Пентест физических идентификаторов. Часть 1

d9ae185727e265d64ace84d2ad1f857b.jpg

В сегодняшней статье я предлагаю обратить внимание на такой важный аспект информационной безопасности, как физическая безопасность. Традиционно, практически все рекомендации по обеспечению защиты ЦОД, контролируемой зоны, виртуализации, контейнеризации и много другого начинают с необходимости ограничения физического доступа к компонентам инфраструктуры: серверам, сетевому оборудованию, различным компонентам управления и т.д. Будет не очень хорошо, если злоумышленник получив физический доступ к оборудованию сможет выключить кабель питания, а еще веселее будет, если он сможет поменять местами патчкорды, подключенные к портам коммутатора. Такие простейшие DoS атаки может организовать любой, при этом обладать какими либо техническими знаниями совершенно не нужно, достаточно просто получить физический доступ к оборудованию.

Однако, на практике при тестировании на проникновение проверку обеспечения физической безопасности как правило не проводят, считая, что она и так обеспечивается. Между тем, на некоторые аспекты организации ограничения доступа неплохо было бы обратить внимание.

Чем обеспечивается физическая безопасность

Физическую защиту объекта необходимо рассматривать, как способ обеспечения безопасности и средством обеспечения безопасности является система физической защиты. Система физической защиты это комплекс организационных мероприятий, технических и инженерных средств, а также действий подразделений сил обеспечения безопасности (охраны) объекта, направленных на предотвращение несанкционированного доступа к объектам и исключение опасных воздействий на них.

В рамках данной статьи нас будут интересовать прежде всего технические средства обеспечения безопасности. Типичными средствами ограничения доступа являются системы контроля доступа (СКУД), камеры, турникеты, электронные замки и т.д. Когда мы приходим в какую-либо организацию, у нас спрашивают документы и как правило, выдают идентификатор, обычно это бесконтактная карта. Идентификатор, записанный на данной карте позволяет как минимум отследить, когда мы вошли и вышли с территории организации. То есть в системе СКУД будет зафиксировано время, когда эта карта приложена для прохода и также будет зафиксировано, чья это карта. Таким образом служба безопасности будет знать кто и когда находился на территории организации.

У сотрудников данной организации тоже есть бесконтактные карты. В отличие от гостевой карты, которую необходимо сдавать при выходе с территории организации, сотрудник использует одну карту постоянно. Эта карта используется не только для прохода на территорию организации, но и для получения доступа в различные помещения в зависимости от того уровня доступа, который есть у сотрудника. Например, у админов есть доступ в серверную, у логистов на склад и т. д.

Немного отвлекаясь то непосредственной темы статьи, отмечу еще одно предназначение бесконтактных карт — это столь любимый многими работодателями контроль учета рабочего времени. В некоторых конторах любят штрафовать за опоздания и ранние уходы и учет ведется как раз по информации из системы СКУД. Как правило берется первый проход на территорию и последний выход.

Разобрав относительно подробно принципы работы систем контроля физического доступа в типовой организации, самое время задуматься над тем, как все это может использовать потенциальный злоумышленник.

Локальный взлом

Мы уже рассмотрели потенциальные риски, которые несет получение физического доступа к оборудованию. Однако, в случае если злоумышленник обладает достаточной квалификацией, то он может организовать более сложные атаки, чем банальный отказ в обслуживании.

Прежде всего, получив доступ к сетевому порту хакер может прослушивать трафик, сканировать сеть, реализовать старые добрые атаки, например ARP-spoofing и многое другое. Можно организовать скрытый канал, подключив к порту микрокомпьютер Raspberry PI с модулем 4G или WiFi.

Еще к десктопам можно подключить аппаратный кейлогер, который будет записывать все нажатые клавиши. Из банального можно стащить какой-либо носитель флешку, диск из RAID1 и т.д.

Ну, а для того, чтобы получить физический доступ злоумышленнику как раз и потребуются физические идентификаторы. По сути, он может скопировать чужой идентификатор и по нему попытаться проникнуть на территорию организации. Конечно, подобный сценарий проникновения не всегда так просто реализовать, бдительный охранник вполне может заметить несоответствие фото в базе СКУД и внешнего вида входящего, но в качестве одной из проверок при пентесте такой сценарий вполне можно использовать.

Поэтому дальше в этой статье мы поговорим о том, какие физические идентификаторы бывают, а в следующей статье посмотрим, как можно самим разработать устройства для копирования различных физических идентификаторов.

Контактные и бесконтактные

Физические средства идентификации можно разделить на два вида — контактные и бесконтактные. На самом деле, на просторах сети можно найти публикации с большей детализацией, однако в рамках темы наших статей мы остановимся на таком разделении. Использование контактных идентификаторов предполагает их подключение к считывателю. Бесконтактный позволяет обмен информацией без физического контакта со считывателем. На сегодняшний день наибольшее распространение получили бесконтактные идентификаторы, однако мы рассмотрим оба типа.

Начнем с контактных. Здесь стоит упомянуть карты с магнитной полосой и таблетки. У контактных идентификаторов есть свои достоинства и недостатки. Достоинством контактных идентификаторов является то, что данные с них нельзя считать бесконтактным способом, такой идентификатор надо физически прислонить или вставить в считыватель и сделать это незаметно крайне проблематично. Недостатки, как это часто бывает основываются на тех же свойствах, что и достоинства. Необходимость физически подключать идентификатор к считывателю делает использование устройств неудобным для пользователей. А в некоторых случаях контактное подключение приводит к быстрому выходу из строя таких носителей данных. И кроме того, те же карты с магнитной полосой очень не любят магнитные поля.

afa6daaec9a64f671fc41f428a0c863a.png

Бесконтактные карты

Опять таки, на просторах интернета можно найти довольно много видов бесконтактных карт и описаний различных протоколов, которых с ними используются. Но при обсуждении темы пентеста физических идентификаторов мы рассмотрим только низкочастотные и высокочастотные proximity карты.

Чтобы использовать бесконтактную карту, достаточно поднести её поближе к терминалу. Дальность действия 0—15 см, что, в большинстве случаев, позволяет не доставать карточку из бумажника или кошелька при считывании.

Низкочастотные RIFD-карты работают на частоте 125 кГц. По сути, proximity карта — это дистанционный электронный пропуск со встроенным микрочипом, имеющим уникальный идентификационный код, который широко используются в системах контроля физического доступа. При этом, обмен информацией между картой и считывателем осуществляется по открытому протоколу, что с учетом бесконтактной среды передачи делают такие карты наиболее интересными для злоумышленников. Наиболее популярны в СКУД карты: HID, Indala, EM-Marine, Ангстрем. При этом по объему, занимаемому на рынке систем безопасности, безусловно, лидирует EM-Marine.

94db865e4da84892e641dd5e31051583.png

качестве альтернативы низкочастотным картам выступают высокочастотные RIFD-карты работающие на частоте 13,56 МГц. Высокочастотные карты позволяют обеспечить больший уровень безопасности и более высокое быстродействие. Например, высокочастотные карты позволяют реализовать взаимную аутентификацию, когда не только считыватель аутентифицирует карту, но и карта аутентифицирует считыватель. Кроме того, такие карты в своей работе могут использовать алгоритмы шифрования данных. Среди производителей высокочастотных карт доступа лидируют HID iCLASS SE и Seos, Mifare.

Еще одним существенным отличием высокочастотных карт от низкочастотных является наличие мирового стандарта ISO14443. Низкочастотные карты общего стандарта не имеют.

NFC

И еще одна технология, о которой тоже наверняка все слышали это Near Field Communication (NFC). С помощью данной технологии мы можем превратить в физический идентификатор или в считыватель любое мобильное устройство — телефон, планшет. На самом деле на известной китайской площадке можно приобрести наклейки с NFC. Такие наклейки можно разместить на любом физическом носителе и также использовать в качестве идентификатора.  Эта технология беспроводной высокочастотной связи также работает на частоте 13,56 МГц, в малом радиусе действия до 10 см.

c5a3fee59ebf9673c34991d7d8672a7e.png

Кстати, в качестве бесплатных NFC карт можно использовать старые билеты на метро, карты Тройка, просроченные банковские карты с NFC. Достаточно просто считать с них идентификаторы, но об этом мы более подробно поговорим уже в следующей статье.

Заключение

В этой статье мы начали рассмотрение такого интересного вопроса, как использование идентификаторов для контроля доступа и рассмотрели основные виды таких идентификаторов. В следующей статье мы перейдем к практике и поговорим о том, как с помощью Arduino можно считывать и записывать данные на физические идентификаторы.

А практические навыки по информационной безопасности вы можете получить на наших онлайн-курсах, подробнее узнать о которых можно тут.

© Habrahabr.ru