Potencijalne bezbednosne slabosti predloženih biometrijskih ličnih karti
Prenosimo tekst koji je za naš sajt napisao g. Dejan Nikolić, šef beogradske kancelarije finske firme F-Secure, vodeće globalne firme u oblasti zaštite podataka, koja se proslavila tokom 2005. godine kada je prva prozvala kompaniju SONY za ubacivanje tajnog softvera u svoje muzićke CD-ove, preko kojih je mogla nesmetano da špijunira njihove kupce. Usled ogromnog negativnog publiciteta, SONY je bio primoran da obustavi proizvodnju takvih CD-ova i da ponudi zamene za već postojeće. U međuvremenu je čak pola miliona računara širom sveta bilo zaraženo SONY-evim špijunskim softverom, takozvanim “rootkit-ovima”, uključujući i računare u američkom Ministarstvu odbrane. Zvaničnici srpske Vlade i MUP-a nas neprekidno ubeđuju kako su biometrijske lične karte koje pokušavaju da nametnu građanima Srbije mimo javne rasprave, “savršeno bezbedne”. Naravno da je lako iznositi takve jednostrane trvdnje koje nikoga ne obavezuju kada nije uspostavljena jasna, odgovorna stručna debata na tu temu. Tekst g. Nikolića ukazuje da nije sve tako idilično u bajkovitom Vrlom novom svetu kojeg srpska Vlada pokušava da nam svima nametne.
“Kao sto znamo rucni terminali kojim ce pozornici ocitavati podatke sa licnih karata bice povezani preko GPRS-a u svojevrsnu extranet mrezu zatvorenog tipa, a imace instaliran operativni sistem Windows CE koji je namenjen rucnim racunarima, PDA uredjajima i naprednijim mobilnim telefonima.
Ono sto svakako nije dovoljno obradjeno u tekstovima koji kritikuju uvodjenje ovog sistema je pojava malicioznog koda (virusa i sl.) za operativne sisteme na mobilnim telefonima ciji je cilj za sada samo pravljenje stete a u svrhu pokusnog poligona za usmerene napade u cilju kradje podataka i novca sa racuna vlasnika. Virusi tog tipa su Cabir i CommWarrior koji za sada operisu na Symbian OS-u i sire se MMS porukama i BlueTooth konekcijom, ali pojavili su se i specificni za Windows CE OS (WCE). Proof of Concept virus za WCE je nastao jos pre 2 godine (virus koji ne pravi posledice vec samo dokazuje da je moguce napraviti neki koji to zeli da radi).
Naravno, cak i ako bi se terminal zarazio, a virus iskoristio za pracenje saobracaja podataka, nema opasnosti da sigurnost podataka bude kompromitovana jer su kriptovani, a i sam terminal ne sadrzi nista vise na sebi od sistemskih fajlova. Najgora stvar koja moze da se desi je da se pozornikov terminal trenutno izbaci iz funkcionalnog rada. Tacno? Nije.
Maliciozni kodovi koji zaraze terminal mogu za cilj da imaju sasvim drugu stvar od toga da ukradu podatke koje pozornik skenira u trenutku zaraze. To samom kodu a ni onome koji ga je dizajnirao, ne mora uopste da bude bitno. Na kraju krajeva sta bi radio sa kriptovanim podacima?
Iako je pozornikov terminal u slucaju zaraze bezopasan sam po sebi po podatke i sistem, on moze biti nosilac virusa. Kao ljudi koji u sebi nose virus HIV-a ali sami nisu bolesni. Cilj? Koriscenje komunikacionog kanala terminala da bi se doslo do centralne baze podataka. Postoje maliciozni kodovi ciji je jedini posao da ne budu primeceni i kao takvi da sluze kao poligon za prihvatanje drugih kodova koji imaju specificne ciljeve. Njihov naziv je rootkit.
Ali naravno baza podataka ce biti sjajno zasticena jer su racunari koji je sadrze zasticeni viseslojnim zastitinim zidom kroz koji svi podaci prolaze pre nego sto dodju na unakrsno proveravanje u samoj bazi. Posto je u pitanju zatvoren sistem posao zastitnog sistema uvelilko je olaksan jer omogucava primanje samo odredjenih vidova podataka i to samo ako su kriptovani pod kljucem koji je propisan. Svaki podatak ili fajl koji sistem primeti da ne odgovara tom kljucu bice zaustavljen i pre nego sto dodje do unutrasnjih odbrambenih sistema. Ali sta ako ih ne primeti? Rootkit tehnologija je upravo dizajnirana da kod koji je koristi ne bude primecen od strane zastitnih sistema. Konvencionalni sistemi zastite tek poslednjih godinu dana pokusavaju da sustignu razvoj rootkit-ova ali princip borbe je isti kao izmedju provalnika i proizvodjaca brava. Novi tip brave pravite prema informacijama koje imate o obijanju starih. A te informacije su dostupne tek kada provalnik obije najmoderniju bravu koja “ne moze da se obije”. Onda proizvodjac prema tim informacijama pravi sledecu i tako u krug.
Ali neka je nas sistem zastite najsavrseniji koji postoji, onakav koji koriste americke nuklearne stanice, NASA, Pentagon, Federalne Rezerve…. to su ipak sistemi u koje su virusi i hakeri provaljivali redovno u poslednjih 10 godina. Ali neka kazemo da je prodor rootkita nemoguc. Da je zastitni zid toliko savrsen i mocan da moze da heuristicki predvidi sve sumnjive rabote na svom spoljnom omotacu. Sta nama garantuje da rootkit vec nije unutra? Da nije postavljen pri samoj instalaciji sistema? U tom slucaju virusi i trojanci imali bi saveznika unutar sistema i mogli bi da se ubace. Reci ce nam da to nije moguce, da je sistem pregledan od strane najboljih nasih bezbednosnih strucnjaka kao i onih koji su angazovani od strane proizvodjaca. Hajde da ne posumnjamo u strucnost strucnjaka, ali kako ce i oni videti ono sto je dizajnirano da ne vide? I da li treba bezrezervno da verujemo u namere svakog od angazovanih strucnjaka? Kako domacih tako i stranih?
Teorija zavere? Mozda, ali vredno razmisljanja o tome da li se sve to isplati. Ali hajde da se vratimo na terminal kojim pozornik ocitava ID karticu lica ciji identitet proverava ( i samo ovo dovoljno zvuci Orvelovski).
Vec smo rekli da u trenutku kad se kartica ocitava, terminal te podatke ne pohranjuje kod sebe vec ih kriptovane salje u centralu na obradu. Centrala uporedi podatke sa bazom i salje terminalu nazad overene podatke ili samo ispis istih. Pozornik to iscita na terminalu, salutira licu i vrati mu ID karticu. Cekajte, ali kako pozornik iscita podatke ako su kriptovani? Glupo pitanje. Podaci jesu kriptovani ali sam ispis je pretvoren u slova i brojke koje pozornik moze da iscita. Ime to i to, prekrsaj taj i taj tada i tada itd. Medjutim podaci time nisu kompromitovani jer su kao kriptovani pohranjeni a sam ispis ne moze da se preuzme sa terminala.
Upoznajte trojanskog konja Agent.aa. Trojanski konj je vrsta malicioznog koda ciji posao je da se ubaci u sistem i ceka da bude aktiviran nekom radnjom. Tada pocne sa funkcijom za koju je napravljen, bilo da je u pitanju skupljanje podataka koje salje svom tvorcu ili unosenje drugog malicioznog koda u sistem (poput vec pomenutog rootkit-a). Otud i ime po cuvenom Odisejevom triku u opsadi Troje. Agent.aa je specifican trojanac. Dizajniran za racun ruske mafije ovaj programcic skuplja podatake od korisnika elektronskog bankarstva. Zarazeni racunar se nakaci na adresu neke banke koja je na listi trojanca, to ga aktivira i ovaj pocne da belezi svaki otkucaj na tastaturi racunara kako bi uhvatio pristupnu sifru i druge potrebne podatke za pljacku racuna i salje ih na adresu kriminalca.
Smesno, reci ce eksperti. To nema nikakvu aplikaciju na terminalu pozornika posto on i ne koristi nikakve pristupne sifre. Tako je, ali ovde sifre i ne bi bile cilj. CIlj su podaci. Porodica trojanaca Agent ima jos jednu funkcionalnost. Hvataju screenshot-ove pristupnih stranica sajova. Tako ako keylogger (funkcionalnost koja hvata svaki otkucaj na tastaturi) ne uhvati sifru, screenshot (slika ekrana) moze vizuelno da pokaze sta je korisnik otkucao (vidi attachment 1). Tako u trenutku kada nas pozornik cita podatke on ih i vidi na ekranu sto trojanac tipa Agent moze da uhvati kao sliku i istu posalje gde treba. U tom slucaju nema nikakve koristi od kriptovanja podataka jer trojanac ne krade podatke vec sliku ispisa istih na ekranu terminala u rukama pozornika.
Da podsetim, Agent ne postoji za Windows CE vec za Windows-e koje koristimo na nasim racunarima i serverima, ali koncept je poznat i jednostavan i moze da se primeni i za ovakvu specificnu namenu sto je Proof of Concept virus WinCE4.Duts (inace razvijen od ceske hakerske grupe 29a, iste koja je razvila mobilni virus Cabir i niz drugih) i dokazao.
Malo o samom operativnom sistemu Windows CE. To je, sa bezbednosne strane gledano, verovatno najbolji moguci izbor za operativni sistem rucnih terminala u ovom trentuku. Iako su Microsftovi operativni sistemi poznati po svojim sigurnosnim propustima, ovaj se ne moze ubrojati u tu grupu. Baziran je na Windows 95 kojem su skinuti sve nepotrebne linije koda i dodato nekoliko apleta potrebnih za funkcionisanje na mobilnim uredjajima i to je to. Virusi ne vole jednostavne sisteme, sto WCE svakako jeste. Sto je komplikovaniji i veci kod operativnog sistema ima vise sansi da se nadju propusti u istom. Problem je sto kod opisanih koriscenja postojecih malicioznih kodova, uopste nije bitno da li operativni sistem ima propuste ili ne. I to smo govorili o malicioznom kodu koji je namenjen za nesto drugo ali cije funkcionalnosti mogu da se iskoriste u nasem slucaju. A sta sve moze da napravi fokusirana ekipa kriminalaca i placenih hakera strasno je i zamisliti.
Samim tim price o “neprobojnosti” sistema padaju u vodu. Ne samo ovim sto smo izneli vec i iskustvom koje je pokazalo da takvi sistemi ne postoje. Narocito sto cifra od 100 miliona evra, koliko god impresivno zvucala, podrazumeva sav hardver, sve terminale, angazovanje strucnjaka i konsultanata, ceo sistem, provizije nasih zvanicnika (izvinjavam se ako ih nije bilo), zaradu Motorole…. Pentagon je u softver za zastitu svojih podataka od spoljnog upada u toku poslednjih 10 godina investirao preko 1,5 milijardi dolara. Samo u softver a da ne pricamo o hardveru. I opet im je klinac iz Splita pre nekoliko godina upao u sistem, kako smo citali po svim novinama. Zastita sistema nuklearnih centrala je na najvisem nivou. MyDoom virus ih je poobarao kao golubove 2003. godine. Niz slucajeva mozete naci jednostavnim pretrazivanjem na Internetu.
I dok ovaj tekst obradjuje manje verovatan scenario, upad u sistem spolja, deluje zabrinjavajuce. Sledeci tekst govorice o pravoj pretnji po sigurnost podataka a to je upad iznutra primenom socijalnog inzenjeringa, terminom koji je izmislio najpoznatiji haker na svetu, Dejvid Mitnik.”