebo virus,“ napsal tým podpory Saicoo v e-mailu.
"Ve skutečnosti nenese žádný virus, jak nám můžete věřit, pokud máte po ruce naši čtečku, prosím, ignorujte ji a pokračujte v instalačních krocích," pokračovala zpráva. "Po instalaci ovladače tato zpráva zmizí z dohledu." Neboj se."
Odpověď Saicoo na KrebsOnSecurity.
Problém se zjevně infikovanými ovladači Saicoo může být o něco víc než případ technologické společnosti, která má své stránky hacknuty a špatně reaguje. Will Dormann, analytik zranitelnosti v CERT/CC, napsal na Twitteru, že spustitelné soubory (.exe) v souboru ZIP ovladačů Saicoo nebyly změněny malwarem Ramnit – pouze obsažené soubory HTML.
Dormann řekl, že je dost špatné, že vyhledávání ovladačů zařízení online je jednou z nejrizikovějších činností, které lze online provádět.
„Vyhledávání ovladačů na webu je VELMI nebezpečné (z hlediska poměru legitimních a škodlivých zásahů) vyhledávání na základě výsledků kdykoli jsem se o to pokusil,“ dodal Dormann. "Kombinujte to se zjevnou náležitou péčí dodavatele, která je zde popsána, a není to hezký obrázek."
Ale podle všeho je zde potenciální plocha pro útok obrovská, protože mnoho federálních zaměstnanců tyto čtečky v případě potřeby zjevně koupí od nesčetných online prodejců. Seznamy produktů Saicoo jsou například plné komentářů od zákazníků, kteří sami prohlašují, že pracují ve federální agentuře (a několik z nich nahlásilo problémy s instalací ovladačů).
Vlákno o Markových zkušenostech na Twitteru vyvolalo silnou odezvu od některých mých následovníků, z nichž mnozí zjevně v určité funkci pracují pro vládu USA a mají vládou vydané karty CAC nebo PIV.
Z tohoto rozhovoru jasně vyplynuly dvě věci. Prvním byl všeobecný zmatek ohledně toho, zda má vláda USA nějaký seznam schválených prodejců. To ano. General Services Administration (GSA), agentura, která zajišťuje zadávání zakázek pro federální civilní agentury, vede seznam schválených prodejců čteček karet na idmanagement.gov (Saicoo na tomto seznamu není). [Díky @MetaBiometrics a @shugenja za odkaz!]
Dalším tématem, které proběhlo diskusí na Twitteru, byla skutečnost, že pro mnoho lidí je nákup běžných čteček výhodnější, než projít oficiálním procesem zadávání veřejných zakázek GSA, ať už proto, že jim nikdy žádná nebyla vydána, nebo kvůli čtečce, kterou byli použití už prostě nefungovalo nebo se ztratilo a rychle potřebovali další.
„Téměř každý důstojník a poddůstojník [poddůstojník], které znám v záložní složce, má čtečku CAC, kterou si koupili, protože se museli dostat na svůj e-mail DOD doma a nikdy jim nebyl vydán notebook ani CAC čtenář,“ řekl David Dixon, armádní veterán a autor, který žije v Severní Virginii. „Když vám váš šéf řekne, abyste si doma zkontrolovali e-mail, jste v Národní gardě a bydlíte 2 hodiny od nejbližší [neutajované vojenské sítě], co si myslíte, že se stane?
Je zajímavé, že každý, kdo se na Twitteru ptá, jak se orientovat při nákupu správné čtečky čipových karet a jak vše správně fungovat, je vždy nasměrován na web militarycac.com. Webové stránky spravuje Michael Danberry, vyznamenaný a vysloužilý armádní veterán, který stránku spustil v roce 2008 (její text a design plný odkazů velmi vrací do éry internetu a webových stránek obecně ). Jeho stránky byly dokonce oficiálně doporučeny armádou (PDF). Označte sdílené e-maily ukazující, že Saicoo sám doporučuje militarycac.com.
Obrázek: Militarycac.com.
"Armádní rezerva začala používat přihlášení CAC v květnu 2006," napsal Danberry na své stránce "O". „Stal jsem se [znovu] ‚Go to guy‘ pro své armádní záložní centrum a Minnesotu. Říkal jsem si, proč se tam zastavit? Mohl bych využít své webové stránky a znalosti CAC a podělit se o ně s vámi.“
Danberry neodpověděl na žádosti o rozhovor – bezpochyby proto, že je zaneprázdněn technickou podporou pro federální vládu. Přátelská zpráva v hlasové schránce Danberry instruuje volající, kteří potřebují podporu, aby zanechali podrobné informace o problému, který mají se čtečkami karet CAC/PIV.
Dixon řekl, že Danberry „udělalo pro udržení armády v chodu a spojení více než všechny G6 [náčelníci armádních informací] dohromady.
V mnoha ohledech je pan Danberry ekvivalentem toho málo známého softwarového vývojáře, jehož malý projekt s otevřeným kódem se nakonec stal široce přijatým a nakonec se začlenil do struktury internetu. Zajímalo by mě, jestli si někdy před 15 lety že se jeho web jednoho dne stane „kritickou infrastrukturou“ pro strýčka Sama?
