Перчатка брошена. К барьеру, господа! РАУНД ТРЕТИЙ | Журнал ТЗ | Статьи, обзоры, аналитические материалы - Перчатка брошена. К барьеру, господа! РАУНД ТРЕТИЙ .

Автор: Андрей КАТРЕНКО, коммерческий директор компании «Смарт Секьюрити»
Перчатка брошена. К барьеру, господа! РАУНД ТРЕТИЙ
(Продолжение. Начало в № 1, 2 – 2012)

РАУНД ТРЕТИЙ
Вопросы ведущего
Правда, ведущего, как такового, у нас нет, поэтому позволю себе наглость задать пару вопросов от его имени.
Я специально оставил пару провокационных вопросов (по одному на каждого участника) на третий раунд, поскольку именно они наверняка вызовут самые ожесточенные споры. Итак...

ВОПРОС 1. Информационная защищенность
Еще в первом раунде я предложил разбить вопрос антивандальной и информационной защищенности, и вот пришло время обсудить вторую его часть -–защищенность от различного рода попыток взлома системы (не только физического, но и информационного).
Для начала давайте определим слабые места, на которых возможен информационный взлом СКУД. Таких участков несколько:
1. Карта-считыватель.
2. Считыватель-контроллер.
3. Контроллер-замок (исполнительное устройство).
4. Контроллер – БД СКУД.
5. БД СКУД. (С вашего позволения мы не будем трогать тему защищенности различных баз данных, используемых в СКУД, – ее невозможно осветить в одном-двух абзацах.)
Эти участки есть в любой СКУД , независимо «классическая» она или «беспроводная», рассматриваем ли мы замок или связку «контроллер – считыватель – замок».

Один из самых интересных участков – «карта – считыватель». Чтобы взломать систему на этом участке, необходимо сделать клон карты или убедить считыватель, что ему была предъявлена действительная карта.
Готовясь к написанию этого материала, я наткнулся на одну чрезвычайно интересную статью, написанную Леонидом Александровичем Стасенко в далеком 2004-м году («Чем умней система, тем изобретательнее взломщик»). Еще 7 лет тому назад в своей статье Леонид Александрович буквально на пальцах показал, насколько легко при помощи паяльника и нескольких электронных компонентов можно подделать proximity-карту с уникальным номером (т. е. RFID-метку). В той же статье была упомянута технология карт MiFare (c описанием принципа записи на нее информации) и сделаны выводы:
1. Рынок карт, ориентированных только на СКУД, через некоторое время начнет резко сокращаться.
2. Невостребованные пока на массовом рынке новые возможности перезаписываемых карт в ближайшие годы начнут применяться в СКУД.

И какова же ситуация в описываемой сфере сейчас, как вы думаете?
Она принципиально хуже, чем была семь лет тому назад!
Теперь для клониров уже не нужен паяльник. Можно просто клонировать карту в ближайшей мастерской металлоремонта. Гораздо хуже, что можно даже не бегать в металлоремонт, а вместо этого заказать по интернету какой-нибудь из доступных в свободной продаже портативных приборов-копировальщиков. В этом случае вам даже не придется ломать голову над тем, как заполучить клонируемую карту в ваше распоряжение хотя бы на полчаса-час. Достаточно просто прислонитьс» сумкой, в которой лежит копировальщик, к карману жертвы (в котором лежит интересующая вас карта), и затем прописать «карту-болванку».
Большинство производителей-разработчиков, а также инсталляторов прекрасно осведомлены об этой проблеме, но прелесть типового решения, а также факт того, что Em-Marine рублей на 20 дешевле той же карты MiFare, зачастую оказываются важнее стойкости систем к информационному взлому.
Удивительно, но даже большинство банков оснащены СКУД именно на таких картах!
Единственное изменение, которое можно упомянуть, – это появление в последние годы считывателей СКУД, поддерживающих работу с картами MiFare Classic. Но и здесь абсолютно все производители пошли по тому же пути, который они уже проходили сначала с ключами iButton, а затем с Em-Marine и HID Prox: карты MiFare используются исключительно как идентификатор, причем идентификатором всегда является уникальный неперезаписываемый и нешифруемый ROM – код карты (ее серийный номер). Что называется, те же грабли...
Когда на рынке появится очередной копировщик ROM-кода карт стандарта MiFare (причем именно «когда», а не «если»), останется только констатировать очередной факт информационного взлома системы и придумывать очередные способы дополнительной защиты типа двойной авторизации по коду или биометрическим параметрам пользователя с соответствующими капиталовложениями в доработку ранее установленных систем.
По моим сведениям, такой копировальщик уже появился и первые образцы карт с многократно перезаписываемым блоком производителя (где и находится ROM-код карты) сейчас «тестируются». До массового вброса этих болванок, я думаю, остались недели – возможно, к моменту выхода статьи их наличие «в металлоремонте» будет уже суровой реальностью.

Чем готовы похвастаться (или оправдаться) беспроводные СКУД? Прежде всего тем, что технология защиты данных, записываемых на карту, состоит из 2 составляющих: аппаратные возможности криптозащиты самой карты и программное шифрование / верификация данных на уровне конкретной системы и ПО СКУД.
Что это означает для конкретного пользователя?
Приведу пример. Несколько лет назад была достаточно большая шумиха вокруг новости о том, что группой исследователей одного европейского университета была выявлена уязвимость проприетарного алгоритма шифрования Crypto-1, применяемого в картах стандарта MiFare Classic. Уязвимость теоретически делает возможным копирование содержимого одной карты на другую (без копирования ROM-кода, тогда о такой возможности было еще не известно). В результате свет увидело новое поколение карт MiFare Plus (c другим, более стойким алгоритмом шифрования), а разработчики беспроводных СКУД выпустили новую версию ПО, в которой появилась возможность проверки карт MiFare Classic: система научилась сверять контрольную сумму данных на карте и ее серийного номера с эталоном для оригинальной карты. Это позволило снять проблему безопасности не просто без замены считывателей, но даже без замены ранее выданных пользователям карт. Что произойдет, когда научатся одновременно клонировать содержимое и ROM-код? Для тех пользователей, которые к тому времени не перейдут на более защищенные карты (MiFare Plus или др.), которых сейчас уже не так мало, катастрофы все равно не произойдет. Дело в том, что при использовании карты ее содержимое постоянно изменяется, соответственно, меняется и контрольная сумма (о которой я говорил выше). Даже если какую-то карту удастся клонировать целиком, то 2 карты будут идентичными ровно до момента любого использования одной из них. Попытка прохода по второй карте будет тут же замечена системой, и подозрительные карты будут автоматически заблокированы.
На этом, вообще говоря, сравнение информационной антивандальной стойкости систем можно было бы и закончить, но давайте уж для порядка рассмотрим и остальные участки.

Второй участок взлома: считыватель – контроллер.
Абсолютное большинство контроллеров классических систем работают со считывателями по протоколу Wiegand. Позволю себе еще раз процитировать упомянутую выше статью семилетней давности: «Устройство интерфейса Wiegand позволяет подключиться к линиям данных параллельно без вреда для системы, а передать в данном формате трехбайтовый код (для случая Wiegand 26 бит) сможет и начинающий радиолюбитель».
Да, на сегодня из этого правила есть несколько исключений – касаются они систем, которые используют собственные протоколы подключения считывателей. Но такие исключения скорее подтверждение правила.
В беспроводных СКУД опять-таки, исходя из самого принципа работы карты как носителя информации, все считыватели имеют двусторонний (и нестандартизированный) протокол обмена данными с контроллером (не важно, говорим ли мы о контроллере электронного замка и об отдельном аппаратном контроллере СКУД). Подключиться к нему незаметно и подменить данные не представляется возможным.

Третий участок: контроллер-замок (исполнительное устройство).
Нет смысла рассматривать этот участок в случае управления турникетом, поэтому рассмотрим только случай управления именно замком, обеспечивающим физическое запирание двери.
В электронном замке этот участок представляет собой либо дорожки на печатной плате, либо шлейф от моторного корпуса замка, подключаемый к той же плате. В обоих случаях плата всегда находится во внутренней накладке замка и добраться к ней с наружной стороны двери, физически не выломав дверь, невозможно.
В классических системах вариантов принципиально больше. Тем не менее я не ошибусь, если скажу, что в 90% случаев дверь будет запираться обычным магнитным замком.
Как говорят инсталляторы, дешево и сердито. Дешево – безусловно. А вот все остальное... Я уверен, что не мне одному приходилось неоднократно видеть варианты установки магнитного замка с наружной части двери, причем провода к замку чаще всего проложены прямо в накладном коробе здесь же, с наружной стороны. Даже если замка снаружи нет и проводов не видно – зачастую вы их легко сможете обнаружить, оторвав наличник дверной коробки опять-таки с наружной стороны. Далее вам останется только разомкнуть их – и дверь открыта.
Ну а анекдот про то, что можно почувствовать себя крутым хакером, просто выключив рубильник, подающий питание на магнитный замок (расположенный, как правило, в коридоре), уже давно оброс бородой.
Конечно, все эти случаи исключительно заслуга бережливых инсталляторов, ради простоты монтажа пренебрегающих всеми законами логики (либо обслуживающего персонала, не отслеживающего состояние резервных аккумуляторов), но насколько это утешит заказчика? наконец, последний участок: контроллер – БД СКУД.

Напомню, что мы сравниваем беспроводные и классические (т. е. проводные) СКУД. Казалось бы, проводной вариант связи по определению более стоек, чем беспроводной. Но так ли это на самом деле?
Проблема в том, что очень многие проводные СКУД все еще используют магистрали, работающие по протоколу RS485. Конечно, RS485 – это лишь физический уровень, и защищенность магистрали будет зависеть во многом от программной реализации протокола связи. Но сам факт наличия отдельной линии, да еще и с возможностью параллельного подключения к ней на «горячую» надежности данному типу связи не добавляет. Замечу, что активно развивающиеся в последнее время IP-контроллеры классических СКУД подобных проблем, как правило, не испытывают – защищенность участка «контроллер – БД» у них вполне достойная.

В беспроводных СКУД магистраль условно разбивается на 2 участка: беспроводной (от радиомодуля замка до шлюза) и проводной (от шлюза до сервера СКУД). На обоих участках данные шифруются одним из открытых протоколов шифрования (3DES, AES). И хотя механизмы шифрования и отличаются, это различие в данном случае не будет столь принципиальным.
Еще один важный факт: проводной участок магистрали – это имеющийся сегмент локальной сети объекта, поэтому вычленить в нем данные, относящиеся только к СКУД, будет крайне затруднительно.

Несмотря на все вышесказанное, при любой архитектуре магистрали СКУД я бы не стал рассматривать ее как наиболее вероятный участок взлома системы. К сожалению, при имеющихся проблемах остальных участков гораздо проще осуществить взлом системы на них, чем на магистрали.

ВОПРОС 2. Какова плата за безопасность?
При использовании карты как носителя информации все записываемые данные защищаются не только от записи, но и от чтения в неавторизованных системах. Технологически это происходит за счет использования ключа (или пары ключей в зависимости от конкретной технологии) шифрования. Ключ этот должен быть записан не только на карту, но и во все авторизованные устройства, будь то энкодер карт, настенный считыватель, электронный замок или цилиндр.
Но как этот ключ попадает в замок и на карту?

Существует два варианта:
1. На заводе-изготовителе. Именно по этой причине становится практически невозможным использование сторонних считывателей, подключаемых к контроллеру беспроводной СКУД.
Гораздо важнее тот факт, что и карты также должны пройти процедуру инициализации на заводе-изготовителе, когда определенные секторы или объем памяти резервируется под СКУД.
2. Клиентом самостоятельно. В этом случае клиент заключает прямое соглашение с заводом-изготовителем и получает свой уникальный набор криптографических ключей в виде специальной карты. С ее помощью вы можете инициализировать все оборудование СКУД, а также приобретенные у любого поставщика карт носители, самостоятельно определив объем занимаемой СКУД памяти из общего объема, доступного на карте.

Как вы понимаете, оба варианта имеют свои особенности.
Например, в первом варианте вы можете купить карты доступа только у авторизованного представителя завода-изготовителя. При этом изменить порядок резервирования секторов на карте уже практически невозможно, и при разделении памяти карты на несколько независимых приложений могут возникнуть проблемы несовместимости.
Однако сегодня у нас все еще крайне неразвиты приложения, которые используют перезаписываемую память карт, так что на практике с такими конфликтами за последние 6 лет нам сталкиваться не приходилось. Монополизм же поставщика не играет существенной роли, поскольку таким системам все еще приходится конкурировать в основном с системами на дешевых (и абсолютно небезопасных) картах Em-Marine или HID Prox II, – задирать цену на носители по своему усмотрению просто не позволит рынок.

Во втором случае клиент является хозяином своей судьбы, но привилегия наследует и обязательства.
Во-первых, это необходимость заключения прямого соглашения с заводом-изготовителем. В этом соглашении завод берет на себя ряд обязательств по обеспечению сохранности и уникальности вашего ключа шифрования, но и от вас потребуется понимание дополнительной ответственности за его сохранность.
Во-вторых, данное понимание будет закреплено дополнительной стоимостью этой услуги. Для тех, кто понимает практическую ценность такого варианта работы (зачастую это университеты, которые используют массу кампусных приложений, записываемых на одну карту, или крупные заказчики, для которых важна независимость от монопольного поставщика карт), цена услуги абсолютно оправданна и в общей стоимости системы практически незаметна (поскольку речь идет о крупных и очень крупных проектах).
Для небольших же объектов эта цена своего рода порог отсечения, когда заказчика просят соотнести реальную ценность этой возможности в конкретном случае с тем бюджетом, который под нее придется заложить в смету.

Пожалуй, на этом наш импровизированный поединок пора и завершить. Несмотря на, мягко говоря, немаленький печатный объем, который заняла наша дискуссия, мы смогли обсудить лишь некоторые особенности реализаций оборудования СКУД (электронных замков), вскользь пробежались по технологиям и подискутировали на предмет информационной защищенности, но не систем, а опять-таки оборудования.
До самих систем мы так и не добрались, значит, у нас все еще есть огромное поле для продолжения дискуссии.
Я надеюсь, что мы сможем это сделать в ближайшее время, и не только на страницах журнала ТЗ, но и на специализированных форумах, а также на выставках. Уверен, что мои оппоненты не будут возражать, если я приглашу присоединиться к дискуссии все заинтересованные стороны: и разработчиков, и инсталляторов, и конечных пользователей СКУД.

Телепрограмма «Поединок» завершается голосованием зрителей.
Голосование у нас тоже будет, причем самое настоящее – голосование рублем. Именно выбор заказчиков и будет настоящим мерилом успеха той или иной концепции, подхода, технологии или системы.
Однако не нужно быть оракулом, чтобы предсказать – безусловной победы беспроводной концепции СКУД над классической (равно как и наоборот) нет и быть не может. Они будут абсолютно спокойно сосуществовать, так же как автомобильный транспорт сосуществует с железнодорожным. И так же как в сфере транспорта заказчика должно интересовать не то, повезут ли его груз из пункта А в пункт В по рельсам или по автодороге, скорее ему будет важно, за какой срок, насколько безопасно и за какую цену это будет сделано.

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru