Miljoonille Yhdysvaltain valtion työntekijöille ja urakoitsijoille on myönnetty suojattu älykortti, joka mahdollistaa fyysisen pääsyn rakennuksiin ja valvottuihin tiloihin sekä pääsyn valtion tietokoneverkkoihin ja järjestelmiin kortinhaltijan asianmukaisella suojaustasolla. Mutta monille valtion työntekijöille ei myönnetä hyväksyttyä kortinlukijalaitetta, jonka avulla he voivat käyttää näitä kortteja kotona tai etänä, joten he kääntyvät verkosta löytämiensä edullisien lukijoiden puoleen. Mikä voisi mennä pieleen? Tässä yksi esimerkki.
Esimerkki Common Access Card (CAC). Kuva: Cac.mil.
KrebsOnSecurity kuuli äskettäin lukijalta – kutsumme häntä "Markiksi", koska hänellä ei ollut lupaa puhua lehdistölle -, joka työskentelee IT-alalla suurelle valtion puolustusurakoitsijalle ja jolle myönnettiin PIV (Personal Identity Verification) -todistus. valtion älykortti, joka on suunniteltu siviilityöntekijöille. Markilla ei ollut kotona älykortinlukijaa ja koska hän ei saanut työtovereidensa ohjeita sellaisen hankkimiseen, hän päätti ostaa 15 dollarin lukijan Amazonilta, jonka mukaan se oli tehty käsittelemään Yhdysvaltain hallituksen älykortteja.
USB-pohjainen laite, johon Mark asettui, on ensimmäinen tulos, joka tällä hetkellä tulee näkyviin, kun Amazon.com-sivustosta haetaan sanalla "PIV-kortinlukija". Markin ostaman kortinlukijan myi Saicoo-niminen yritys, jonka sponsoroima Amazon-listaus mainostaa "DOD Military USB Common Access Card (CAC) -lukijaa" ja jolla on yli 11 700 enimmäkseen positiivista arviota.
Yhteinen pääsykortti (CAC) on vakiotunniste aktiivisessa työssä virkapukuisen huoltohenkilöstön, valitun reservin, puolustusministeriön siviilityöntekijöiden ja soveltuvien urakoitsijoiden henkilökunnan käyttöön. Se on pääasiallinen kortti, jota käytetään mahdollistamaan fyysinen pääsy rakennuksiin ja valvottuihin tiloihin, ja se tarjoaa pääsyn DoD-tietokoneverkkoihin ja -järjestelmiin.
Mark sanoi, että kun hän vastaanotti lukijan ja liitti sen Windows 10 -tietokoneeseensa, käyttöjärjestelmä valitti, että laitteen laitteisto-ohjaimet eivät toimineet kunnolla. Windows ehdotti etsimään uudempia ohjaimia toimittajan verkkosivustolta.
Saicoo-älykortinlukija, jonka Mark osti. Kuva: Amazon.com
Joten Mark meni Saicoon pakkauksessa mainitulle verkkosivustolle ja löysi ZIP-tiedoston, joka sisälsi ajurit Linuxille, Mac OS:lle ja Windowsille:
Kuva: Saicoo
Varovaisuuden vuoksi Mark lähetti Saicoon ohjaintiedoston Virustotal.com-sivustolle, joka tarkistaa samanaikaisesti kaikki jaetut tiedostot yli viidellä tusinalla virustorjunta- ja tietoturvatuotteella. Virustotal raportoi, että noin 43 erilaista suojaustyökalua havaitsi Saicoo-ohjaimet haitallisiksi. Yksimielisyys näyttää olevan, että ZIP-tiedostossa on tällä hetkellä Ramnit-niminen haittaohjelmauhka, melko yleinen mutta vaarallinen troijalainen, joka leviää liittämällä itsensä muihin tiedostoihin.
Kuva: Virustotal.com
Ramnit on hyvin tunnettu ja vanhempi uhka – ilmaantui ensimmäisen kerran yli vuosikymmen sitten –, mutta se on kehittynyt vuosien varrella ja sitä käytetään edelleen kehittyneemmissä tietojen suodatushyökkäyksissä. Amazon kertoi kirjallisessa lausunnossa, että se tutkii raportteja.
"Näyttää potentiaalisesti merkittävältä kansalliselta turvallisuusriskiltä, kun otetaan huomioon, että monilla loppukäyttäjillä saattaa olla korkeammat selvitykset, jotka käyttävät PIV-kortteja suojattuun käyttöön", Mark sanoi.
Mark kertoi ottaneensa yhteyttä Saicooon haittaohjelmia palvelevan verkkosivuston johdosta, ja hän sai vastauksen, jonka mukaan yrityksen uusin laitteisto ei vaadi lisäohjaimia. Hän sanoi, että Saicoo ei käsitellyt hänen huolensa siitä, että sen verkkosivuilla oleva ohjainpaketti oli niputettu haittaohjelmien kanssa.
Vastauksena KrebsOnSecurityn kommenttipyyntöön Saicoo lähetti hieman vähemmän vakuuttavan vastauksen.
"Antamasi tietojen perusteella ongelma saattaa johtua tietokoneesi suojausjärjestelmästä, koska se ei näytä tunnistavan harvoin käytettyä ohjainta & havaitsi sen haitalliseksi tai virukseksi", Saicoon tukitiimi kirjoitti sähköpostissa.
"Itse asiassa, se ei sisällä viruksia, kuten voit luottaa meihin. Jos sinulla on lukijamme käsillä, jätä se huomiotta ja jatka asennusvaiheita", viesti jatkui. "Kun ohjain on asennettu, tämä viesti katoaa näkyvistä. Älä huoli."
Saicoon vastaus KrebsOnSecuritylle.
Saicoon ilmeisen tartunnan saaneiden ohjaimien ongelma saattaa johtua vain siitä, että teknologiayrityksen sivusto on hakkeroitu ja se reagoi huonosti. CERT/CC:n haavoittuvuusanalyytikko Will Dormann kirjoitti Twitterissä, että Ramnit-haittaohjelma ei ole muuttanut Saicoo-ohjainten ZIP-tiedostossa olevia suoritettavia tiedostoja (.exe), vaan ainoastaan mukana olevia HTML-tiedostoja.
Dormann sanoi, että on tarpeeksi huonoa, että laiteajurien etsiminen verkossa on yksi riskialttiimmista toiminnoista, joita verkossa voi tehdä.
"Ajureiden verkkohaun tekeminen on ERITTÄIN vaarallinen (legit/haitallisten osumasuhteen kannalta) hakutulosten perusteella, milloin olen yrittänyt tehdä sitä", Dormann lisäsi. "Yhdistä se tässä hahmoteltuun myyjän ilmeiseen due diligence -toimiin, ja no, se ei ole kaunis kuva."
Mutta kaiken kaikkiaan potentiaalinen hyökkäyspinta on täällä valtava, sillä monet liittovaltion työntekijät ostavat nämä lukijat lukemattomilta verkkotoimittajilta tarvittaessa. Esimerkiksi Saicoon tuoteluettelot ovat täynnä kommentteja asiakkailta, jotka ilmoittavat työskentelevänsä liittovaltion virastossa (ja useat, jotka ilmoittivat ongelmista ohjainten asentamisessa).
Markin kokemuksia koskeva viestiketju Twitterissä herätti voimakkaan vastauksen joiltakin seuraajiltani, joista monet ilmeisesti työskentelevät jossakin asemassa Yhdysvaltain hallituksessa ja heillä on valtion myöntämä CAC- tai PIV-kortti.
Keskustelusta tuli selvästi ilmi kaksi asiaa. Ensimmäinen oli yleinen hämmennys siitä, onko Yhdysvaltain hallituksella minkäänlaista luetteloa hyväksytyistä toimittajista. Se tekee. General Services Administration (GSA), liittovaltion siviilivirastojen hankintoja hoitava virasto, ylläpitää luetteloa hyväksytyistä kortinlukijoiden toimittajista osoitteessa idmanagement.gov (Saicoo ei ole kyseisessä luettelossa). [Kiitos @MetaBiometrics ja @shugenja linkistä!]
Toinen Twitter-keskustelun läpi kulkenut teema oli todellisuus, että monet ihmiset pitävät valmiiden lukijoiden ostamista tarkoituksenmukaisemmin kuin GSA:n virallisen hankintaprosessin läpikäymistä, joko siitä syystä, että heille ei koskaan myönnetty sellaista tai lukija he olivat. käyttö ei yksinkertaisesti toiminut tai katosi ja he tarvitsivat nopeasti toisen.
"Melkein jokaisella upseerilla ja aliupseerilla, jonka tiedän reservikomponentissa, on CAC-lukija, jonka he ostivat, koska heidän piti päästä DOD-sähköpostiinsa kotona, eikä heille ole koskaan myönnetty kannettavaa tietokonetta tai sertiä. lukija", sanoi David Dixon, armeijan veteraani ja kirjailija, joka asuu Pohjois-Virginiassa. "Kun pomosi käskee sinua tarkistamaan sähköpostisi kotona ja olet kansalliskaartissa ja asut 2 tunnin päässä lähimmästä [luokittamattomasta sotilasverkkoasennuksesta], mitä luulet tapahtuvan?"
Mielenkiintoista kyllä, jokainen, joka kysyy Twitterissä oikean älykortinlukijan ostamisesta ja sen saamisesta toimimaan oikein, ohjataan aina osoitteeseen militarycac.com. Sivustoa ylläpitää Michael Danberry, koristeltu ja eläkkeellä oleva armeijan veteraani, joka julkaisi sivuston vuonna 2008 (sen tekstin ja linkkien runsas muotoilu vie pitkälti takaisin siihen Internetin ja verkkosivujen aikakauteen. ). Hänen sivustoaan on jopa virallisesti suositellut armeija (PDF). Mark jakaneet sähköpostit, joissa Saicoo itse suosittelevat sivustoa militarycac.com.
Kuva: Militarycac.com.
"Army Reserve alkoi käyttää CAC-kirjautumista toukokuussa 2006", Danberry kirjoitti "Tietoja"-sivullaan. "Minusta [jälleen] tuli "Go to guy" armeijan reservikeskukseni ja Minnesotaan. Ajattelin, että miksi lopettaa? Voisin käyttää verkkosivustoani ja CAC-tietouteni ja jakaa sen kanssasi.
Danberry ei vastannut haastattelupyyntöihin – epäilemättä siksi, että hän on kiireinen antamaan teknistä tukea liittovaltion hallitukselle. Danberryn vastaajaviestissä oleva ystävällinen viesti kehottaa tukea tarvitsevia soittajia jättämään yksityiskohtaiset tiedot CAC/PIV-kortinlukijoiden ongelmista.
Dixon sanoi, että Danberry on "tekenyt enemmän pitääkseen armeijan käynnissä ja yhteydessä kuin kaikki G6:t [armeijan tiedotuspäälliköt] yhteensä".
Hra Danberry on monella tapaa samanlainen kuin vähän tunnettu ohjelmistokehittäjä, jonka pieni avoimen lähdekoodin projekti päätyy laajalti käyttöön ja lopulta taittuu Internetin kankaaseen. Mietin, kuvitteliko hän koskaan 15 vuotta sitten että hänen verkkosivustostaan tulisi jonakin päivänä "kriittinen infrastruktuuri" Uncle Samille?
