Журнал "Системы безопасности" #5, 2019

Игорь Ядрихинский, PERCo В наибольшей степени получил распростране- ние протокол OSDP (Open Supervised Device Pro- tocol). Одна из его базовых особенностей – без- опасный обмен данными в защищенном фор- мате с шифрованием по алгоритму AES. Физи- ческая основа – интерфейс RS-485. При использовании контроллеров, поддерживаю- щих протокол, взломать данные обмена между считывателем и контроллером невозможно. Но поддержку протокола реализовали только некоторые российские производители. Главная причина заключается в том, что для потенци- альных злоумышленников доступны более простые методы взлома данных, например клонирование карт доступа. Отметим, что 95% объектов в РФ используют карты EMM или MIFARE, чтение которых осуществляется по UID, что позволяет получить доступ, используя стандартные механизмы копирова- ния карт. То есть рынок не формирует массо- вый спрос на данную технологию. Павел Соколов, ЗАО НВП "Болид" Наиболее совершенную защиту данных между считывателем и контроллером обеспечивают защищенные протоколы обмена информацией. Как правило, связь организуется на базе про- мышленных информационных интерфейсов (например, RS-485). Именно так реализован протокол OSDP, который постепенно становится отраслевым стандартом. Однако массового внедрения этой технологии на российском рынке систем безопасности не происходит. На мой взгляд, это связано как с высокой ценой предлагаемых решений, так и с несколько надуманной самой проблемой с перехватом и эмулированием сигналов между считывателями и контроллерами. Системы контроля доступа редко играют роль систем физической защиты объекта. Зачастую они являются средством упорядочивания маршру- тов движения персонала и контроля дисципли- ны. В остальных случаях элементы СКУД всегда используются в связке с видеонаблюдением, охранной сигнализацией. Злоумышленник не может получить физический доступ к линиям связи незамеченным. Дмитрий Шипелов, "ААМ Системз" Ответ на вопрос "Как защититься от перехвата сигнала между считывателем и контролле- ром?" прост: не применять повсеместно при- меняемый интерфейс Wiegand. В интерфейсе Wiegand непосредственно для передачи дан- ных используются два провода: Data1 и Data0. На обеих линиях по умолчанию выставляется TTL-уровень единицы (5В). Информация передается в двоичном коде: единицы – импульсами нулевого уровня по линии Data1, нули – импульсами нулевого уровня по линии Data0. Из описания интер- фейса понятно, что посылку можно легко перехватить и создать нужную нам копию номера карты. Для организации защищенного канала связи между считывателем и контроллером СКУД рекомендуется использовать современный про- мышленный протокол обмена данными OSDP (Open Supervised Device Protocol). Применение протокола OSDP второго поколения позволяет передавать данные между устройствами в защищенном виде, с шифрованием по алго- ритму AES-128. OSDP является двунаправлен- ным протоколом, поэтому применение OSDP позволяет осуществлять в реальном времени контроль подключенных устройств (на связи/отключено). Сергей Гордеев, HID Global Интерфейс Wiegand, используемый в боль- шинстве СКУД, существует уже более 30 лет. Он однонаправленный, имеет два информа- ционных провода для передачи информации. В нем отсутствует защита от действий зло- умышленников. Уязвимость протокола Wie- gand подчеркивает метод атаки с использова- нием BLEKey. BLEKey – небольшое устройство, стоимостью около 35 долларов США, предна- значенное для подключения к RFID-считывате- лю, использующему передачу данных по интерфейсу Wiegand. Достаточно подключить- ся к проводам и получить питание от считыва- теля. После прикрепления BLEKey сохраняет информацию об успешной идентификации карты доступа. Используя Bluetooth Low Energy (BLE), устройство может синхронизироваться с телефонным приложением и позволяет теле- фону воспроизводить последнюю успешную карточку. Наиболее защищенным на сегодняшний день является интерфейс OSDP (Open Supervised Device Protocol) с поддержкой SCP (Secure Channel Protocol). SCP обеспечивает систему защиты при обмене сообщениями. При уста- новке соединения с использованием SCP два устройства должны быть взаимно аутентифи- цированы, для этого используются набор ключей. В случае обнаружения какой-либо ошибки во время обмена информацией без- опасная коммуникационная сессия немед- ленно прерывается, а сессионные ключи уни- чтожаются. телей смарт-карт, работающих на частоте 13.56 МГц. Это позволяет не только работать с серийным номером карты, но и записывать информацию в защищенную область памяти. Доступ к памяти защищен ключами автори- зации, а обмен данными зашифрован надежными алгоритмами шифрования, например 3DES/AES. Примером таких смарт- карт могут быть MIFARE Plus SL3, MIFARE DESFire EV2, Seos. Но ни для кого не секрет, что для злоумыш- ленников интереснее те объекты, где приме- няются популярные технологии и получен- ная выгода будет превышать затраченные средства на взлом. Поэтому иногда целесо- образно использовать менее популярные технологии с проприетарными алгоритмами защиты. Сергей Гордеев, HID Global Необходимо обратить внимание на следующие аспекты, делающие карту более защищенной от взлома: 1. Технология. Известно, что карты технологий 125 кГц, MIFARE, легко копируются. Необходи- мо ориентироваться на более защищенные тех- нологии DESFire EV2 и Seos. 2. Формат представления данных. Следует использовать уникальный формат для пред- отвращения появления клонов. 3. Защита доступа к информации. Привязка дан- ных к носителю, шифрование, цифровая подпись. С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 115 www.secuteck.ru октябрь – ноябрь 2019 Наиболее защищенным на сего- дняшний день является интер- фейс OSDP Дмитрий Шипелов Технический директор компании "ААМ Системз" Сергей Гордеев Региональный директор по продажам на территории России и СНГ компании HID Global Как защититься от перехвата и эмулирования сигнала в интерфейсе "Считыватель – контроллер СКУД"? Какие интерфейсы наиболее защищены?

RkJQdWJsaXNoZXIy Mzk4NzYw