Milioni di dipendenti e appaltatori del governo degli Stati Uniti hanno ricevuto una carta d’identità intelligente e sicura che consente l’accesso fisico agli edifici e agli spazi controllati e l’accesso alle reti e ai sistemi informatici governativi al livello di sicurezza appropriato per il titolare della carta. Ma molti dipendenti statali non dispongono di un dispositivo di lettura approvato che consenta loro di utilizzare queste carte a casa o in remoto, e quindi si rivolgono a lettori a basso costo che trovano online.

Cosa potrebbe andare storto? Ecco un esempio.

KrebsOnSecurity ha recentemente sentito un lettore che chiameremo “Mark” perché non è stato autorizzato a parlare con la stampa che lavora nell’IT per un importante appaltatore governativo della difesa e gli è stata rilasciata una smart card governativa PIV (Personal Identity Verification) progettata per i dipendenti civili. Non avendo un lettore di smart card a casa e non avendo ricevuto indicazioni evidenti dai suoi colleghi su come procurarsene uno, Mark ha optato per l’acquisto di un lettore da 15 dollari su Amazon che diceva di essere fatto per gestire le smart card governative degli Stati Uniti.

Il dispositivo USB scelto da Mark è il primo risultato che compare attualmente quando si cerca su Amazon.com “lettore di carte PIV“. Il lettore di carte acquistato da Mark è stato venduto da un’azienda chiamata Saicoo, il cui annuncio sponsorizzato su Amazon pubblicizza un “DOD Military USB Common Access Card (CAC) Reader” e ha più di 11.700 valutazioni per lo più positive.

La Common Access Card (CAC) è l’identificazione standard per il personale in servizio attivo in uniforme, la riserva selezionata, i dipendenti civili del Dipartimento della Difesa e il personale appaltatore idoneo. È la tessera principale utilizzata per consentire l’accesso fisico agli edifici e agli spazi controllati e fornisce l’accesso alle reti e ai sistemi informatici del Dipartimento della Difesa.

Mark ha riferito che quando ha ricevuto il lettore e lo ha collegato al suo PC Windows 10, il sistema operativo si è lamentato che i driver hardware del dispositivo non funzionavano correttamente. Windows ha suggerito di consultare il sito Web del fornitore per ottenere driver più recenti.

Mark si è quindi recato sul sito Web indicato sulla confezione di Saicoo e ha trovato un file ZIP contenente i driver per Linux, Mac OS e Windows:

Per eccesso di prudenza, Mark ha inviato il file dei driver di Saicoo a Virustotal.com, che analizza simultaneamente qualsiasi file condiviso con oltre cinque dozzine di prodotti antivirus e di sicurezza.

Virustotal ha riportato che circa 43 diversi strumenti di sicurezza hanno rilevato i driver Saicoo come dannosi.

Sembra che il file ZIP contenga una minaccia malware nota come Ramnit, un cavallo di Troia abbastanza comune ma pericoloso che si diffonde aggiungendosi ad altri file.

Ramnit è una minaccia ben nota e di vecchia data, emersa per la prima volta più di dieci anni fa, ma si è evoluta nel corso degli anni e viene ancora impiegata in attacchi di esfiltrazione dei dati più sofisticati. Amazon ha dichiarato in una dichiarazione scritta che sta indagando sulle segnalazioni.

“Sembra un rischio potenzialmente significativo per la sicurezza nazionale, considerando che molti utenti finali potrebbero avere livelli di autorizzazione elevati e utilizzare le carte PIV per l’accesso sicuro“, ha dichiarato Mark.

Mark ha raccontato di aver contattato Saicoo in merito al fatto che il loro sito web presentava malware e di aver ricevuto una risposta in cui si diceva che l’hardware più recente dell’azienda non richiedeva alcun driver aggiuntivo. Ha detto che Saicoo non ha risposto alle sue preoccupazioni riguardo al fatto che il pacchetto di driver sul suo sito web fosse un pacchetto di malware.

In risposta alla richiesta di commento di KrebsOnSecurity, Saicoo ha inviato una risposta un po’ meno rassicurante.

“Dai dettagli che ci ha fornito, il problema potrebbe essere causato dal sistema di difesa della sicurezza del suo computer, in quanto sembra che non riconosca il nostro driver usato raramente e lo rilevi come dannoso o un virus“, ha scritto il team di supporto di Saicoo in un’e-mail.

“In realtà, non contiene alcun virus, come potete fidarvi di noi; se avete il nostro lettore a portata di mano, ignoratelo e proseguite con l’installazione“, continua il messaggio. “Una volta installato il driver, questo messaggio sparirà dalla circolazione. Non preoccupatevi“.

La risposta di Saicoo a KrebsOnSecurity.

Il problema dei driver apparentemente infetti di Saicoo potrebbe essere poco più di un caso di azienda tecnologica che ha subito un attacco al proprio sito e ha risposto male. Will Dormann, analista di vulnerabilità presso il CERT/CC, ha scritto su Twitter che i file eseguibili (.exe) nel file ZIP dei driver Saicoo non sono stati alterati dal malware Ramnit, ma solo i file HTML inclusi.

Dormann ha detto che è già abbastanza grave che la ricerca di driver di dispositivi online sia una delle attività più rischiose che si possano intraprendere online.

“Fare una ricerca di driver sul Web è una ricerca MOLTO pericolosa (in termini di rapporto tra risultati legittimi e dannosi) da eseguire, in base ai risultati di tutte le volte che ho provato a farlo“, ha aggiunto Dormann. “Se a questo si aggiunge l’apparente due diligence del fornitore qui descritta, il quadro non è dei migliori“.

Ma a detta di tutti, la superficie di attacco potenziale in questo caso è enorme, poiché molti dipendenti federali chiaramente acquisteranno questi lettori da una miriade di venditori online quando se ne presenterà la necessità. Gli elenchi dei prodotti di Saicoo, ad esempio, sono pieni di commenti di clienti che dichiarano di lavorare in un’agenzia federale (e molti hanno segnalato problemi nell’installazione dei driver).

Un thread sull’esperienza di Mark su Twitter ha generato una forte risposta da parte di alcuni dei miei follower, molti dei quali, a quanto pare, lavorano in qualche modo per il governo degli Stati Uniti e possiedono carte CAC o PIV emesse dal governo.

Da questa conversazione sono emerse chiaramente due cose. La prima è stata la confusione generale sul fatto che il governo degli Stati Uniti abbia una sorta di lista di fornitori approvati. Invece ce l’ha. La General Services Administration (GSA), l’agenzia che gestisce gli acquisti per le agenzie federali civili, mantiene un elenco di fornitori di lettori di schede approvati all’indirizzo idmanagement.gov (Saicoo non fa parte di questo elenco).

L’altro tema che ha attraversato la discussione su Twitter è stata la realtà che molte persone trovano più conveniente acquistare i lettori disponibili sul mercato piuttosto che seguire il processo di approvvigionamento ufficiale della GSA, sia perché non ne hanno mai ricevuto uno, sia perché il lettore che stavano usando non funziona più o è stato perso e ne hanno bisogno rapidamente.

“Quasi tutti gli ufficiali e i sottufficiali della componente di riserva che conosco hanno un lettore CAC che hanno comprato perché dovevano accedere alla loro posta elettronica del Dipartimento della Difesa a casa e non hanno mai ricevuto un computer portatile o un lettore CAC“, ha detto David Dixon, un veterano dell’esercito e autore che vive nella Virginia settentrionale. “Quando il tuo capo ti dice di controllare la tua e-mail a casa e tu sei nella Guardia Nazionale e vivi a due ore dalla più vicina [installazione di rete militare non classificata], cosa pensi che succederà?“.

È interessante notare che chiunque chieda su Twitter come orientarsi nell’acquisto del giusto lettore di smart card e come farlo funzionare correttamente viene invariabilmente indirizzato verso militarycac.com. Il sito è gestito da Michael Danberry, un veterano dell’esercito decorato e in pensione che ha lanciato il sito nel 2008 (il suo design ricco di testi e link riporta molto indietro nel tempo, all’epoca di Internet e delle pagine web in generale). Il suo sito è stato persino raccomandato ufficialmente dall’esercito (PDF). Mark ha condiviso le e-mail che mostrano come Saicoo stesso raccomandi militarycac.com.

“La Riserva dell’Esercito ha iniziato a utilizzare il login CAC nel maggio 2006“, ha scritto Danberry nella sua pagina “About”. “Sono diventato il ‘go to guy‘ per il mio Centro della Riserva dell’Esercito e per il Minnesota. Ho pensato: perché fermarsi lì? Potrei usare il mio sito web e la mia conoscenza del CAC e condividerla con voi”.

Danberry non ha risposto alle richieste di intervista, senza dubbio perché è impegnato nell’assistenza tecnica per il governo federale. Il messaggio amichevole sulla segreteria telefonica di Danberry indica ai chiamanti che necessitano di assistenza di lasciare informazioni dettagliate sul problema che hanno con i lettori di carte CAC/PIV.

Dixon ha detto che Danberry “ha fatto di più per mantenere l’esercito in funzione e connesso di tutti i G6 [Army Chief Information Officers] messi insieme“.

Per molti versi, Danberry è l’equivalente di quello sviluppatore di software poco conosciuto il cui piccolo progetto di codice open-sourced finisce per essere ampiamente adottato e infine inserito nel tessuto di Internet. Mi chiedo se 15 anni fa avrebbe mai immaginato che il suo sito web sarebbe diventato un giorno “infrastruttura critica” per lo Zio Sam.