НАЗАД

Информационная безопасность. СКУД.

Играем в карты или с картами (начальник, директор, уборщица, - кто был в офисе в 03 ночи? :)

Работа с карточками доступа (125 КГц) для систем СКУД (системы контроля управления доступом).
В данной статье рассматривается работа с карточками доступа на частоте 125 КГц (100-150КГц), создание устройств чтения и записи карточек доступа.
В статье рассматриваются проксимити карты Smartec:

Данные карты работают по стандарту Em Marine.
Особенности карт: Данные типы карточек используются в системах СКУД. Методика использования, в общем случае, следующая: На первый взгляд использование карточек безопасно и очень удобно. Карты имеют уникальный номер, который невозможно подобрать. Системы СКУД своевременно сообщат о попытке подбора кода и отправят уведомление охране.
Но… Если система построена на уникальном коде (содержащимся в карте), который привязан к пользователю, к счетам пользователя и к подтверждению пользователя, то появляются следующие угрозы: Рассмотрим каждый случай отдельно.

Потеря карты пользователем.

Самый простой и самый не опасный случай, особенно если карта не имеет никаких надписей и реквизитов организации, сотрудник которой потерял карту. Одним случаем лежит такая карта без опознавательных знаков и непонятно откуда и чья (конечно могут найтись «упоротые» ребята и попытаются использовать эту карту во всех ближайших офисах и организациях, - но это маловероятно).
В случае если карта имеет опознавательные знаки (название организации, фото и т.д.) вероятность, что именно эта карта попадет в руки злоумышленника и будет использована выше, чем рассматривалось ранее, но реализация такого риска маловероятна.

Кража карты злоумышленником.

В этом случае все понятно, у злоумышленника будет время использования карты с момента кражи и до момента когда сотрудник поймет, что карта украдена и сообщит в отдел безопасности о краже (карта будет заблокирована в системе, вернее ее уникальный номер, а пользователь получит новую карту с новым номером).

Создание копии карты

Реализация данного риска имеет наибольшую вероятность и наибольшее вредоносные последствия. Так как факт копирования карты остается не заметным. А использование карты злоумышленником ничем не ограниченно (ни временем, ни местом применения в организации).

Практика.

Ниже рассмотрим создание простого устройства, для получения данных с карты доступа (приведенный код, будет выполнять только действие чтения и вывода на экран данных карты). Доработка кода для записи на другую карту не займет много времени (потребуется небольшая доработка устройства). На схеме ниже показана схема данного устройства:

Ниже приведена фотография простого устройства и следом программный код.

void setup()
{
    Serial.begin(9600);
}
void loop()
{
    if(Serial.available())
    {
        while(Serial.available())
        Serial.write(Serial.read());
    }
}

Настоящие устройство собрано из двух компонентов: Как можно видеть, такое устройство легко собирается и программируется. Соответственно, злоумышленник может собрать такое устройство также легко, а необходимы комплектующие заказать в Китае….
Но, если злоумышленник ленив, то он может приобрести готовое устройство для копирования карт. Цена такого устройства обычно в пределах 10-30 «убитых енотов». Ниже на фотографии приведено подобное устройство.

Принцип работы крайне прост. Включаете устройство, подносите карту, нажимаете кнопку копировать. Затем убираете карту, подносите карту болванку, нажимаете кнопку записать. Все. Дубликат карты у вас в кармане.
Если это обиженный сотрудник, то он может легко сделать копию карты «нерадивого» сотрудника, постоянно оставляющего карту пропуск на столе или просто стоя рядом с нужным сотрудником, у которого пропуск висит на ремне (вариантов применения масса).

Как защититься от этих угроз.

Во первых, каждый сотрудник не должен носить пропуск сзади на ремне, на шнурке и т.д. Лучше всего на прищепке к рубашке на груди. Таким образом сотрудник всегда сможет увидеть, что кто-то попытается сделать копию его пропуска.
Во вторых, не оставлять пропуск на столе и уходить по своим срочным и не срочным делам.
В третьих, пропуск не должен иметь надписей и пометок, которые бы четко могли определить, в какой компании сотрудник работает. Лучше всего ограничиться фотографией и табельным номером.
В четвертых, в идеале, карта должна использоваться в информационной системе совместно с пин кодом.
И конечно, нельзя забывать, что когда сотрудник использует пропуск на пульте охраны должна появляться фотография и данные сотрудника, который выполняет вход.



Николай Ткаченко, 2015 г.