Журнал "Системы Безопасности" № 4‘2021

С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 64 О снова любой системы контроля и управле- ния доступом (СКУД) – это управляющее устройство (контроллер), считыватели и иден- тификаторы, с которых система и получает всю необходимую информацию. Три самых популярных вида идентификато- ров – карты, биометрия и смартфоны. Это первое уязвимое место в системе безопасно- сти. Практически любой идентификатор, например карту, можно копировать, а систему распознавания лиц – обмануть с помощью фотографии. От бесконтактных карт до биометрии До сих пор самым популярным форматом карт в России остается EM Marine, который не имеет абсолютно никакой защиты. Получив такую карту, можно буквально за 100 рублей сделать ее копию в любом из многочисленных серви- сов, специализирующихся на изготовлении ключей или домофонных брелоков. Или, потра- тив примерно такую же сумму, делать дублика- ты самостоятельно с помощью устройств для клонирования карт, находящихся в свободной продаже на AliExpress и подобных площадках. Чтобы избежать такой ситуации, требуется использовать современные стандарты карт, кото- рые благодаря шифрованию обеспечивают без- опасность информации на самой карте. Напри- мер, когда считыватель не просто получает общедоступный UID (уникальный идентифика- ционный номер) карты, но также обращается к определенному зашифрованному месту на ней и убеждается, что на нем записан необходимый "ключ" (пароль) для дальнейшей работы. Одни производители разрабатывают свои уни- кальные форматы идентификаторов, другие под- держивают открытые и общеизвестные, напри- мер MIFARE. Такие карты широко используются в качестве транспортных в системах "Тройка" или "Подорожник", как Ski Pass на большинстве гор- нолыжных курортах или как пропуск в некоторых фитнес-центрах, например World Class. Кроме того, некоторые банковские карты с бес- контактным чипом (MasterCard PayPass, Visa PayWave) могут выступать в качестве идентифи- катора MIFARE, что позволяет в рамках одного носителя объединить несколько функций. Нередко такой подход используется в кампус- ных проектах, где для студента эта карта – и финансовый инструмент, и обычная банков- ская карта, на которую он получает стипендию, и пропуск в общежитие или лабораторию, и читательский билет и др. Если говорить о формате MIFARE, то можно по- разному подходить и к способу шифрования этих карт. Определенные вендоры предостав- ляют возможность пользователю на своей сто- роне переводить карты в зашифрованный режим, а некоторые сами занимаются шифро- ванием и хранением ключей, отправляя клиен- там уже готовые карты. Важно, чтобы решения производителя имели возможность работы с идентификаторами, имеющими инструменты защиты от копирова- ния. Вендор также должен позаботиться о том, чтобы для непосредственного пользователя системы работа с такими картами с точки зре- ния администрирования не была сложной. В последнее время в качестве идентификаторов все чаще встречаются и смартфоны. Передача данных в этом случае может осуществляться при помощи двух технологий – NFC и Bluetooth. Они обе пришли из ИТ-сферы, широко распро- странены и доступны на большинстве устройств. Интерфейсы связи между считывателем и контроллером Перейдем ко второму возможному уязвимому месту в системе. После того как считыватель получил информацию от идентификатора, он должен передать ее на контроллер. Есть множе- ство интерфейсов связи между считывателем и контроллером, которые используются про- изводителями СКУД по всему миру. Одни из самых распространенных – Touch Memory, Wiegand и OSDP. Каждый производитель выбирает сам для себя интерфейс, исходя из запросов со сторо- ны рынка. Иногда разработчики создают свои, менее публичные, протоколы связи. При этом система становится менее гибкой, что отчасти сделано еще и для привязки к постав- щику (Vendor Lock) и установки дальнейшего оборудования только определенного про- изводителя. август – сентябрь 2021 www.secuteck.ru Наталья Беркутова PR-менеджер Sigur Александра Кунина Инженер Sigur Дмитрий Попов Pre-Sale-инженер Sigur Таблица. Стандарты интерфейсов связи между считывателями и контроллером Функция iButton Wiegand OSDP Возможность обратной связи Односторонняя Односторонняя Двухсторонняя коммуникация коммуникация коммуникация Шифрование трафика Нет Нет Да Расширение функционала Нет Нет Возможно Дальность линии, м До 1 До 150 До 1200 Как обезопасить СКУД даже от самого подготовленного взломщика? Несмотря на алгоритмы криптографической защиты и другие современные техноло- гии, вопрос защиты данных в СКУД по-прежнему актуален. Как бы парадоксально это ни звучало, в отрасли безопасности "безопасность" развивается медленнее, чем в других сферах. Большинство каналов связи в таких системах до сих пор остаются "прозрачными": они не зашифрованы и не имеют инструментов, препятствующих перехвату данных. Часто для этого даже не требуется каких-то специфических зна- ний и навыков, что становится дополнительной мотивацией к подлогу системы зло- умышленниками