Примечание:

Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.



Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.


Образец общей карты доступа (CAC). Изображение: Cac.mil

Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.

Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.

Надежная система


«Армия — не просто доброе слово, а очень быстрое дело», — эта цитата применима по всему миру, а не только к вооруженным силам РФ. Когда Министерство обороны США приняло решение на корню побороть пароли, записанные на листочки и спрятанные под клавиатурой, выбор пал на смарт-карты с чипом, который может хранить внутри себя всю необходимую информацию. Карты были предпочтимы, потому что как и банковские продукты, они выполнимы и в бесконтактном радио-варианте и вообще, решение со всех сторон отличное.

Внедрение тоже прошло по-армейски стремительно. Картами обзавелся старший и младший офицерский состав, а после успешный опыт армии, по доброй американской традиции, переняли и другие государственные службы страны. Каждое рабочее место, терминал или режимная дверь были оснащены считывателями CAC, а число пользователей рабочих PIV-карт стремительно выросло. Наконец-то, секреты родины были под надежным замком, потому что кроме стандартных паролей теперь у людей был на руках и физический ключ, а это уже несколько ступеней аутентификации, что благоприятно влияет на уровень информационной безопасности.

Вот только реформу и внедрение начали проводить в далеком 2006 году, когда еще не в каждом доме был широкополосный доступ в интернет, а в штатах вовсе до сих пор страдали с Dual-Up и DSL-технологиями. Прошли годы, удаленная работа и доступ стали новой нормой и миллионы служащих и офицеров столкнулись с ситуацией, когда рабочую почту нужно читать из дома или в отпуске, так как начальство требует, а вот считывателя для личного пользования правительство не предоставляет. Говорят, если нужно — покупай сам.

Именно игнорирование сценария, при котором владельцу карты понадобится не только, собственно, PIV-карта, но и устройство для ее чтения, привело к возникновению огромной дыры во всей этой массивной системе.

Кребс выяснил, что наиболее популярный считыватель смарт-карт на Amazon под броским названием «DOD military USB common access smart card reader» и приятной ценой в ~$15 (другие решения выглядят, как пришельцы из 2005 года и стоят минимум вдвое дороже), вообще не имеет никакого отношения ни к армии, ни к США. Он производится тайваньской компанией Saicoo.



Но главная проблема ни в происхождении устройства, а в том, что Plug-and-Play оно работать отказывается. В принципе, это почти дефолтный сценарий для такого специфического оборудования, во всяком случае, человека, который хоть раз пытался подключить к компьютеру принтер, такой ситуацией не удивить. Но вот если пройти на официальный сайт производителя saicootech.com и скачать драйвера для ридера, то выяснится, что в довесок вы получаете вместе с ними малварь Ramnit.a, которая известна как гадость, способная вытягивать с вашей машины конфиденциальные данные.



А что может быть слаще PIV-карты, которая буквально напичкана подобной информацией?

Связь с производителем результатов тоже не дала. Поддержка сообщила, что во всем виноваты настройки безопасности операционной системы, хотя драйвер проверялся через Virustotal. Кребсу посоветовали «проигнорировать» сообщения о вирусе и поставить драйвера. И все у него в жизни будет хорошо.



В этот момент специалист по инфобезу задался вопросом: если Saicoo не имеет отношения к Министерству обороны, то, может, существует список лицензированных вендоров, которые точно не будут заниматься распространением опасной малвари в своих продуктах? Ведь PIV-карты весьма распространенный инструмент.

Реальность же оказалась такова, что подобный лист ведется GSA (General Service Administration), что не помешало Saicoo продавать свой считыватель, как «армейский», а офицерам — покупать его. Но Кребс в своем расследовании столкнулся с тем, что в публичных документах не существует даже инструкций или рекомендаций о том, как и чем оснащать рабочие станции в случае использования PIV-карт, то есть не зная или не подозревая о белом списке, ты его никогда не обнаружишь. Единственное, что удалось накопать — редкие упоминания некоего «сайта поддержки», где офицеры и служащие могут получить помощь по вопросу PIV и CAC.

Тот самый парень


Тут мы переходим ко второй и, наверное, главной части истории. Если малварь в драйверах популярного считывателя, как и непонимание сотрудников, где покупать оборудование — лишь часть проблемы, то полное отсутствие инструкций и единого подхода к обеспечению сотрудников инфраструктурными решениями в виде считывателей — уже дыра глобальная, носящая системный характер.

Сайт, о котором упоминалось в документах, изначально очень походит на типичную армейскую разработку. Страничка по адресу militarycac.com дошла до нас в первозданном виде, из эпохи сайтов нулевых годов, где на квадратный сантиметр экрана вы получаете максимум информации и ссылок на другие страницы и ресурсы.



Вот только этот сайт, на который ссылается Минобороны США в документации, имеет отношение к нему весьма опосредованное. Автор и администратор сайта — Майкл Дэнберри, ветеран армии США в отставке. По словам самого Дэнберри, когда-то он создал этот сайт для того, чтобы помочь другим офицерам и служащим армии разобраться с новой системой PIV-карт, которая как раз внедрялась в то время.

На сайте собрано множество ссылок и рекомендаций, пошаговый туториал «как завести себе систему считывания карт», примеры различных типов считывателей, актуальные туториалы и рекомендации по установке драйверов на различные системы и прямые ссылки на продукцию.



Дэнберри на самом деле провел большую работу, собирая эту специфическую информацию воедино. При этом о сам понимает, что стал «тем единственным парнем», который хоть что-то смыслит в проприетарной системе, построенной во времена мезозоя и к мудрости которого обращаются все новые и новые поколения сотрудников. И если такая порочная практика в конкретной компании, когда сотрудников, ушедших на покой, дергают с вопросами поддержки продукта десятилетиями, несет только финансовые риски, то в случае такой армии, как США, это уже не просто халатность, а почти повод для трибунала. Возможность подключения терминалов для персонального пользования со считывателем PIV-карт для служащих в армии, буквально стоит на этом простеньком сайте, родом из 2006 года, а так же на плечах его автора-ветерана. Ведь кейс, когда ты офицер нацгвардии, с ближайшим стационарным терминалом в нескольких часах езды от дома, а почту нужно читать каждый день — вполне себе норма.

Комментарии (8)


  1. aik
    18.05.2022 15:43
    +3

    Не совсем понятно, в чём проблемы.
    В том, что доступный публике драйвер с трояном? Или что для публики нет инструментов для работы с картами?


    1. anti4ek
      19.05.2022 08:37
      +5

      1. Армейское начальство требует работу из дома на личных ПК. Явное нарушение существующих правил и инструкций.

      2. Для работы вынуждены приобретать считыватели, производящиеся в другой стране, никак не связанные с армией США и никоим образом не сертифицированные.

      3. В драйверах этого производителя обнаруживается троян. Т.е., даже если данное конкретное предупреждение об опасности является ложным, предположение о потенциальной опасности стороннего ПО является не просто предположением, а уже вполне формирующейся реальностью.

      4. Проблемы с официальной техподдержкой и использование в качестве таковой ресурс частного лица.


      1. aik
        19.05.2022 09:10

        1 и 2 — если требуют, то, по идее, должны предоставлять оборудование?


      1. dartraiden
        19.05.2022 23:35

        Справедливости ради, никто не вынуждает их приобретать именно этот говноридер. Они делают выбор сами, исходя из цены.


  1. Kalobok
    18.05.2022 15:46
    +12

    Сильно подозреваю, что "известный исследователь в области информационной безопасности" немного гонит. Во-первых, ридеры для карт раздавали на работе бесплатно, по крайней мере, несколько лет назад. Во-вторых, судя по отзывам на амазоне, подозреваемый ридер прекрасно работает без установки драйверов:

    I plugged it in my computer recognized it immediately and downloaded the appropriate drivers...

    Worked perfectly with client computer, no software needed...

    ...worked without driver installs on the windows 10 version i was using at the time...

    В-третьих, тот факт, что антивирусы рапортуют что-то подозрительное в софте, еще не означает, что оно там на самом деле есть. Хотелось бы увидеть что-то более компетентное, чем "я прогнал это через 100500 антивирусов и они ругнулись". Особенно от "исследователя в области информационной безопасности". А один пост в твиттере - это ни о чем.


    1. kisaa
      19.05.2022 02:41
      +2

      подозреваемый ридер прекрасно работает без установки драйверов
      Об этом прямо написано в ответе производителя (на скриншоте в статье): «our reader is now Driver free on Windows 7 or later & Mac OS 10.11.1 or later»


  1. BigBeerman
    18.05.2022 19:34

    Я не очень понимаю, как организована аутентификация при удаленном доступе, но что мешает установить троян-перехватчик другими способами, не все же специалисты по ИБ, а антивирус не панацея. По идее, такие системы должны быть(и наверняка) защищены от подобной атаки? Ну как банковские карты, перехват трафика которых мало что даст?


  1. Gutt
    18.05.2022 19:36
    +9

    Проблема не в картах и считывателях, а в том, что потенциально для обработки секретной информации могут использоваться рабочие станции, для этого не сертифицированные (сиречь домашние компы). Раздача ридеров не помогла бы -- троян может уже быть на компьютере. Так что дыра, действительно, в безопасности, но не там, где предполагает автор исследования.