Tag Archives: security theater

KISS – keep it simple, sweetheart!

“Compliance” za wszelką cenę, tylko nie wiem z czym.

Tak było

Historia zaczyna się tak, że w ramach wymiany uprzejmości z producentem urządzenia, innym słowy – zgłoszenia (ticketu) z supportem, nastąpiła konieczność przesłania pliku – od producenta do klienta. Zazwyczaj odbywało się to bez wielkich ceregieli – plik był dołączany do zgłoszenia, pobierany przez (uwierzytelnionego) odbiorcę przy użyciu przeglądarki, transmisja szyfrowana na poziomie protokołu TLS. Proste, działające rozwiązanie.

Przyszło nowe.

Tym razem klient pobrał – zwyczajową techniką – plik (dokument z rozszerzeniem .docx), a po jego otworzeniu w skojarzonym programie MS Word jego oczom ukazał się zaskakujący widok:

Jako że domena wydawała się podejrzana, do tego link po http, postanowił zasięgnąć języka. Po odpytaniu whois niby jest światełko w tunelu (serwery DNS)…

Domain Name: CAPSULEDOCS.COM
Registry Domain ID: 1949652212_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.domainthenet.com
Registrar URL: http://www.DomainTheNet.com
Registrar: Domain The Net Technologies Ltd.
Registrar IANA ID: 10007
Registrar Abuse Contact Email: abuse@dtnt.com
Registrar Abuse Contact Phone: 972-3-7600500
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS4.CHECKPOINT.COM
Name Server: NS9.CHECKPOINT.COM
DNSSEC: unsigned

… ale próba wymuszonego połączenia po https (w celu podejrzenia certyfikatu) zakończyła się (optymistycznym) błędem:

* Server certificate:
* subject: CN=ds.checkpoint.com,OU=MIS-US,O=Check Point Software Technologies Inc.,L=San Carlos,ST=California,C=US
* start date: Apr 05 00:00:00 2016 GMT
* expire date: May 04 23:59:59 2018 GMT
* common name: ds.checkpoint.com
* issuer: CN=Symantec Class 3 Secure Server CA – G4,OU=Symantec Trust Network,O=Symantec Corporation,C=US
* NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)

Postanowiliśmy sięgnąć do bazy wiedzy producenta. Znalazły się w niej również artykuły opisujące rozwiązanie zastosowane do zabezpieczenia pliku. Artykuł w bazie wiedzy odsyła dla odmiany do domeny securedoc.cc po oprogramowanie niezbędne do otwarcia pliku. Próbujemy więc ponownie.

Domain Name: SECUREDOC.CC
Registry Domain ID: 109699115_DOMAIN_CC-VRSN
Registrar WHOIS Server: whois.domainthenet.com
Registrar URL: http://www.DomainTheNet.com
Registrar: DOMAIN THE NET TECHNOLOGIES LTD.
Registrar Abuse Contact Email: abuse@dtnt.com
Registrar Abuse Contact Phone: 972-3-7600500
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.DTNT.INFO
Name Server: NS2.DTNT.INFO
Name Server: NS3.DTNT.INFO
DNSSEC: unsigned

W sumie jest gorzej, bo nazwa producenta w rekordzie whois nie pojawia się nigdzie. Próba połączenia po https:

* About to connect() to securedoc.cc port 443 (#0)
* Trying 62.219.91.45…
* Connection refused
* Failed connect to securedoc.cc:443; Connection refused
* Closing connection 0
curl: (7) Failed connect to securedoc.cc:443; Connection refused

W akcie desperacji pomacaliśmy po http:

HTTP/1.1 301 Moved Permanently
Location: https://ds.checkpoint.com/ds-portal/desktop

Jest! Nareszcie URL, który wygląda przyzwoicie. Jest https, jest nazwa producenta, Certyfikat się zgadza. Ameryka!

Teraz to już z górki…

Teraz wystarczy “tylko” pobrać oprogramowanie, którego nie potrzebujemy, zainstalować na komputerze, na którym użytkownik nie ma uprawnień do instalacji oprogramowania i  wygenerowany sztucznie problem zostanie bohatersko rozwiązany?

Nie wiem, dlaczego akurat taki, a nie inny pomysł. To znaczy jedyna sensowna odpowiedź, to próba “podprogowego” marketingu tego konkretnego produktu. Niestety wykonanie kiepskie, grupa docelowa na taki security theater też sie nie nabiera, a w rezultacie cierpi użytkownik końcowy, który czeka na instrukcje zapisane w tym nieszczęsnym pliku…