Cuando su lector de tarjetas de identificación inteligente viene con malware – Krebs on Stability


A millones de empleados y contratistas del gobierno de EE. UU. se les ha emitido una tarjeta de identificación inteligente segura que permite el acceso físico a edificios y espacios controlados, y brinda acceso a las redes y sistemas informáticos del gobierno con el nivel de seguridad adecuado para el titular de la tarjeta. Pero a muchos empleados del gobierno no se les proporciona un dispositivo lector de tarjetas aprobado que les permita usar estas tarjetas en casa o de forma remota, por lo que recurren a lectores de bajo costo que encuentran en línea. ¿Qué puede salir mal? Aquí hay un ejemplo.

Una tarjeta de acceso común (CAC) de muestra. Imagen: Cac.mil.

KrebsOnSecurity recientemente escuchó de un lector, lo llamaremos «Mark» porque no estaba autorizado para hablar con la prensa, que trabaja en TI para un importante contratista de defensa del gobierno y recibió una tarjeta inteligente del gobierno de verificación de identidad personal (PIV). diseñado para empleados civiles. Como no tenía un lector de tarjetas inteligentes en casa y carecía de una guía obvia de sus compañeros de trabajo sobre cómo conseguir uno, Mark optó por comprar un lector de $15 de Amazon que decía que estaba hecho para manejar tarjetas inteligentes del gobierno de EE. UU.

El dispositivo basado en USB que eligió Mark es el primer resultado que actualmente aparece cuando busca en Amazon.com «lector de tarjetas PIV». El lector de tarjetas que Mark compró fue vendido por una compañía llamada Saicoocuya lista patrocinada de Amazon anuncia un «Lector de tarjetas de acceso común (CAC) USB militar DOD» y tiene más de 11,700 calificaciones en su mayoría positivas.

Él Tarjeta de acceso común (CAC) es la identificación estándar para el private de servicio uniformado en servicio activo, la reserva seleccionada, los empleados civiles del Departamento de Defensa y el particular contratista elegible. Es la tarjeta principal utilizada para permitir el acceso físico a edificios y espacios controlados, y brinda acceso a redes y sistemas informáticos del Departamento de Defensa.

Mark dijo que cuando recibió el lector y lo conectó a su Computer system con Windows 10, el sistema operativo se quejó de que los controladores de components del dispositivo no funcionaban correctamente. Windows sugirió consultar el sitio web del proveedor para obtener controladores más nuevos.

El lector de tarjetas inteligentes Saicoo que Mark compró. Imagen: Amazon.com

Así que Mark fue al sitio world wide web mencionado en el paquete de Saicoo y encontró un archivo ZIP que contenía controladores para Linux, Mac OS y Windows:

Imagen: Saicoo

Por precaución, Mark envió el archivo de controladores de Saicoo a virustotal.com, que escanea simultáneamente cualquier archivo compartido con más de cinco docenas de productos antivirus y de seguridad. Virustotal informó que unas 43 herramientas de seguridad diferentes detectaron los controladores Saicoo como maliciosos. El consenso parece ser que el archivo ZIP alberga actualmente una amenaza de malware conocida como ramitaun caballo de Troya bastante común pero peligroso que se propaga al agregarse a otros archivos.

Imagen: Virustotal.com

Ramnit es una amenaza conocida y más antigua, que apareció por primera vez hace más de una década, pero ha evolucionado a lo largo de los años y es todavía se emplea en ataques de exfiltración de datos más sofisticados. Amazon dijo en una declaración escrita que estaba investigando los informes.

“Parece un riesgo de seguridad nacional potencialmente importante, considerando que muchos usuarios finales pueden tener niveles elevados de autorización que usan tarjetas PIV para un acceso seguro”, dijo Mark.

Mark dijo que se puso en contacto con Saicoo porque su sitio net ofrecía malware y recibió una respuesta que decía que el hardware más nuevo de la empresa no requería controladores adicionales. Dijo que Saicoo no abordó su preocupación de que el paquete de controladores en su sitio internet estaba incluido con malware.

En respuesta a la solicitud de comentarios de KrebsOnSecurity, Saicoo envió una respuesta algo menos tranquilizadora.

«A partir de los detalles que ofreció, es possible que el sistema de defensa de seguridad de su computadora lead to el problema, ya que parece que no reconoció nuestro controlador que rara vez se united states y lo detectó como malicioso o como un virus», escribió el equipo de soporte de Saicoo en un correo electrónico.

«En realidad, no contiene ningún virus, puede confiar en nosotros, si tiene nuestro lector a mano, simplemente ignórelo y continúe con los pasos de instalación», continuó el mensaje. “Cuando se instala el controlador, este mensaje desaparecerá de la vista. No te preocupes.»

La respuesta de Saicoo a KrebsOnSecurity.

El problema con los controladores aparentemente infectados de Saicoo puede ser poco más que el caso de que una empresa de tecnología tenga su sitio pirateado y no responda bien. dormannanalista de vulnerabilidades en CERT/CC, escribió en Twitter que los archivos ejecutables (.exe) en el archivo ZIP de los controladores Saicoo no fueron alterados por el malware Ramnit, solo los archivos HTML incluidos.

Dormann dijo que ya es bastante malo que la búsqueda de controladores de dispositivos en línea sea una de las actividades más riesgosas que uno puede realizar en línea.

«Hacer una búsqueda world wide web de controladores es una búsqueda MUY peligrosa (en términos de índice de aciertos legítimos/maliciosos), según los resultados de cada vez que he intentado hacerlo», Dormann agregado. “Combine eso con la aparente diligencia debida del proveedor descrita aquí, y bueno, no es una imagen bonita”.

Según todos los informes, la superficie de ataque potencial aquí es enorme, ya que muchos empleados federales claramente comprarán estos lectores de una miríada de proveedores en línea cuando surja la necesidad. Las listas de productos de Saicoo, por ejemplo, están repletas de comentarios de clientes que afirman que trabajan en una agencia federal (y varios que informaron problemas para instalar controladores).

UN hilo sobre la experiencia de Mark en Twitter generó una fuerte respuesta de algunos de mis seguidores, muchos de los cuales aparentemente trabajan para el gobierno de los EE. UU. de alguna manera y tienen tarjetas CAC o PIV emitidas por el gobierno.

Dos cosas surgieron claramente de esa conversación. El primero fue la confusión normal sobre si el gobierno de EE. UU. tiene algún tipo de lista de proveedores aprobados. Lo hace. Él Administración de Servicios Generales (GSA), la agencia que maneja las adquisiciones para las agencias civiles federales, mantiene una lista de proveedores de lectores de tarjetas aprobados en idmanagement.gov (Saicoo no está en esa lista). [Thanks to @MetaBiometrics for the link!]

El otro tema que atravesó la discusión en Twitter fue la realidad de que muchas personas consideran que comprar lectores listos para usar es más conveniente que pasar por el proceso de adquisición oficial de la GSA, ya sea porque nunca se les entregó uno o porque el lector que estaban usando simplemente no ya no funcionaba o se perdía y necesitaban otro rápidamente.

“Casi todos los oficiales y suboficiales [non-commissioned officer] Sé que en el Componente de la Reserva hay un lector de CAC que compraron porque tenían que acceder a su correo electrónico del Departamento de Defensa en casa y nunca se les entregó una computadora portátil o un lector de CAC”, dicho david dixon, un veterano del ejército y autor que vive en el norte de Virginia. “Cuando tu jefe te dice que revises tu correo en casa y estás en la Guardia Nacional y vives a 2 horas del más cercano [non-classified military network installation]¿Qué piensas que va a pasar?»

Curiosamente, cualquiera que pregunte en Twitter acerca de cómo navegar comprando el lector de tarjetas inteligentes correcto y haciendo que todo funcione correctamente, invariablemente se dirige hacia militarcac.com. El sitio internet es mantenido por Michael Danberry, un veterano del ejército condecorado y retirado que lanzó el sitio en 2008 (su diseño con muchos enlaces y texto lo lleva a uno a esa era de World-wide-web y las páginas internet en basic). Su sitio incluso ha sido recomendado oficialmente por el ejército (PDF). Marque los correos electrónicos compartidos que muestren que el propio Saicoo recomienda militarycac.com.

Imagen: Militarycac.com.

“La Reserva del Ejército comenzó a usar el inicio de sesión de CAC en mayo de 2006”, escribió Danberry en su Página «Acerca de». «YO [once again] se convirtió en el ‘Ir a chico’ para mi Centro de Reserva del Ejército y Minnesota. Pensé ¿Por qué parar ahí? Podría usar mi sitio internet y mi conocimiento de CAC y compartirlo con ustedes”.

Danberry no respondió a las solicitudes de entrevista, sin duda porque está ocupado brindando soporte técnico al gobierno federal. El mensaje amigable en el correo de voz de Danberry instruye a las personas que llaman que necesitan soporte para que dejen información detallada sobre el problema que tienen con los lectores de tarjetas CAC/PIV.

Dixon dijo que Danberry ha “hecho más para mantener al Ejército en funcionamiento y conectado que todos los G6. [Army Chief Information Officers] juntar.»

En muchos sentidos, el Sr. Danberry es el equivalente de ese desarrollador de software program poco conocido cuyo pequeño proyecto de código de fuente abierta termina siendo ampliamente adoptado y finalmente integrado en el tejido de Internet. Me pregunto si alguna vez imaginó hace 15 años que su sitio website algún día se convertiría en una «infraestructura crítica» para el Tío Sam.





Enlace a la noticia initial