Piotr Oleksiewicz
Pojęcie End to End (E2E) Security ma swój rodowód w systemach teleinformatycznych i dotyczy bezpieczeństwa wymiany informacji cyfrowej na różnych warstwach interakcji między człowiekiem a systemem oraz między podsystemami/elementami systemu.
Komunikacja szyfrowana jest domeną nie tylko połączeń TCP/IP. W systemach zabezpieczeń stosuje się połączenia zarówno kablowe, jak i bezprzewodowe (radiowe), którymi wymieniane są istotne z punktu widzenia bezpieczeństwa dane. Niestety nie zawsze są to połączenia szyfrowane. Na etapie projektowania czy wyboru rozwiązania warto dokonać analizy, pomiędzy którymi elementami systemu zabezpieczeń będzie zachodzić wymiana informacji. W systemach SSWiN np. najbardziej pierwotnym sposobem zabezpieczenia komunikacji między centralami/rozszerzeniami a elementami peryferyjnymi jest parametryzacja linii, informująca o tym, czy sam element bądź okablowanie nie zostało zmienione, by dostarczać fałszywe sygnały lub, częściej, nie informować o naruszeniu.
W systemach kontroli dostępu, oprócz transmisji informacji z elementów peryferyjnych, jest wiele innych transmisji danych, które są podatne na cyberataki i muszą być zabezpieczone:
- komunikacja między kartą a czytnikiem,
- komunikacja między czytnikiem a kontrolerem,
- komunikacja między kontrolerem a ekspanderem,
- komunikacja między kontrolerem a jednostką zarządzającą,
- komunikacja między jednostką zarządzającą a stacjami operatorskimi,
- komunikacja między stacją operatorską a jej urządzeniami.
To tylko część elementów wymagających zabezpieczenia. System zabezpieczeń jest zazwyczaj aplikacją, do której loguje się operator, i już sam ten proces można łatwo i skutecznie zaatakować. Aplikacje coraz częściej oferują możliwość zastosowania standardów logowania wieloskładnikowego, co w połączeniu z możliwością wymuszenia na operatorach polityki częstych zmian złożonych haseł pozwala uznać warstwę aplikacji za relatywnie bezpieczną.
Wróćmy jednak do systemów kontroli dostępu. Każdy użytkownik systemu KD posiada kartę lub inny nośnik informacji, który go identyfikuje w systemie. Karta jest najbardziej podatnym na manipulację elementem systemu, głównie dlatego, że zgubiona lub skradziona może zostać użyta przez osobę, która nie jest jej właścicielem. Tutaj z odsieczą przychodzą mechanizmy weryfikacji wspierające identyfikację – np. informacja zapamiętana (PIN) lub trudniejsze do kradzieży dane biometryczne, które potwierdzą tożsamość posiadacza karty. Kradzież karty należy niezwłocznie zgłosić, by skrócić do minimum okres, w którym może zostać użyta przez niepowołaną osobę. Co jednak w sytuacji, gdy zostanie skradziona nie fizyczna karta, a jedynie informacje na niej zawarte? Dużo można opowiadać o używaniu do identyfikacji seryjnych numerów kart, słabościach metod szyfrowania informacji na kartach czy technologiach kartowych, które łatwo skopiować (np. urządzeniem dostępnym na portalach aukcyjnych już od kilkudziesięciu złotych).
Ograniczę się do stwierdzenia, że karta stosowana w naszym systemie KD powinna być dobrze zabezpieczona – technologia kartowa używana w naszym systemie KD powinna być nieskompromitowana oraz powinna wykorzystywać mechanizm szyfrowania asymetrycznego przy wymianie informacji między czytnikiem a nośnikiem informacji identyfikującej. Warto też pomyśleć o bezpieczeństwie warstwy fizycznej E2E i rozważyć, np. czy na karcie powinno się drukować informacje mogące nakierować jej „znalazcę” do odpowiednich drzwi. Może należałoby pozostać przy zdjęciu i numerze identyfikacyjnym, jeśli w ogóle nadruk jest konieczny?
Innym elementem, w aspekcie bezpieczeństwa kart oraz czytników KD, jest ich podatność na popularne ataki typu „relay” (przekaźnik). Gdy już uda się nam bezpiecznie dostarczyć informację do czytnika KD, ten musi w bezpieczny sposób przekazać ją do kontrolera. Większość czytników kontroli dostępu komunikuje się z kontrolerem za pomocą protokołu komunikacyjnego Wiegand – „wiecznie żywego”, a przecież archaicznego sposobu przezroczystej wymiany informacji w formie impulsów o określonej amplitudzie i częstotliwości. Łatwej do podsłuchu i replikacji. Wychodząc naprzeciw potrzebie szyfrowania tego kanału komunikacji, we współczesnych systemach stosuje się czytniki komunikujące się po szyfrowanym protokole RS485, niekiedy przybierającym formę otwartych standardów (np. OSDP v2).
Niektórzy producenci idą o krok dalej i stosują klucze odczytu kart w taki sposób, by przechowywane były po zabezpieczonej stronie – na kontrolerze. Dzięki temu sam czytnik, który znajduje się po niechronionej stronie, jest mniej podatny na ataki, np. metodami wstecznej inżynierii. W którym momencie zaczyna się E2E w aspekcie bezpieczeństwa w przypadku czytników, pozostawiam Państwa ocenie.
Kontroler/centrala/kamera to najczęściej komputer z systemem operacyjnym i ma wszystkie te same podatności co system na nich pracujący. Najważniejszą rzeczą, o której należy wspomnieć w aspekcie bezpieczeństwa urządzeń, jest konieczność zmiany domyślnych haseł producenta. Jeśli pozostaną domyślne, może to spowodować, że do urządzenia będą mogły uzyskać dostęp osoby nieupoważnione. Istnieją metody autoryzacji poszczególnych urządzeń („namaszczenia” do pracy w danej instalacji), które, abstrahując od zarządzania hasłami, uniemożliwiają ich fizyczną podmianę. Kontroler wymienia dane z jednostką centralną – najczęściej z serwerem aplikacyjnym.
Komunikacja ta zazwyczaj jest realizowana po sieci TCP/IP i może być zabezpieczona zgodnie ze standardami szyfrowania TLS. Nieszyfrowana komunikacja może być podsłuchana i przechwycona. Same certyfikaty często są dostarczane przez producenta oprogramowania do zabezpieczeń i są domyślne. Aby zabezpieczyć się na tym odcinku, należy użyć własnych certyfikatów.
Podobnie zabezpieczona jest komunikacja serwera ze stacjami operatorskimi. Jednak powszechna zielona kłódka w oknie przeglądarki może dawać jedynie złudzenie bezpiecznej komunikacji, jeśli pozostaniemy przy domyślnych certyfikatach aplikacji. Tylko wymiana ich na prywatne zapewni, że nikt nie podsłucha nas na drogach między kontrolerem/serwerem/stacją operatorską.
Kontrolery rzadko występują jako samodzielne urządzenia. Zazwyczaj są do nich podłączane rozszerzenia, do których można podłączać kolejne i następne drzwi. Połączenie między kontrolerem a rozszerzeniem to najczęściej połączenie RS485 lub CAN. Rozpatrując mechanizm E2E w naszym systemie KD, musimy zastanowić się, czy taka architektura umożliwia szyfrowanie każdego połączenia, również magistralowego.
Gdy, jak sądzimy, zaszyfrujemy już całą drogę komunikacji, to spokojnie zasiadamy do stacji operatorskiej (autoryzowanej na warstwie sieciowej do użycia tylko z tego gniazda przełącznika sieciowego na adresie IP, z którego jedynie operator „Jan Kowalski” może połączyć się z aplikacją KD) oraz wpisujemy swoją nazwę użytkownika i hasło. Nie wiemy natomiast tego, że wieczorem anonimowa osoba z serwisu sprzątającego, posługująca się przepustką KD „serwis sprzątający 2” założyła na naszą klawiaturę podsłuch USB, który przechwycił nasze dane logowania. Następnego dnia okazuje się, że w tajemniczy sposób operator Jan Kowalski po godzinie 22:00 udzielił dostępu z poziomu aplikacji do pomieszczenia „Główna Serwerownia” zakapturzonemu pracownikowi serwisu sprzątającego, posługującego się wcześniej kartą obecną w systemie jako „serwis sprzątający 1”…
Według koncepcji E2E – od początku do końca – w aspekcie bezpieczeństwa mamy wrażenie, że system zrobi za nas wszystko i nie musimy się o nic martwić. Jednak nic nie dzieje się samo i oprócz bezpieczeństwa elektroniki, której zasad można się na bieżąco uczyć (często na błędach) są jeszcze warstwy fizyczna i ludzka, których nie można pomijać. I na jednym, i na drugim końcu E2E Security znajdują się ludzie.
 |
|
