Włamania do systemów kontroli dostępu
a&s International
Solidny system kontroli dostępu jest istotnym elementem każdej organizacji, jednak z różnych powodów często jest on łatwy do sforsowania. Podczas tegorocznych targów ISC West w Las Vegas Valerie Thomas, Executive Security Consultant w firmie Securicon, przybliżyła sposoby stosowane przez hakerów do przełamywania systemów kontroli dostępu i wskazała, co powinny zrobić firmy, aby uchronić się przed atakami.
Systemy kontroli dostępu stanowią istotny element każdego systemu bezpieczeństwa firmy. Kontrola dostępu – kto, do czego oraz gdzie i kiedy ma dostęp – przyczynia się do zapewnienia bezpieczeństwa, jednocześnie umożliwiając śledzenie i kontrolowanie tego rodzaju aktywności. Niestety firmy często wdrażają systemy bez odpowiedniego przetestowania, w efekcie powstają luki w zabezpieczeniu, co naraża je na ataki.
Valerie Thomas, Executive Security Consultant w firmie Securicon, podaje przykłady podatności systemów kontroli dostępu (KD) w firmach na ataki i podpowiada, jak można tym atakom zapobiegać.
Ignorowanie cyberprzestrzeni
Podczas projektowania i implementacji systemu KD cyberataki często nie są nawet brane pod uwagę. System ten w znacznym stopniu opiera się na IT, natomiast – nad czym ubolewa Valerie Thomas – branża zabezpieczeń cierpi na braki wiedzy i zrozumienia technologii informatycznych. System KD jest zazwyczaj instalowany przez podwykonawcę, który kończy swoją pracę z chwilą ukończenia instalacji, ale nawet podczas realizacji tego zlecenia obszar bezpieczeństwa jest najczęściej pomijany. Systemy te opierają się na technice cyfrowej i rozwiązaniach sieciowych, ale w ich projektowanie, tworzenie i zarządzanie rzadko są angażowani eksperci z dziedziny cyberbezpieczeństwa.
Mamy do czynienia z sytuacją, w której za poszczególne elementy odpowiadają różne osoby, ale zwykle nikt nie patrzy na problem całościowo – wskazuje V. Thomas.
Zwraca jednocześnie uwagę, że próba zabezpieczenia przed jednym tylko typem ataku hakerskiego nie zabezpieczy użytkowników końcowych. Skupiając się wyłącznie na najnowszych i najsilniejszych metodach uwierzytelniania i technologii wykonania kart, inne elementy systemu pozostają otwarte i podatne na ataki, a to tylko zwiększa ryzyko. Dlaczego tak się dzieje? Zdaniem V. Thomas w branży brakuje specjalistów, których szeroka wiedza obejmuje zagadnienia z różnych dziedzin. Bez udziału eksperta od bezpieczeństwa sieci komputerowych, który wesprze tworzenie systemu KD i zadba o zastosowanie odpowiednich środków bezpieczeństwa, powstała sieć wprowadza do systemu słabe punkty, sprawiając, że staje się on łatwym celem hakerów.
Ataki hakerów na systemy KD
Jest wiele sposobów dokonywania ataków na system KD – zarówno wyszukanych, jak i nieskomplikowanych. W rzeczywistości większość z nich nie jest skomplikowana. Specjaliści do spraw bezpieczeństwa powinni więc zrobić wszystko, by współtworzona przez nich sieć była bezpieczna, a system kontroli dostępu chroniący firmę zabezpieczony przed atakami.
Proxmark 3
Jest reklamowany jako przyrząd do badania systemów komunikujących się radiowo (RFID) lub z wykorzystaniem technologii NFC (Near Field Communication – technologia bliskiego zasięgu). Nawet pobieżne wyszukiwanie w Internecie przynosi dziesiątki wyników o sposobach klonowania kart RFID za pomocą tego narzędzia. Nie wymaga to ani pogłębionej wiedzy hakerskiej, ani znajomości technologii. Wystarczy, że zestaw nawiąże komunikację z kartą kontroli dostępu. Aby z niego skorzystać, trzeba dysponować źródłem zasilania i anteną – może to więc wzbudzić podejrzenia, dlatego nie jest to najskuteczniejszy sposób wykradania danych kart.
BLEKey
To niewielkie urządzenie, które nawiązuje połączenie z czytnikiem RFID dzięki podłączeniu do ścieżek transmitujących dane w formacie Wiegand. Wystarczy je podłączyć do trzech przewodów; zasilanie pochodzi z czytnika. Po nawiązaniu połączenia BLEKey przechwytuje dane karty, które są przez czytnik odczytywane. Korzystając ze standardu BLE (Bluetooth Low Energy), urządzenie można zsynchronizować z aplikacją na telefon i wywołać powtórzenie ostatniej operacji odczytu karty.
Ta metoda ataku obnaża brak szyfrowania protokołu Wiegand, który jest stosowany w czytnikach kontroli dostępu. Aby uniemożliwić hakerom podłączenie BLEKeya, użytkownicy powinni zainstalować w czytniku alarm przeciwsabotażowy, który powiadomi o próbie włamania.
Urządzenia typu REX (Request to Exit)
V. Thomas podkreśla, że urządzenia REX nie zawsze są „inteligentne”, zatem włamanie się do nich może być dość proste. Wiele urządzeń REX wykorzystuje detekcję ruchu zamiast przycisku umożliwiającego wyjście. Choć dzięki temu opuszczenie danego obszaru jest jeszcze mniej skomplikowane, to tak samo łatwe jest obejście tych urządzeń. Aby aktywować detektor ruchu otwierający drzwi, wystarczy wsunąć pod drzwiami jakiś przedmiot, np. wieszak na ubrania czy balon. Urządzenie REX wykryje ruch w pomieszczeniu, a wejście intruza nie zostanie odnotowane. Jeden ze sposobów, w jaki można zapobiec tego typu atakom, to podniesienie wiązki detektora.
Pozyskiwanie kodów kontroli dostępu
Zabezpieczenie sieci, w której działa system KD, stanowi krytyczny element zabezpieczenia tego systemu. Niewystarczająca znajomość zagadnień IT i środowiska komputerowego podczas instalacji często powoduje pozostawienie luk. Hakerom wystarczy włamanie się do kontrolera systemu KD, by odczytać w zasadzie dowolne informacje potrzebne do przejęcia kontroli nad całym systemem. Takie informacje, jak dane obszaru będącego pod nadzorem danego kontrolera, adresy IP innych kontrolerów i serwerów, numery kart i dzienniki logowań czy hasła – wszystko to można zdobyć z jednego systemu KD. V. Thomas zauważa, że wiele kontrolerów obsługuje anonimowy dostęp do FTP-a, co czyni system podatnym na atak (nawet jeśli FTP jest stosowany wyłącznie jako backup).
Serwer
Serwerem systemu kontroli dostępu opiekuje się zazwyczaj firmowy dział IT, który traktuje go jako jeden z wielu innych serwerów. V. Thomas podkreśla, że na serwerze DNS serwer systemu KD jest często opisany jako „kontrola dostępu”, więc jest łatwy do zidentyfikowania.
W obszarze poza siecią firmową V. Thomas zwraca uwagę na narzędzie Shodan – wyszukiwarkę, która pozwala odnajdywać „dziurawe” serwery. Shodan, zwany też „Google dla urządzeń sieciowych”, wyszukuje podłączone do Internetu routery, serwery itd. Strona ta jest najczęściej wykorzystywana przez specjalistów ds. bezpieczeństwa do wykrywania luk w zabezpieczeniu. Korzystają z niej jednak również hakerzy, by uzyskać dostęp do niedostatecznie strzeżonych sieci.
Edukacja i ochrona
Atakom na systemy KD można zapobiec.
Od strony informatycznej jest to w znacznej mierze kwestia konfiguracji. Można dokonać łatwej segmentacji w ramach sieci, a następnie zastosować podstawowe metody kontroli bezpieczeństwa sieciowego, co zamknie drogę takim atakom z wielu różnych źródeł – wyjaśnia V. Thomas.
Ważną sprawą jest edukacja użytkowników konieczna w zapewnieniu systemowi KD odpowiedniej ochrony. Dotyczy to nie tylko specjalistów ds. bezpieczeństwa w firmie, ale także innych pracowników, w tym pracowników ochrony. Często zapomina się o przeszkoleniu personelu ochrony i pozostałych pracowników działów zabezpieczeń technicznych z zakresu ataków kierowanych przeciwko systemom.
Świadomość rodzajów ataków, na które podatny jest system KD, podejmowanie odpowiednich kroków w celu zabezpieczenia systemów od strony sieciowej oraz edukacja użytkowników chronionych organizacji to narzędzia niezbędne do zabezpieczenia systemów przed atakami w przyszłości.