Des millions de toi.S.Les employés du gouvernement et les entrepreneurs ont reçu une carte d'identité intelligente sécurisée qui permet un accès physique aux bâtiments et aux espaces contrôlés, et donne accès aux réseaux et systèmes informatiques du gouvernement au niveau de sécurité approprié du titulaire de la carte.Mais de nombreux employés du gouvernement n'ont pas émis un dispositif de lecteur de cartes approuvé qui leur permet d'utiliser ces cartes à domicile ou à distance, et se tournez donc vers des lecteurs à faible coût qu'ils trouvent en ligne.Qu'est-ce qui pourrait mal se passer?Voici un exemple.
Un exemple de carte d'accès commune (CAC).Image: CAC.mil.
KrebSonsecurity a récemment entendu parler d'un lecteur - nous l'appellerons «Mark» parce qu'il n'était pas autorisé à parler à la presse - qui y travaille pour un grand entrepreneur de défense du gouvernement et a reçu une vérification personnelle de vérification (PIV) du gouvernement à puce du gouvernementConçu pour les employés civils.N'ayant pas de lecteur de cartes à puce à la maison et manquant de conseils évidents de ses collègues sur la façon d'en obtenir un, Mark a choisi d'acheter un lecteur de 15 $ sur Amazon qui a dit qu'il avait été fait pour vous gérer.S.cartes à puce du gouvernement.
Le dispositif basé sur USB est réglé sur le premier résultat qui apparaît actuellement lors des recherches sur Amazon.com pour «lecteur de carte PIV." The card reader Mark bought was sold by a company called Saicoo, whose sponsored Amazon listing advertises a “DOD Military USB Common Access Card (CAC) Reader" and has more than 11,700 mostly positive ratings.
La carte d'accès commune (CAC) est l'identification standard pour le personnel de service en uniforme en service actif, la réserve sélectionnée, les employés civils du DOD et le personnel des entrepreneurs éligibles.Il s'agit de la carte principale utilisée pour permettre l'accès physique aux bâtiments et aux espaces contrôlés, et donne accès aux réseaux et systèmes informatiques du DOD.
Mark a déclaré que lorsqu'il a reçu le lecteur et l'a branché sur son PC Windows 10, le système d'exploitation s'est plaint que les pilotes matériels de l'appareil ne fonctionnaient pas correctement.Windows a suggéré de consulter le site Web du fournisseur pour les nouveaux pilotes.
Le lecteur de carte à puce SAICOO que Mark a acheté.Image: Amazon.com
Mark est donc allé sur le site Web mentionné sur l'emballage de SAICOO et a trouvé un fichier zip contenant des pilotes pour Linux, Mac OS et Windows:
Image: SAICOO
Par une abondance de prudence, Mark a soumis le dossier des chauffeurs de SAICOO à Virustotal.com, qui scanne simultanément tous les fichiers partagés avec plus de cinq douzaines d'antivirus et de produits de sécurité.Virustotal a rapporté que 43 outils de sécurité différents ont détecté les chauffeurs de SaiCoo comme malveillants.Le consensus semble être que le fichier zip abrite actuellement une menace malveillante connue sous le nom de Ramnit, un cheval de Troie assez courant mais dangereux qui se propage en ajoutant à d'autres fichiers.
Image: Virustotal.com
Ramnit est une menace bien connue et plus ancienne - surface d'abord il y a plus de dix ans - mais elle a évolué au fil des ans et est toujours employé dans des attaques d'expiltration de données plus sophistiquées.Amazon a déclaré dans une déclaration écrite qu'il enquêtait sur les rapports.
"Semble être un risque de sécurité nationale potentiellement significatif, étant donné que de nombreux utilisateurs finaux pourraient avoir des niveaux de dégagement élevés qui utilisent des cartes PIV pour un accès sécurisé", a déclaré Mark.
Mark a déclaré qu'il avait contacté Saicoo au sujet de leur site Web servant des logiciels malveillants et avait reçu une réponse disant que le nouveau matériel de la société n'avait pas besoin de pilotes supplémentaires.Il a dit que Saicoo n'avait pas répondu à sa préoccupation que le package de pilotes sur son site Web avait été regroupé de logiciels malveillants.
En réponse à la demande de commentaires de KrebsSecurity, Saicoo a envoyé une réponse un peu moins rassurante.
“From the details you offered, issue may probably caused by your computer security defense system as it seems not recognized our rarely used driver & detected it as malicious or a virus," Saicoo’s support team wrote in an email.
"En fait, il ne porte aucun virus comme vous pouvez nous faire confiance, si vous avez notre lecteur à portée de main, veuillez l'ignorer et continuer les étapes d'installation", a poursuivi le message.«Lorsque le conducteur installé, ce message disparaîtra hors de vue.Ne vous inquiétez pas."
Réponse de Saicoo à KrebsSecurity.
Le problème avec les conducteurs apparemment infectés de SAICOO peut être un peu plus qu'un cas d'une entreprise technologique ayant son site piraté et réagi mal. Will Dormann, a vulnerability analyst at CERT/CC, wrote on Twitter that the executable files (.exe) dans le fichier zip des pilotes SAICOO n'a pas été modifié par le malware Ramnit - seuls les fichiers HTML inclus.
Dormann a déclaré qu'il était suffisant pour que la recherche de pilotes d'appareil en ligne soit l'une des activités les plus risquées que l'on puisse entreprendre en ligne.
“Doing a web search for drivers is a VERY dangerous (in terms of legit/malicious hit ratio) search to perform, based on results of any time I’ve tried to do it," Dormann added."Combinez cela avec la diligence raisonnable apparente du vendeur décrit ici, et bien, ce n'est pas une jolie image."
Mais par tous les comptes, la surface potentielle d'attaque ici est énorme, car de nombreux employés fédéraux achèteront clairement ces lecteurs auprès d'une myriade de fournisseurs en ligne lorsque le besoin s'en fera.Les listes de produits de SAICOO, par exemple, sont remplies de commentaires de clients qui s'étaient à l'état de soi qu'ils travaillent dans une agence fédérale (et plusieurs qui ont signalé des problèmes d'installation de conducteurs).
Un fil sur l'expérience de Mark sur Twitter a généré une forte réponse de certains de mes abonnés, dont beaucoup travaillent apparemment pour le u.S.Gouvernement dans une certaine mesure et a des cartes CAC ou PIV émises par le gouvernement.
Deux choses ont clairement émergé de cette conversation.Le premier était une confusion générale quant à savoir si le u.S.Le gouvernement a une sorte de liste de fournisseurs approuvés.Cela fait. The General Services Administration (GSA), the agency which handles procurement for federal civilian agencies, maintains a list of approved card reader vendors at idmanagement.Gov (SAICOO n'est pas sur cette liste).[Merci à @Metabiometrics et @shugenja pour le lien!]
L'autre thème qui a traversé la discussion sur Twitter était la réalité que beaucoup de gens trouvent l'achat de lecteurs standard plus opportun que de passer par le processus d'approvisionnement officiel de la GSA, que ce soit parce qu'ils n'ont jamais été émis ou le lecteur qu'ils utilisaient simplement non nona travaillé plus longtemps ou a été perdu et ils en avaient besoin rapidement un autre.
“Almost every officer and NCO [non-commissioned officer] I know in the Reserve Component has a CAC reader they bought because they had to get to their DOD email at home and they’ve never been issued a laptop or a CAC reader," said David Dixon, an Army veteran and author who lives in Northern Virginia. “When your boss tells you to check your email at home and you’re in the National Guard and you live 2 hours from the nearest [non-classified military network installation], what do you think is going to happen?"
Fait intéressant, toute personne demandant sur Twitter comment naviguer dans l'achat du bon lecteur de cartes à puce et tout faire correctement est invariablement dirigé vers Military.com. The website is maintained by Michael Danberry, a decorated and retired Army veteran who launched the site in 2008 (its text and link-heavy design very much takes one back to that era of the Internet and webpages in general).Son site a même été officiellement recommandé par l'armée (PDF).Mark partagé des e-mails montrant SAICOO lui-même recommande militaire.com.
Image: militaire.com.
“The Army Reserve started using CAC logon in May 2006," Danberry wrote on his “About" page.«Je [encore une fois] est devenu le« aller à Guy »pour mon Army Reserve Center et le Minnesota.J'ai pensé pourquoi m'arrêter là?Je pourrais utiliser mon site Web et ma connaissance de CAC et le partager avec vous."
Danberry n'a pas répondu aux demandes d'une entrevue - sans aucun doute car il est occupé à faire un soutien technologique pour le gouvernement fédéral.Le message amical sur la messagerie vocale de Danberry ordonne aux appelants de soutien à laisser des informations détaillées sur le problème qu'ils ont avec les lecteurs de cartes CAC / PIV.
Dixon a déclaré que Danberry a «fait plus pour maintenir l'armée en marche et connecté que tous les G6 [les officiers en chef de l'information de l'armée]."
À bien des égards, M..Danberry est l'équivalent de ce développeur de logiciels peu connu dont le petit projet de code open source finit par devenir largement adopté et finalement replié dans le tissu d'Internet.I wonder if he ever imagined 15 years ago that his website would one day become “critical infrastructure" for Uncle Sam?
