Эту статью можно отнести к категории «прохладных историй» о том, как бюрократия победила здравый смысл. Что однако не отменяет ее прикладной ценности в разрезе «как не надо делать». Государства ведут себя похоже вне зависимости от континента и история, которую вскрыл Брайан Кребс и которую мы вольно пересказали ниже, так как оригинальный пост вышел не слишком последовательным и местами непонятным — отличный тому пример.
Американское правительство последние 15 лет активно внедряет использование смарт-карт как способ доступа и аутентификации пользователя в госучреждениях. Если в России и СНГ этот процесс не является централизованным, и карты используют чаще всего как ключи физического доступа в офисы, этажи и помещения, предпочитая на уровне системного администрирования двуфактор по логину-паролю и USB-токены, то Министерство обороны США и другие правительственные организации за океаном подошли к этому вопросу с размахом. Все офицеры и младшие офицеры армии США, а так же огромное число государственных служащих и клерков имеют свою личную смарт-карту для проверки личности (PIV), на которую завязаны все возможные доступы, от входа в здание и до логина в систему и рабочую электронную почту.
Образец общей карты доступа (CAC). Изображение: Cac.mil
Известный исследователь в области информационной безопасности, Брайан Кребс, решил поковырять содержимое как раз такой PIV-карты, желая разобраться, какие именно персональные данные хранятся в чипе, впаянном в кусок пластика. Однако в ходе работы, как это обычно и бывает в инфобезе, Кребс нашел огромную дыру в безопасности не просто отдельной системы, но всей концепции использования подобных карт, хотя вовсе не рассчитывал столкнуться с подобной проблемой.
Все дело в считывателях для этих карт, точнее, в их тотальном отсутствии.
Надежная система
«Армия — не просто доброе слово, а очень быстрое дело», — эта цитата применима по всему миру, а не только к вооруженным силам РФ. Когда Министерство обороны США приняло решение на корню побороть пароли, записанные на листочки и спрятанные под клавиатурой, выбор пал на смарт-карты с чипом, который может хранить внутри себя всю необходимую информацию. Карты были предпочтимы, потому что как и банковские продукты, они выполнимы и в бесконтактном радио-варианте и вообще, решение со всех сторон отличное.
Внедрение тоже прошло по-армейски стремительно. Картами обзавелся старший и младший офицерский состав, а после успешный опыт армии, по доброй американской традиции, переняли и другие государственные службы страны. Каждое рабочее место, терминал или режимная дверь были оснащены считывателями CAC, а число пользователей рабочих PIV-карт стремительно выросло. Наконец-то, секреты родины были под надежным замком, потому что кроме стандартных паролей теперь у людей был на руках и физический ключ, а это уже несколько ступеней аутентификации, что благоприятно влияет на уровень информационной безопасности.
Вот только реформу и внедрение начали проводить в далеком 2006 году, когда еще не в каждом доме был широкополосный доступ в интернет, а в штатах вовсе до сих пор страдали с Dual-Up и DSL-технологиями. Прошли годы, удаленная работа и доступ стали новой нормой и миллионы служащих и офицеров столкнулись с ситуацией, когда рабочую почту нужно читать из дома или в отпуске, так как начальство требует, а вот считывателя для личного пользования правительство не предоставляет. Говорят, если нужно — покупай сам.
Именно игнорирование сценария, при котором владельцу карты понадобится не только, собственно, PIV-карта, но и устройство для ее чтения, привело к возникновению огромной дыры во всей этой массивной системе.
Кребс выяснил, что наиболее популярный считыватель смарт-карт на Amazon под броским названием «DOD military USB common access smart card reader» и приятной ценой в ~$15 (другие решения выглядят, как пришельцы из 2005 года и стоят минимум вдвое дороже), вообще не имеет никакого отношения ни к армии, ни к США. Он производится тайваньской компанией Saicoo.
Но главная проблема ни в происхождении устройства, а в том, что Plug-and-Play оно работать отказывается. В принципе, это почти дефолтный сценарий для такого специфического оборудования, во всяком случае, человека, который хоть раз пытался подключить к компьютеру принтер, такой ситуацией не удивить. Но вот если пройти на официальный сайт производителя saicootech.com и скачать драйвера для ридера, то выяснится, что в довесок вы получаете вместе с ними малварь Ramnit.a, которая известна как гадость, способная вытягивать с вашей машины конфиденциальные данные.
А что может быть слаще PIV-карты, которая буквально напичкана подобной информацией?
Связь с производителем результатов тоже не дала. Поддержка сообщила, что во всем виноваты настройки безопасности операционной системы, хотя драйвер проверялся через Virustotal. Кребсу посоветовали «проигнорировать» сообщения о вирусе и поставить драйвера. И все у него в жизни будет хорошо.
В этот момент специалист по инфобезу задался вопросом: если Saicoo не имеет отношения к Министерству обороны, то, может, существует список лицензированных вендоров, которые точно не будут заниматься распространением опасной малвари в своих продуктах? Ведь PIV-карты весьма распространенный инструмент.
Реальность же оказалась такова, что подобный лист ведется GSA (General Service Administration), что не помешало Saicoo продавать свой считыватель, как «армейский», а офицерам — покупать его. Но Кребс в своем расследовании столкнулся с тем, что в публичных документах не существует даже инструкций или рекомендаций о том, как и чем оснащать рабочие станции в случае использования PIV-карт, то есть не зная или не подозревая о белом списке, ты его никогда не обнаружишь. Единственное, что удалось накопать — редкие упоминания некоего «сайта поддержки», где офицеры и служащие могут получить помощь по вопросу PIV и CAC.
Тот самый парень
Тут мы переходим ко второй и, наверное, главной части истории. Если малварь в драйверах популярного считывателя, как и непонимание сотрудников, где покупать оборудование — лишь часть проблемы, то полное отсутствие инструкций и единого подхода к обеспечению сотрудников инфраструктурными решениями в виде считывателей — уже дыра глобальная, носящая системный характер.
Сайт, о котором упоминалось в документах, изначально очень походит на типичную армейскую разработку. Страничка по адресу militarycac.com дошла до нас в первозданном виде, из эпохи сайтов нулевых годов, где на квадратный сантиметр экрана вы получаете максимум информации и ссылок на другие страницы и ресурсы.
Вот только этот сайт, на который ссылается Минобороны США в документации, имеет отношение к нему весьма опосредованное. Автор и администратор сайта — Майкл Дэнберри, ветеран армии США в отставке. По словам самого Дэнберри, когда-то он создал этот сайт для того, чтобы помочь другим офицерам и служащим армии разобраться с новой системой PIV-карт, которая как раз внедрялась в то время.
На сайте собрано множество ссылок и рекомендаций, пошаговый туториал «как завести себе систему считывания карт», примеры различных типов считывателей, актуальные туториалы и рекомендации по установке драйверов на различные системы и прямые ссылки на продукцию.
Дэнберри на самом деле провел большую работу, собирая эту специфическую информацию воедино. При этом о сам понимает, что стал «тем единственным парнем», который хоть что-то смыслит в проприетарной системе, построенной во времена мезозоя и к мудрости которого обращаются все новые и новые поколения сотрудников. И если такая порочная практика в конкретной компании, когда сотрудников, ушедших на покой, дергают с вопросами поддержки продукта десятилетиями, несет только финансовые риски, то в случае такой армии, как США, это уже не просто халатность, а почти повод для трибунала. Возможность подключения терминалов для персонального пользования со считывателем PIV-карт для служащих в армии, буквально стоит на этом простеньком сайте, родом из 2006 года, а так же на плечах его автора-ветерана. Ведь кейс, когда ты офицер нацгвардии, с ближайшим стационарным терминалом в нескольких часах езды от дома, а почту нужно читать каждый день — вполне себе норма.
Комментарии (8)
Kalobok
18.05.2022 15:46+12Сильно подозреваю, что "известный исследователь в области информационной безопасности" немного гонит. Во-первых, ридеры для карт раздавали на работе бесплатно, по крайней мере, несколько лет назад. Во-вторых, судя по отзывам на амазоне, подозреваемый ридер прекрасно работает без установки драйверов:
I plugged it in my computer recognized it immediately and downloaded the appropriate drivers...
Worked perfectly with client computer, no software needed...
...worked without driver installs on the windows 10 version i was using at the time...
В-третьих, тот факт, что антивирусы рапортуют что-то подозрительное в софте, еще не означает, что оно там на самом деле есть. Хотелось бы увидеть что-то более компетентное, чем "я прогнал это через 100500 антивирусов и они ругнулись". Особенно от "исследователя в области информационной безопасности". А один пост в твиттере - это ни о чем.
kisaa
19.05.2022 02:41+2подозреваемый ридер прекрасно работает без установки драйверов
Об этом прямо написано в ответе производителя (на скриншоте в статье): «our reader is now Driver free on Windows 7 or later & Mac OS 10.11.1 or later»
BigBeerman
18.05.2022 19:34Я не очень понимаю, как организована аутентификация при удаленном доступе, но что мешает установить троян-перехватчик другими способами, не все же специалисты по ИБ, а антивирус не панацея. По идее, такие системы должны быть(и наверняка) защищены от подобной атаки? Ну как банковские карты, перехват трафика которых мало что даст?
Gutt
18.05.2022 19:36+9Проблема не в картах и считывателях, а в том, что потенциально для обработки секретной информации могут использоваться рабочие станции, для этого не сертифицированные (сиречь домашние компы). Раздача ридеров не помогла бы -- троян может уже быть на компьютере. Так что дыра, действительно, в безопасности, но не там, где предполагает автор исследования.
aik
Не совсем понятно, в чём проблемы.
В том, что доступный публике драйвер с трояном? Или что для публики нет инструментов для работы с картами?
anti4ek
Армейское начальство требует работу из дома на личных ПК. Явное нарушение существующих правил и инструкций.
Для работы вынуждены приобретать считыватели, производящиеся в другой стране, никак не связанные с армией США и никоим образом не сертифицированные.
В драйверах этого производителя обнаруживается троян. Т.е., даже если данное конкретное предупреждение об опасности является ложным, предположение о потенциальной опасности стороннего ПО является не просто предположением, а уже вполне формирующейся реальностью.
Проблемы с официальной техподдержкой и использование в качестве таковой ресурс частного лица.
aik
1 и 2 — если требуют, то, по идее, должны предоставлять оборудование?
dartraiden
Справедливости ради, никто не вынуждает их приобретать именно этот говноридер. Они делают выбор сами, исходя из цены.