Milhões de funcionários e contratados do governo dos EUA receberam um cartão de identificação inteligente seguro que permite acesso físico a edifícios e espaços controlados e fornece acesso a redes e sistemas de computadores do governo no nível de segurança apropriado do titular do cartão. Mas muitos funcionários do governo não recebem um dispositivo de leitor de cartão aprovado que lhes permita usar esses cartões em casa ou remotamente e, portanto, recorrem a leitores de baixo custo que encontram online. O que poderia dar errado? Aqui está um exemplo.
Um exemplo de Cartão de Acesso Comum (CAC). Imagem: Cac.mil.
KrebsOnSecurity recentemente ouviu de um leitor — vamos chamá-lo de “Mark” porque ele não estava autorizado a falar com a imprensa — que trabalha em TI para um importante fornecedor de defesa do governo e recebeu uma verificação de identidade pessoal (PIV) cartão inteligente do governo projetado para funcionários civis. Não tendo um leitor de cartão inteligente em casa e sem nenhuma orientação óbvia de seus colegas de trabalho sobre como obter um, Mark optou por comprar um leitor de $ 15 da Amazon que dizia ter sido feito para lidar com cartões inteligentes do governo dos EUA.
O dispositivo baseado em USB que Mark escolheu é o primeiro resultado que aparece atualmente quando pesquisas na Amazon.com por “leitor de cartão PIV”. O leitor de cartão que Mark comprou foi vendido por uma empresa chamada Saicoo, cuja listagem patrocinada da Amazon anuncia um “leitor de cartão de acesso comum USB militar DOD (CAC)” e tem mais de 11.700 avaliações positivas.
O Cartão de Acesso Comum (CAC) é a identificação padrão para o pessoal de serviço uniformizado da ativa, reserva selecionada, funcionários civis do DoD e pessoal terceirizado qualificado. É o principal cartão usado para permitir o acesso físico a edifícios e espaços controlados e fornece acesso a redes e sistemas de computadores do DoD.
Mark disse que quando recebeu o leitor e o conectou em seu PC com Windows 10, o sistema operacional reclamou que os drivers de hardware do dispositivo não estavam funcionando corretamente. O Windows sugeriu consultar o site do fornecedor para drivers mais recentes.
O leitor de cartão inteligente Saicoo que Mark comprou. Imagem: Amazon.com
Então Mark foi ao site mencionado na embalagem do Saicoo e encontrou um arquivo ZIP contendo drivers para Linux, Mac OS e Windows:
Imagem: Saicoo
Com muita cautela, Mark enviou o arquivo de drivers da Saicoo para o Virustotal.com, que verifica simultaneamente todos os arquivos compartilhados com mais de cinco dúzias de antivírus e produtos de segurança. O Virustotal relatou que cerca de 43 ferramentas de segurança diferentes detectaram os drivers Saicoo como maliciosos. O consenso parece ser que o arquivo ZIP atualmente abriga uma ameaça de malware conhecida como Ramnit, um cavalo de tróia bastante comum, mas perigoso, que se espalha anexando-se a outros arquivos.
Imagem: Virustotal.com
Ramnit é uma ameaça bem conhecida e mais antiga — surgiu pela primeira vez há mais de uma década — mas evoluiu ao longo dos anos e ainda é empregada em ataques de exfiltração de dados mais sofisticados. A Amazon disse em um comunicado por escrito que estava investigando os relatórios.
“Parece um risco de segurança nacional potencialmente significativo, considerando que muitos usuários finais podem ter níveis elevados de autorização que usam cartões PIV para acesso seguro”, disse Mark.
Mark disse que entrou em contato com a Saicoo sobre o site deles oferecer malware e recebeu uma resposta dizendo que o hardware mais recente da empresa não exigia nenhum driver adicional. Ele disse que a Saicoo não abordou sua preocupação de que o pacote de driver em seu site fosse empacotado com malware.
Em resposta ao pedido de comentário do KrebsOnSecurity, Saicoo enviou uma resposta um pouco menos tranquilizadora.
“A partir dos detalhes que você forneceu, o problema provavelmente pode ser causado pelo sistema de defesa de segurança do seu computador, pois parece não reconhecer nosso driver e driver raramente usados. detectou-o como malicioso ou um vírus”, escreveu a equipe de suporte da Saicoo em um e-mail.
“Na verdade, não está carregando nenhum vírus, pode confiar em nós, se você tiver nosso leitor em mãos, ignore-o e continue com as etapas de instalação”, continuou a mensagem. “Quando o driver for instalado, esta mensagem desaparecerá de vista. Não se preocupe."
Resposta de Saicoo a KrebsOnSecurity.
O problema com os drivers aparentemente infectados da Saicoo pode ser pouco mais do que o caso de uma empresa de tecnologia ter seu site hackeado e responder mal. Will Dormann, analista de vulnerabilidade do CERT/CC, escreveu no Twitter que os arquivos executáveis (.exe) no arquivo ZIP dos drivers Saicoo não foram alterados pelo malware Ramnit — apenas os arquivos HTML incluídos.
Dormann disse que já é ruim o suficiente que a busca por drivers de dispositivos online seja uma das atividades mais arriscadas que alguém pode realizar online.
“Fazer uma pesquisa na web por drivers é uma pesquisa MUITO perigosa (em termos de taxa de acerto legítimo/malicioso), com base nos resultados de todas as vezes que tentei fazer isso”, acrescentou Dormann. “Combine isso com a aparente devida diligência do fornecedor descrita aqui e, bem, não é uma imagem bonita.”
Mas, segundo todos os relatos, a superfície de ataque potencial aqui é enorme, já que muitos funcionários federais claramente comprarão esses leitores de uma miríade de fornecedores on-line quando surgir a necessidade. As listas de produtos da Saicoo, por exemplo, estão repletas de comentários de clientes que afirmam trabalhar em uma agência federal (e vários que relataram problemas na instalação de drivers).
Um tópico sobre a experiência de Mark no Twitter gerou uma forte resposta de alguns de meus seguidores, muitos dos quais aparentemente trabalham para o governo dos EUA em alguma função e têm cartões CAC ou PIV emitidos pelo governo.
Duas coisas emergiram claramente dessa conversa. A primeira foi a confusão geral sobre se o governo dos EUA possui algum tipo de lista de fornecedores aprovados. Sim. A Administração de Serviços Gerais (GSA), a agência que lida com aquisições para agências civis federais, mantém uma lista de fornecedores de leitores de cartões aprovados em idmanagement.gov (Saicoo não está nessa lista). [Obrigado a @MetaBiometrics e @shugenja pelo link!]
O outro tema que percorreu a discussão no Twitter foi a realidade de que muitas pessoas acham mais conveniente comprar leitores de prateleira do que passar pelo processo de aquisição oficial da GSA, seja porque nunca receberam um ou o leitor que eram usando simplesmente não funcionou mais ou foi perdido e eles precisavam de outro rapidamente.
“Quase todos os oficiais e sargentos [suboficiais] que conheço no Componente da Reserva têm um leitor CAC que compraram porque precisavam acessar o e-mail do DOD em casa e nunca receberam um laptop ou um CAC leitor”, disse David Dixon, um veterano do Exército e autor que mora no norte da Virgínia. “Quando seu chefe diz para você verificar seu e-mail em casa e você está na Guarda Nacional e mora a 2 horas da [instalação de rede militar não classificada] mais próxima, o que você acha que vai acontecer?”
Curiosamente, qualquer pessoa que pergunte no Twitter sobre como comprar o leitor de cartão inteligente certo e fazer com que tudo funcione corretamente é invariavelmente direcionada para o site militarycac.com. O site é mantido por Michael Danberry, um veterano condecorado e aposentado do Exército que lançou o site em 2008 (seu design de texto e links leva a pessoa de volta àquela era da Internet e das páginas da web em geral ). Seu site foi oficialmente recomendado pelo Exército (PDF). Marque e-mails compartilhados mostrando que a própria Saicoo recomenda o site militarycac.com.
Imagem: Militarycac.com.
“A Reserva do Exército começou a usar o logon do CAC em maio de 2006”, escreveu Danberry em sua página “Sobre”. “Eu [mais uma vez] me tornei o 'Ir para cara' para o meu Centro de Reserva do Exército e Minnesota. Eu pensei Por que parar por aí? Eu poderia usar meu site e conhecimento do CAC e compartilhar com você.”
Danberry não respondeu aos pedidos de entrevista — sem dúvida porque está ocupado prestando suporte técnico para o governo federal. A mensagem amigável no correio de voz de Danberry instrui os chamadores que precisam de suporte a deixar informações detalhadas sobre o problema que estão tendo com os leitores de cartão CAC/PIV.
Dixon disse que Danberry “fez mais para manter o Exército funcionando e conectado do que todos os G6s [Oficiais de Informação do Exército] juntos”.
De muitas maneiras, o Sr. Danberry é o equivalente àquele desenvolvedor de software pouco conhecido cujo minúsculo projeto de código aberto acaba sendo amplamente adotado e eventualmente incorporado à rede da Internet. Será que ele alguma vez imaginou 15 anos atrás que seu site um dia se tornaria “infraestrutura crítica” para o Tio Sam?
