Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak armia USA rozwiązuje problemy z bezpieczeństwem IT?
Jeden z amerykańskich żołnierzy odkrył wyjątkowo prosty sposób pozwalający na przejęcie sesji innych użytkowników korzystających z tych samych wojskowych stacji roboczych. Problem został zgłoszony przełożonym, ci jednak zareagowali dość nietypowo…
Armia USA, jak każda duża organizacja korzystająca z nowoczesnych technologii, nie od dziś boryka się z rozmaitymi problemami z zakresu bezpieczeństwa informatycznego. Jednak przypadek dotyczący podatności zidentyfikowanej i zaraportowanej przełożonym przez pewnego porucznika jest wyjątkowo kuriozalny.
Chcący zachować anonimowość oficer odkrył, że w trakcie korzystania z amerykańskich wojskowych systemów komputerowych w bardzo prosty sposób możliwe jest przejęcie sesji poprzedniego użytkownika danej stacji.
Otóż w procesie uwierzytelniania użytkowników armia USA korzysta z kart inteligentnych Common Access Code (CAC). Użytkownik kończąc pracę w systemie wyciąga własną kartę, inicjując tym samym proces wylogowania.
Problem jednak w tym, że procedura ta jest na tyle przydługawa oraz błędnie zaprojektowana, że jeszcze przez pewien czas po fizycznym opuszczeniu stanowiska przez uprawnionego użytkownika możliwe jest jej przerwanie oraz przywrócenie aktywności sesji.
O ile na pierwszy rzut oka ryzyko wydaje się niewielkie, to jednak w praktyce poszczególni żołnierze i oficerowie mają dostęp do różnych informacji o różnych klauzulach poufności, w wyniku czego problem ten może prowadzić do bardzo poważnych wycieków danych.
Wystarczy tylko nadmienić, że powyższy sposób przechwytywania sesji działa również w przypadku systemu SIPRNet, czyli amerykańskiej wojskowej sieci wymiany tajnych dokumentów!
Gdy jakiś użytkownik może w prosty sposób skorzystać z sesji swego poprzednika tracimy również oczywiście rozliczalność (ang. accountability) działań poszczególnych osób, przez co udowodnienie ewentualnych nadużyć może się okazać bardzo utrudnione.
To jednak nie koniec całej historii. Zgodnie z procedurami, odkrywca powyższego problemu zaraportował swoje spostrzeżenia odpowiednim przełożonym już w 2011 roku. Efekty były jednak zupełnie odmienne od oczekiwań porucznika.
Przełożeni stwierdzili, że wprowadzenie poprawek do wszystkich systemów będzie zbyt kosztowne i zamiast tego wymusili (pod groźbą więzienia) na odkrywcy podpisanie zobowiązania do nieujawniania jakichkolwiek informacji na temat jego odkrycia!
W taki oto sposób luka jest obecna w amerykańskich systemach wojskowych do dnia dzisiejszego, a po kolejnych zgłoszeniach armia USA przyznała w końcu oficjalnie, że problem rzeczywiście istnieje. Na chwilę obecną powstało jedynie zalecenie, by żołnierze zwracali większą uwagę na poprawne zakończenie sesji podczas pracy z wszelkimi systemami komputerowymi.
The DoD requires that all computer workstations be configured to utilize CAC authentication. There are instances where the logoff process does not immediately complete upon removal of the CAC. This occurs when the system is running logoff scripts and shutting down applications.
The period of time that a system can be accessed following CAC removal before system logoff completes is normally not sufficient to gain unauthorized access.
If there is a vulnerability—as described by buzzfeed.com, the Army would need to exam the actual system to assess the vulnerability. If a flaw exists, it could be mitigated with a configuration change or a change in training that highlights the need to stay at a work station until the logoff process is completed.
Wygląda więc na to, że amerykańscy wojskowi muszą się jeszcze sporo nauczyć w kwestii właściwego wykorzystywania informacji o podatnościach dostarczanych przez samych użytkowników systemów. Komercyjne organizacje już od lat wiedzą, że tego typu źródła informacji o lukach są wyjątkowo cenne i trudne do zastąpienia.
Na chwilę obecną jednak, historia ta może posłużyć jako klasyczny przykład tego, w jaki sposób nie należy rozwiązywać problemów z bezpieczeństwem IT!
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Tu nawet prawa Murphy’ego wymiękają: „Komputer służy do tego aby ułatwić ci pracę, której bez niego w ogóle byś nie miał.”
1. Najprostsze tymczasowe rozwiązanie: nakazać wojakom siedzieć na d… przed monitorem, do czasu zakończenia wylogowywania. Powiedzieć wojakom, że to w ich interesie ale nie straszyć od razu końcem świata.
2. W ciągu tygodnia/miesiąca (względnie kilku miesięcy) opracować i wdrożyć zmiany w procesie wylogowywania i sprawdzić „co do cholery zajmuje tak wiele czasu”.
Jak widać jednak, wojsko to „resort siłowy” – nie intelektualny. Zamiast pomyśleć i naprawić, wolą siłą zmusić do milczenia. Ciekawe czy tak samo rozwiązują problemy z wadliwymi systemami naprowadzania rakiet…
Zasada działania przełożonych tam tej epoki. Cicho, bo wróg patrzy. I pod dywan
SIPRNet zazwyczaj stoi w klatce Faraday’a, dostep do niego maja tylko osoby z wyzszym stopniem uprzywilejowania, po odpowiedniej certyfikacji. Pomieszczenia sa przewaznie zamykane na zamki szyfrowe. To nie do konca tak, ze faktycznie kazdy moze tak zrobic. Potencjalne zagrozenie jest malo realne rowniez dlatego, ze na roznym etapie pracy CAC jest wykorzystywany do autentykacji – to nie tak, ze system raz zautoryzowany bedzie caly czas dzialal. Po anulowaniu operacji trzeba uzyc CAC zeby ponownie moc na wks pracowac. Poza tym kazda operacja na dokumentach objetych klauzula jest weryfikowana. Niby to podatnosc ale taka nie do konca.
Lukas,
Z tego co opowiada oficer (porucznik) — odkrywca problemu, to udało mu się przeprowadzić „atak” testowy właśnie m.in. na SIPRNet:
Problemem jest już tez przecież to, że nawet jeśli obaj oficerowie mają dostęp do sieci SIPRNet, to każdy z nich może mieć uprawnienia do zupełnie innych zasobów. W efekcie wejście do systemu na innej tożsamości może po prostu prowadzić do wycieków danych.
Patrząc na problem od strony technicznej: zapewne mamy do czynienia z systemem rozproszonym, bardzo heterogenicznym (stacje Suna, IBMa), opartym o jakiś wariant Unixa. Potrzebna jest komunikacja z centralną bazą w celu autoryzacji. Stacje mogą być wszędzie – na statkach, w ambasadach, bazach wojskowych. Łączność radiowa, satelitarna, przeważnie podłej jakości. Ciężko stwierdzić gdzie realnie problem występuje, a jeśli występuje – prawdopodobnie jest związany z prędkością działania tych maszyn albo łącz. Dlatego łatwiej rozwiązać go proceduralnie niż informatycznie.
Konrad,
Powolne działanie to jedno, jednak dodatkowy problem jest taki, że ten przydługawy proces wylogowania można łatwo przerwać (już po wyjęciu karty poprzednika) i powrócić do aktywnej sesji — tak przynajmniej wynika ze źródłowego opisu.