СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Блоги
Газинформсервис
2 часа назад
#Статьи #ИБ#Инфра

Защита от атак на системы контроля доступа (СКУД): клонирование пропусков, уязвимости в системе и переход на современные стандарты

Защита от атак на системы контроля доступа (СКУД): клонирование пропусков, уязвимости в системе и переход на современные стандарты

Изображение: recraft

Вы можете вкладывать миллионы в железные двери последнего поколения, внедрять жесткие замки и кучу проходных, обкладывать каждый угол — однако всё это теряет смысл, когда охранник пропускает злоумышленника в ваш офис «на добром слове».

В настоящее время вопрос обеспечения физической безопасности зачастую остается «слепым пятном» для ИБ-департаментов, привыкших делать упор на защиту сетевого периметра и закрытие уязвимостей. Иначе говоря, в информационной безопасности многих компаний наблюдается тенденция, когда системы контроля и управления доступом (СКУД) воспринимаются как автономная «железка» на двери при входе в офис, работающая по принципу «впускать-выпускать». Однако на деле данные системы представляют собой сложную цепочку элементов, имеющих свои «дыры» безопасности и пути проникновения злоумышленника.

В общем виде так называемая «цепочка поставок» любых СКУД состоит из следующих компонентов:

Идентификатор — Считыватель — Контроллер — Сервер — Человек.

И эта цепочка способна «порваться» в самом слабом звене.

В статье мы на примерах разберем технические бреши современных систем контроля и управления доступом для каждого из составляющих их компонентов, поговорим про используемые злоумышленниками пути их обхода за счет методов социальной инженерии, предложим варианты повышения защищенности физической безопасности компаний.

1. Уровень идентификатора или цифровой ключ в открытом доступе

Проблема физической безопасности зачастую начинается в кармане сотрудника, который носит с собой уязвимые пропускные карточки и/или активно ими делится, зачастую неосознанно. Дело в том, что многие компании до сих пор используют устаревшие и уязвимые Legacy-стандарты идентификации, такие как EM-Marine и Mifare Classic.

  • EM-Marine (125 кГц): отсутствует шифрование, отчего возможна реализация банального дистанционного считывания (скимминг) карточки, например в общественном транспорте с помощью скрытых ридеров в рюкзаке. Если говорить более предметно, то уязвимость стандарта EM-Marine заключается в том, что карта ничего не шифрует и не вычисляет, а просто циклично транслирует в эфир свой уникальный идентификатор (UID) в открытом виде. В результате любой злоумышленник «с антенной» может перехватить этот радиосигнал с расстояния в несколько десятков сантиметров и за пару секунд записать перехваченный UID на «пустую болванку» (например, чип T5577).
  • Mifare Classic (13.56 МГц): в наши дни имеет скорее иллюзию шифрования, нежели надежную защиту. Используемый стандарт шифрования (Crypto1) легко взламывается, что впоследствии позволяет создать полный дамп карты-пропуска. Говоря более предметно, на момент своего появления данный стандарт считался надежным, так как использовал проприетарный алгоритм шифрования — Crypto1. Однако данный алгоритм был математически взломан еще в 2008 году, отчего в наши дни для извлечения секретных ключей (секторов) с такой карты не нужно дорогое оборудование — например, с помощью утилит типа Proxmark3 или смартфона с NFC-модулем спокойно реализуются атаки типа Nested или Dark-side, позволяющие вытянуть ключи и полностью сдампить память карты за несколько минут.

Все это в свою очередь может привести к следующим направлениям атак на СКУДы:

  1. Клонирование за секунды: осуществляется, когда карты передают свой ID в открытом виде. В данном случае «скиммер» стоимостью в пару тысяч рублей позволяет скопировать индивидуальный код карты легитимного пользователя в лифте или очереди в столовой, просто находясь рядом с жертвой.
  2. OSINT кейсов «селфи с бейджем»: одним из актуальным вектором получения информации злоумышленником являются социальные сети. В данном случае, ключевой целью являются сотрудники, выкладывающие фото своих пропусков в профили, не осознавая, что по качественному снимку злоумышленник может не только идентично восстановить дизайн карты для визуального обмана охраны, но и считать данные, если на фото виден штрих-код или специфическая маркировка.
  3. Вторичный рынок б/у-пропусков: сотрудникам безопасности компании не стоит забывать и про риск продажи или «аренды» пропусков уволенными, недовольными или финансово мотивированными сотрудниками. В то же время иногда случается и так, что бывшему сотруднику банально забывают отозвать пропуск, или отзыв привязан только к конкретной физической карте, а не к цифровому идентификатору. И в этом случае система видит легитимное событие прохода на территорию предприятия, хотя в здание заходит посторонний человек.

Таким образом, использование устаревших технологий для физических карт сводит взлом периметра вашей компании в решение банальной задачи «Ctrl+C — Ctrl+V», а уязвимый пластик в кармане вашего сотрудника становится «дырой в заборе» для любых железных ворот на входе.

Процесс получения и/или подделки пропуска зачастую завязан не только на стандартах хранения данных и шифровании, но и на человеческом факторе, или иначе говоря — когда злоумышленники обходят систему защиты через психологию и социальную инженерию. Про процесс получения пропуска и прохода на территорию без его наличия через «взлом» человеческого фактора будет рассказано далее в статье.

2. Аппаратный хакинг, или Перехват Wiegand через «жучки» в стенах

Даже если карточка пропуска надежно защищена современными алгоритмами шифрования (например, AES), то атакующий может перейти к следующему более уязвимому компоненту СКУД, а именно — осуществить физическое подключение к оборудованию за счет MITM. Зачастую реализации такого подхода способствуют следующие факторы риска:

  • Уязвимости протокола Wiegand: до сих пор имеется немало считывателей, «общающихся» с контроллером по протоколу Wiegand. Данный протокол является стандартом 80-х годов прошлого века, в котором отсутствует шифрование и аутентификация. Злоумышленник может физически вскрыть корпус ридера и установить туда свой «имплант» (например, ESPKey). В итоге такой «жучок» сможет перехватывать данные карт в режиме реального времени и позволит удаленно открывать двери в вашу компанию.
  • Сетевые дыры и отсутствие сегментации (DMZ): зачастую системные администраторы подключают контроллеры СКУД к общей корпоративной сети без использования какой-либо сегментации и изолированности компонента физической безопасности. И если контроллер СКУД оказывается в уязвимой сети в результате такой «халатности», то атакующий может получить доступ к командам открытия замка (например, на реализацию так называемого «режима пожара») через «прозвон» офисных портов или любую другую уязвимость сетевого периметра.
  • «Открытая» проводка и физические интерфейсы RS-485: зачастую монтажники при подключении СКУД выводят провода, соединяющие внешний считыватель и внутренний контроллер в слаботочные щитки, которые доступны в общих коридорах бизнес-центров, «прячут» их за хлипкими пластиковыми коробами или, что хуже, вообще размещают их до зоны турникетов. И если эти линии связи (даже на базе RS-485) не используют шифрование, злоумышленнику достаточно всего на пару минут получить физический доступ к проводке, чтобы подключить сниффер или напрямую отправить контроллеру команду на открытие реле.

Таким образом, аппаратный хакинг наглядно показывает нам, что слепо доверять периферийным устройствам (ридерам, проводам и т. д.) так же опасно, как и незашифрованным картам. А самое критичное здесь то, что данные аппаратные уязвимости и установленные в сеть «жучки» могут не только стать средством для открытия конкретной двери, но и выступить физической точкой входа во внутреннюю сеть компании, что впоследствии позволит злоумышленнику проникнуть до самого «сердца» инфраструктуры.

3. Серверная часть или критические уязвимости ПО и цепочки поставок как катализатор для атак на СКУД

СКУД — это не только про «карточки» и «считыватели», это ещё и софт, работающий на серверах под управлением Windows или Linux. И на данном компоненте комплексной системы физической безопасности мы также имеем дело с классическими ИТ-угрозами.

  1. OWASP Top 10: веб-интерфейсы управления СКУД часто содержат уязвимости из списка OWASP: нарушение контроля доступа, инъекции, использование компонентов с известными уязвимостями, недостаточное журналирование и т. д. позволяют атакующему получить права администратора системы контроля и управления доступом и впоследствии при помощи них открыть физические двери в вашу компанию.
  2. CVE и CWE: уязвимости в ПО и СУБД (SQL-серверах), где хранятся списки сотрудников, аутентификаторы, логи доступа и т. д. представляют собой прямой путь к полной компрометации легитимного пользователя. Наличие «незапатченных» CVE и CWE на серверной части СКУД позволяет их проэксплуатировать и иметь последствия, аналогично представленным ранее OWASP Top 10.
  3. Минимализм в администрировании: использование дефолтных учетных записей и паролей (admin:password), хранение технической информации «на стикерах» у компьютера на проходной, отсутствие сегментации сети (подробнее разобрано ранее) и многофакторной аутентификации, ослабленное понимание у сотрудников службы физической безопасности принципов ИБ в целом — все это способно сгенерировать новые угрозы даже на хорошо защищенных с технической стороны серверах.

Таким образом, с технической стороны мы наблюдаем четкий вектор атаки злоумышленника на СКУД — от банального клонирования пластика и установки жучка до полномасштабной эксплуатации CVE на серверах и базах данных СКУД. Однако реализация любых технических атак, от сниффинга Wiegand до SQL-инъекций, требует от нарушителя специфических знаний, оборудования и времени, необходимость тратить ресурсы на поиск уязвимостей в сервере или пайку жучков.

О том, как выстроить грамотную защиту технической составляющей СКУД, мы подробно разберем в конце статьи, а сейчас перейдем к одному из самых распространенных векторов атак, против которого бессильна любая криптография и железная дверь, а именно — человеческому фактору и социальной инженерии. Дело в том, что на практике аудиторов зачастую бывает так, что проникновение в компанию начинается не со сканирования сети через «энмапчик» (nmap), а через душераздирающую историю охраннику про «съеденный собакой» пропуск.

4. Социальная инженерия, или Почему «взломать» человека проще, чем замок

Ключевой момент всех взломов и проникновений злоумышленников в технические системы заключается в том, что даже самая совершенная защита с шифрованием «везде и вся» при полном покрытии карты уязвимостей оказывается бессильной перед человеческим фактором: невежеством, глупостью, чрезмерной вежливостью и добротой. Иначе говоря, совершенно непробиваемый СКУД с современным шифрованием, изоляцией и биометрией можно обойти, если его «физический администратор» (охранник, вахтер) пропускает людей «на добром слове» или не следит за состоянием системы (логами) — кто прошел, когда прошел и т. д.

Как специалист в области ИБ, знакомый с процессом аудита компании, выделю основные кейсы, которые используют злоумышленники и при помощи которых мы тестируем безопасность компании на этапе физического доступа:

  • Проход «на хвосте»: классический способ прохода вместе с легитимным пользователем без раскрытия себя для технической части системы. И если проход «паровозиком», скорее, работает в метрополитене, то в офисе он распространен не сильно, но вполне срабатывает в период большой текучки у проходной, например в начале рабочего дня. Тут шанс успешной реализации повышается за счет того, что при низком уровне контроля со стороны «вахтера» действие может остаться незамеченным. Однако риск быть пойманным тут слишком высок, поэтому большее распространение имеет следующий кейс.
  • Проход «на добром слове»: срабатывает лучше предыдущего кейса, поскольку подход заключается не в том, чтобы «незаметно пройти» через систему, а обманом вынудить её саму «открыть двери». Например, злоумышленник вооружается коробками в руках или стаканами с кофе, тем самым демонстрируя невозможность собственноручно открыть проход. И тут с большей долей вероятности, чем в предыдущем кейсе, сотрудники из чувства вежливости придержат дверь или приложат свой пропуск перед человеком, который выглядит «своим» или просто занят. Также немаловажным для социального инженера в этом случае является «поймать момент», когда обратиться с данной просьбой, которым обычно также выступает так называем «час-пик» или занятость сотрудника безопасности другим процессом.
    Как это работает: попробуйте в момент разговора с собеседником протянуть ему что-нибудь в руки, и с большей долей вероятности он это возьмет машинально. Тут аналогично — когда «коллега» торопится к себе в кабинет, а охранник у проходной говорит по важному делу по служебному телефону, то они аналогичным образом машинально откроют вам дверь.
  • Проход через «театр безопасности»: суть заключается в том, что проход злоумышленника на территорию начинается через поддельное удостоверение или муляж пропуска, которые естественно с технической стороны не должны сработать. И далее вступает социальная инженерия: если охранник видит уверенного человека, у которого «что-то почему-то не срабатывает», при этом он убедительно вещает, что «работает тут 5 лет на 3 этаже правого крыла», то сотрудник безопасности с большой долей вероятности пропустит его «на добром слове», либо по формальному документу (паспорту, водительскому удостоверению), даже не сверив данные с базой и не убедившись в их оригинальности.
  • Проход через купленный доступ: как и говорили ранее, встречаются случаи, когда сотрудники продают данные своих пропусков или иную информацию о доступе в компанию. Также в некоторых случаях заинтересованные сотрудники могут намеренно оставить двери открытыми или «закрыть глаза» на проход нелегитимного пользователя. Однако тут стоит уточнить и то, что такие сотрудники, содействующие злоумышленникам, осознают риски соучастия в нарушении, и найти готового пойти на такой риск не самая простая задача, отчего способы обмана сотрудников службы безопасности через человеческий фактор все же являются наиболее распространенными.

Таким образом, ключевая цель применения социальной инженерии — это сотрудники безопасности, охранники и вахтеры, обладающие повышенными привилегиями в СКУД, а любая даже самая совершенная техническая защита может закончиться там, где вступает в силу человеческий фактор.

5. Эволюция защиты СКУД, или Внедрение Zero Trust в физическом мире

Чтобы СКУД перестал быть доступной точкой входа для злоумышленника, необходимо применять комплекс мер, способных покрыть описанные выше «дыры»:

  1. Защита процесса обработки и передачи данных: Отказ от Wiegand в пользу защищенного протокола OSDP, использующего шифрование AES-128, обеспечит невозможность использовать «соскамленные» ридером данные пропуска, а использование карт стандарта Mifare DESFire или мобильных идентификаторов с аппаратным хранением ключей позволит минимизировать риск «считывания» карт.
  2. Эшелонированная защита: внедрение биометрии как второго фактора идентификации пользователя для критических зон компании (серверные, хранилища и т. д.) сильно усложнит возможность проникновения в них нелегитимных пользователей, даже в случае наличия у них физического пропуска.
  3. Применение патч-менеджмента: регулярное обновление серверного ПО и устранение на нем уязвимостей (CVE), а также аудит конфигураций по чек-листам OWASP позволит защитить компоненты хранения и обработки данных СКУД от проникновения злоумышленника и последующего захвата доступа от вашей физической защиты.
  4. Работа с персоналом: постоянное обучение и осведомление персонала в вопросах информационной безопасности и ответственности за содействие злоумышленникам позволит минимизировать уязвимость человеческого фактора, который является «мощной лазейкой» даже в идеально защищенные технические системы. Иначе говоря, сотрудники должны четко осознавать, что придержать дверь незнакомцу — это не вежливость, а прежде всего инцидент безопасности, способный привести к серьезным последствиям и ответственности.

Таким образом, системы контроля и управления доступа (СКУД) — это не просто «замок на двери», а первичный рубеж защиты цифрового периметра компании. И все компоненты в нем должны быть защищены. Иначе говоря, вы можете выстроить идеальную сегментированную сетевую безопасность, но система все равно окажется бессильной, если злоумышленник сможет физически зайти в серверную через оставленную открытой дверь, и получить полный доступ к вашей инфраструктуре, минуя хорошо настроенные и стабильно работающие межсетевые экраны, антивирусы и IDS/IPS на входе в локальную сеть.

Автор: ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: