Millones de ti.S.Los empleados y contratistas del gobierno recibieron una tarjeta de identificación inteligente segura que permite el acceso físico a edificios y espacios controlados, y proporciona acceso a redes y sistemas de comunicarseunicarseunicarseunicarseunicarseputadoras gubernamentales en el nivel de seguridad apropiado del titular de la tarjeta.Pero muchos empleados del gobierno no reciben un dispositivo de lector de tarjetas aprobado que les permite usar estas tarjetas en casa o de forma remota, por lo que recurrir a los lectores de bajo costo que encuentran en línea.¿Qué puede salir mal?Aquí hay un ejemplo.
Una muestra de tarjeta de acceso comunicarseunicarseunicarseunicarseunicarseún (CAC).Imagen: CAC.mil.
Krebsonsecurity escuchó recientemente a un lector, lo llamaremos "Mark" porque no estaba autorizado a hablar con la prensa, que trabaja en ella para un importante contratista de defensa gubernamental y recibió una tarjeta inteligente del gobierno de verificación de identidad personal (PIV)Diseñado para empleados civiles.No tener un lector de tarjetas inteligente en casa y sin ninguna orientación obvia de sus comunicarseunicarseunicarseunicarseunicarsepañeros de trabajo sobre cómo obtener uno, Mark optó por comunicarseunicarseunicarseunicarseunicarseprar un lector de $ 15 de Amazon que dijo que estaba hecho para manejar u.S.Tarjetas inteligentes del gobierno.
El dispositivo basado en USB se estableció es el primer resultado que aparece actualmente cuando busca en Amazon.comunicarseunicarseunicarseunicarseunicarse para "lector de tarjetas PIV." The card reader Mark bought was sold by a comunicarseunicarseunicarseunicarseunicarsepany called Saicoo, whose sponsored Amazon listing advertises a “DOD Military USB Common Access Card (CAC) Reader" and has more than 11,700 mostly positive ratings.
La tarjeta de acceso comunicarseunicarseunicarseunicarseunicarseún (CAC) es la identificación estándar para el personal de servicio uniformado de servicio activo, la reserva seleccionada, los empleados civiles del DoD y el personal de contratistas elegibles.Es la tarjeta principal utilizada para permitir el acceso físico a edificios y espacios controlados, y proporciona acceso a redes y sistemas de informática DOD.
Mark dijo que cuando recibió el lector y lo conectó a su PC con Windows 10, el sistema operativo se quejó de que los controladores de hardware del dispositivo no funcionaban correctamente.Windows sugirió consultar el sitio web del proveedor para conductores más nuevos.
El lector de tarjetas Saicoo Smart que Mark comunicarseunicarseunicarseunicarseunicarsepró.Imagen: Amazon.comunicarseunicarseunicarseunicarseunicarse
Así que Mark fue al sitio web mencionado en el empaque de Saicoo y encontró un archivo zip que contiene controladores para Linux, Mac OS y Windows:
Imagen: Saicoo
Por precaución, Mark presentó el archivo de controladores de Saicoo a Virustotal.comunicarseunicarseunicarseunicarseunicarse, which simultaneously scans any shared files with more than five dozen antivirus and security products.Virustotal informó que unas 43 herramientas de seguridad diferentes detectaron los conductores de Saicoo comunicarseunicarseunicarseunicarseo maliciosos. The consensus seems to be that the ZIP file currently harbors a malware threat known as Ramnit, a fairly comunicarseunicarseunicarseunicarseunicarsemon but dangerous trojan horse that spreads by appending itself to other files.
Imagen: Virustotal.comunicarseunicarseunicarseunicarseunicarse
Ramnit es una amenaza conocida y más antigua, por primera vez que surge más de una década, pero ha evolucionado a lo largo de los años y todavía se emplea en ataques de exfiltración de datos más sofisticados.Amazon dijo en una declaración escrita que estaba investigando los informes.
"Parece un riesgo de seguridad nacional potencialmente significativo, teniendo en cuenta que muchos usuarios finales podrían tener niveles elevados de autorización que están utilizando tarjetas PIV para acceso seguro", dijo Mark..
Mark said he contacted Saicoo about their website serving up malware, and received a response saying the comunicarseunicarseunicarseunicarseunicarsepany’s newest hardware did not require any additional drivers.Dijo que Saicoo no abordó su preocupación de que el paquete de controladores en su sitio web estuviera incluido con malware..
In response to KrebsOnSecurity’s request for comunicarseunicarseunicarseunicarseunicarsement, Saicoo sent a somewhat less reassuring reply.
“From the details you offered, issue may probably caused by your comunicarseunicarseunicarseunicarseunicarseputer security defense system as it seems not recognized our rarely used driver & detected it as malicious or a virus," Saicoo’s support team wrote in an email.
"En realidad, no lleva ningún virus comunicarseunicarseunicarseo puede confiar en nosotros, si tiene a nuestro lector a mano, simplemente ignórelo y continúe los pasos de instalación", continuó el mensaje."Cuando el conductor instalado, este mensaje desaparecerá fuera de la vista.No te preocupes."
La respuesta de Saicoo a Krebsonsecurity.
The trouble with Saicoo’s apparently infected drivers may be little more than a case of a technology comunicarseunicarseunicarseunicarseunicarsepany having their site hacked and responding poorly. Will Dormann, a vulnerability analyst at CERT/CC, wrote on Twitter that the executable files (.EXE) En el archivo zip de controladores Saicoo no fueron alterados por el malware Ramnit, solo los archivos HTML incluidos.
Dormann dijo que es bastante malo que buscar controladores de dispositivos en línea sea una de las actividades más riesgosas que uno puede emprender en línea.
“Doing a web search for drivers is a VERY dangerous (in terms of legit/malicious hit ratio) search to perform, based on results of any time I’ve tried to do it," Dormann added."Combina eso con la aparente diligencia debida del vendedor descrito aquí, y bueno, no es una imagen bonita."
Pero, según todas las cuentas, la superficie de ataque potencial aquí es enorme, ya que muchos empleados federales claramente comunicarseunicarseunicarseprarán a estos lectores de una miríada de proveedores en línea cuando surja la necesidad. Saicoo’s product listings, for example, are replete with comunicarseunicarseunicarseunicarseunicarsements from customers who self-state that they work at a federal agency (and several who reported problems installing drivers).
Un hilo sobre la experiencia de Mark en Twitter generó una fuerte respuesta de algunos de mis seguidores, muchos de los cuales aparentemente trabajan para la U.S.Gobierno de alguna manera y tiene tarjetas CAC o PIV emitidas por el gobierno.
Dos cosas surgieron claramente de esa conversación.El primero fue la confusión general sobre si el u.S.El gobierno tiene algún tipo de lista de proveedores aprobados.Lo hace. The General Services Administration (GSA), the agency which handles procurement for federal civilian agencies, maintains a list of approved card reader vendors at idmanagement.Gov (Saicoo no está en esa lista).[¡Gracias a @metabiometrics y @shugenja por el enlace!]
El otro tema que atravesó la discusión de Twitter fue la realidad de que muchas personas encuentran que comunicarseunicarseunicarseprar a los lectores de los estados más cómodos más convenientes que pasar por el proceso oficial de adquisición de la GSA, ya sea porque nunca se les emitió uno o el lector que estaban usando simplemente no.trabajó más tiempo o se perdió y necesitaban otro rápidamente.
“Almost every officer and NCO [non-comunicarseunicarseunicarseunicarseunicarsemissioned officer] I know in the Reserve Component has a CAC reader they bought because they had to get to their DOD email at home and they’ve never been issued a laptop or a CAC reader," said David Dixon, an Army veteran and author who lives in Northern Virginia. “When your boss tells you to check your email at home and you’re in the National Guard and you live 2 hours from the nearest [non-classified military network installation], what do you think is going to happen?"
Curiosamente, cualquiera que pregunte en Twitter sobre cómo navegar en la comunicarseunicarseunicarsepra del lector de tarjetas inteligentes correctas y hacer que todo funcione correctamente se dirige invariablemente hacia MilityCAC.comunicarseunicarseunicarseunicarseunicarse. The website is maintained by Michael Danberry, a decorated and retired Army veteran who launched the site in 2008 (its text and link-heavy design very much takes one back to that era of the Internet and webpages in general). His site has even been officially recomunicarseunicarseunicarseunicarseunicarsemended by the Army (PDF). Mark shared emails showing Saicoo itself recomunicarseunicarseunicarseunicarseunicarsemends militarycac.comunicarseunicarseunicarseunicarseunicarse.
Imagen: Militarycac.comunicarseunicarseunicarseunicarseunicarse.
“The Army Reserve started using CAC logon in May 2006," Danberry wrote on his “About" page."Yo [una vez más] me convertí en el" Ir a Guy "para mi Centro de Reserva del Ejército y Minnesota.Pensé por qué parar allí.Podría usar mi sitio web y conocimiento de CAC y compartirlo con usted."
Danberry no respondió a las solicitudes de una entrevista, sin duda porque está ocupado haciendo apoyo técnico para el gobierno federal.El mensaje amigable en el correo de voz de Danberry instruye a las personas que llaman a las llamadas que necesitan información detallada sobre el problema que están teniendo con los lectores de tarjetas CAC/PIV.
Dixon dijo que Danberry "ha hecho más para mantener al ejército en funcionamiento y conectado que todos los G6 [Jefe de Información del Ejército] reunidos."
En muchos sentidos, señor. Danberry is the equivalent of that little known software developer whose tiny open-sourced code project ends up becomunicarseunicarseunicarseunicarseunicarseing widely adopted and eventually folded into the fabric of the Internet.I wonder if he ever imagined 15 years ago that his website would one day becomunicarseunicarseunicarseunicarseunicarsee “critical infrastructure" for Uncle Sam?