L’importanza della sicurezza nei sistemi di accesso fisico
Federico Dotta, Principal Security Analyst presso HN Security (Humanativa Group)
Introduzione
La sicurezza del perimetro fisico aziendale è un aspetto molto critico per le realtà di una certa dimensione, di fondamentale importanza per la protezione delle risorse aziendali, digitali e non. Soluzioni comuni comprendono da un lato l’impiego di personale addetto allo scopo (guardie, receptionist, etc.) e dall’altro sistemi informatici a supporto, quali sistemi di accesso basati su badge, sistemi di videosorveglianza e sistemi di allarme.
Le motivazioni dell’attenzione posta su questo aspetto della sicurezza aziendale sono molteplici. Un attaccante in grado di accedere al perimetro interno potrebbe facilmente collegarsi alla rete privata aziendale, accedere a informazioni critiche non digitalizzate o sfruttare la posizione privilegiata che ha ottenuto per effettuare attacchi social engineering nei confronti dei dipendenti, approfittando del fatto di trovarsi fisicamente all’interno del perimetro aziendale.
Sebbene l’impiego di sistemi di accesso fisico sia considerato fondamentale, un aspetto spesso sottovalutato è la convergenza tra il perimetro fisico e l’infrastruttura informatica aziendale. Tale convergenza, infatti, può determinare rischi non calcolati, introdotti da vulnerabilità IT nei dispositivi utilizzati dai sistemi di accesso fisico, sfruttabili per eluderli o per ottenere un accesso alla rete privata aziendale.
Per identificare e mitigare i rischi derivanti, è necessario valutare la robustezza dei sistemi e dei dispositivi impiegati anche da un punto di vista informatico, includendoli tra gli obiettivi dei penetration test. Nei paragrafi successivi verranno analizzate differenti tecnologie utilizzate per il controllo degli accessi, dal punto di vista di un attaccante.
La sicurezza per il controllo degli accessi
Una delle principali modalità con cui viene controllato il perimetro fisico aziendale consiste nell’installare in tutti i varchi di accesso un sistema di controllo degli accessi.
Nella maggior parte dei casi, l’accesso a questi varchi è controllato dai cosiddetti badge, tesserini in materiale plastico che spesso mostrano informazioni visive per l’identificazione del dipendente e che contengono un identificativo digitale del dipendente a cui è stato rilasciato, informazione che viene letta da tornelli e dispositivi similari per consentire o impedire l’accesso a determinate aree.
Le tecnologie associate ai badge sono in continua evoluzione: ne esistono molteplici con caratteristiche differenti, sia in termini di informazioni che il badge può contenere che in termini di robustezza. L’investimento che l’adozione o l’aggiornamento di un sistema di controllo degli accessi fisici richiede è importante e difficilmente giustificabile in un arco temporale ridotto.
Nella maggior parte dei casi, le aziende non possiedono gli strumenti e le capacità necessarie a valutare i prodotti proposti dai fornitori. Ciò spesso comporta l’adozione di sistemi sicuri sulla carta, ma che presentano vulnerabilità nelle specifiche tecnologie utilizzate.
Le problematiche più diffuse relative a queste tecnologie spaziano dalla totale assenza di meccanismi di sicurezza a vulnerabilità derivanti dall’obsolescenza della tecnologia utilizzata. Buona parte delle problematiche più gravi deriva dal fatto che molti produttori, anziché affidarsi a standard noti, hanno implementato i propri algoritmi di crittografia e autenticazione, probabilmente per ragioni di performance e per limitazioni legate all’hardware.
Spesso, i dettagli relativi a questi algoritmi di sicurezza sviluppati ad hoc sono stati mantenuti confidenziali, nella speranza di aumentarne la resilienza. Approcci di questo tipo espongono i prodotti a numerosi rischi, in quanto la cosiddetta security through obscurity (l’algoritmo è sicuro perché gli attaccanti non conoscono i dettagli di come è implementato) è una pratica universalmente considerata molto pericolosa, in quanto presto o tardi solitamente i dettagli dell’implementazione vengono scoperti o dedotti, ad esempio tramite attività di reverse engineering effettuate direttamente sui componenti elettronici.
Entrando nel merito dei rischi per l’azienda nel caso in cui questi sistemi non siano adeguatamente messi in sicurezza, il principale è che un attaccante potrebbe riuscire ad eluderli e accedere al perimetro interno. Nella maggior parte dei casi, ciò avviene clonando il badge di un dipendente, quando è in uso una tecnologia debole o vulnerabile, o ricostruendone il contenuto.
Badge e informazioni di identificazione
Dal punto di vista informatico, un badge può essere visto semplicemente come un contenitore che racchiude, in forma più o meno protetta, un’informazione di autenticazione.
Nella maggior parte dei casi, questa informazione è semplicemente un identificativo numerico del dipendente o in alternativa una coppia formata dall’identificativo del dipendente e dell’azienda per cui lavora. Proteggere questi identificativi, pertanto, è di fondamentale importanza in quanto potrebbe essere sufficiente per un attaccante conoscerli o poterli derivare per guadagnare un accesso al perimetro interno.
Uno scenario interessante riscontrato in più occasioni riguarda un aspetto meno tecnologico della protezione di questi identificativi. I badge spesso mostrano stampate informazioni di riconoscimento del dipendente, quali nome, cognome, ruolo e una fotografia. Non è raro riscontrare anche un identificativo alfanumerico del badge/dipendente che sebbene a prima vista possa non sembrare significativo, spesso è lo stesso salvato digitalmente all’interno del badge e utilizzato dal sistema di controllo degli accessi. Un attaccante, quindi, potrebbe ottenere tutte le informazioni necessarie alla clonazione di un badge semplicemente osservando il tesserino di un dipendente.
Un altro aspetto da non sottovalutare è che spesso questi identificativi sono numeri incrementali. Avendo accesso a uno di essi (leggendolo da un badge fisico, estraendolo dal proprio badge aziendale o da un badge temporaneo fornito ai visitatori), se la tecnologia non è sufficientemente robusta è possibile ottenere accessi più privilegiati semplicemente provando a indovinare gli identificativi di dipendenti con accesso alle aree di interesse.
Tecnologie per il controllo degli accessi
Le tecnologie utilizzate per questo tipo di sistemi sono molteplici e molto eterogenee. Verranno ora prese in esame alcune delle tecnologie più utilizzate, illustrandone rischi e problematiche.
I produttori dei sistemi per il controllo degli accessi hanno oggi all’interno del loro catalogo alternative più sicure di quelle descritte nel presente articolo, ma nonostante questo le tecnologie descritte sono tutt’ora quelle più comunemente riscontrate nelle realtà aziendali in quanto da una parte spesso le aziende non sono consce delle problematiche delle tecnologie in uso e dall’altra molti venditori continuano a proporle nonostante siano obsolete.
Le tecnologie prese in esame sono le seguenti:
- Sistemi a banda magnetica
- Sistemi contactless RFID con tecnologia HID Corporate 1000
- Sistemi contactless NFC con tecnologia Mifare Classic
- Sistemi contactless NFC con tecnologia HID iClass
Sistemi a banda magnetica
Una delle tecnologie obsolete ma ancora oggi largamente utilizzate è quella basata sulla banda magnetica.
I sistemi di autenticazione a banda magnetica sono stati inventati da IBM nel 1960. Come si può dedurre dalla data di nascita di questo tipo di sistemi, essi non offrono alcuna protezione dei dati che contengono, che vengono salvati in chiaro e risultano facilmente leggibili e scrivibili, oltre a soffrire di molteplici problemi tecnologici che possono causare la perdita dei dati salvati su di essi.
Un attaccante con hardware semplicissimo da usare di costo inferiore ai 100 euro può clonare uno di questi badge in pochi secondi. L’attaccante ha però la necessità di ottenere fisicamente un badge valido per il tempo necessario alla sua lettura.
Sistemi contactless
Successivamente, hanno preso piede nell’ecosistema relativo alla sicurezza fisica le prime tecnologie contactless. Queste tecnologie permettono di creare dei chip “pensanti” che ricevono l’alimentazione mediante onde radio, senza la necessità di una batteria a bordo. Per questo motivo si prestano ottimamente alla realizzazione di badge aziendali e sono quelle maggiormente utilizzate al giorno d’oggi. Possiamo considerare questi badge RFID più che come delle memorie che salvano dei dati, come dei veri e propri processori su cui è possibile implementare protocolli di autenticazione e di cifratura dei dati.
Le prime tecnologie contactless utilizzate a questo scopo erano basate su protocolli RFID a bassa frequenza e non implementavano né cifratura dei dati, né protocolli di autenticazione. Un esempio è la tecnologia HID Corporate 1000, ancora ampiamente utilizzata nei contesti aziendali.
Come per la banda magnetica, un attaccante in pochi secondi può leggere e duplicare un badge valido, ma in questo caso i rischi sono ancora superiori in quanto la clonazione può avvenire anche a distanza: è stata dimostrata la possibilità di creare dei lettori della dimensione di una valigetta con materiali di consumo facilmente reperibili in grado di leggere questi badge a più di un metro di distanza. Le distanze aumentano ancora utilizzando hardware professionale.
Alcuni anni dopo, molti produttori hanno iniziato a impiegare tecnologie contactless ad alta frequenza (denominate NFC) per la creazione di alcune linee di prodotti. Essendo tecnologie più recenti, solitamente implementano meccanismi di autenticazione tra il badge e il lettore e di cifratura dei dati contenuti sui badge. Purtroppo, come anticipato, molte di queste tecnologie anziché affidarsi a standard noti hanno implementato i propri algoritmi proprietari di crittografia e autenticazione, mantenendone i dettagli riservati.
Uno degli esempi più diffusi di utilizzo di un algoritmo proprietario è la tecnologia Mifare Classic. Questa tecnologia ha preso piede nel mercato e ha visto una larghissima diffusione per la sicurezza garantita ed un costo relativamente basso (più di 10 miliardi di chip venduti e 150 milioni di lettori, secondo il produttore). Tra il 2007 e il 2008 alcuni ricercatori completarono la procedura di reverse engineering sulla tecnologia, rivelandone i dettagli che successivamente hanno permesso di trovare numerosi problemi di sicurezza, rendendo possibile recuperare le chiavi di cifratura in pochi secondi e permettendo una rapida clonazione dei badge. Questa tecnologia continua tuttora ad essere una delle più utilizzate in assoluto.
Un altro esempio significativo riguarda le prime versioni di HID iClass, tecnologia cronologicamente successivamente a Mifare Classic. Questo tipo di badge inizialmente veniva venduto in due diverse configurazioni: Standard Security ed Elite Security. Nella configurazione standard, qualsiasi lettore di qualsiasi azienda utilizzava la medesima chiave di cifratura a protezione del contenuto dei badge. Nel 2010 un ricercatore pubblicò un articolo che spiegata come estrarre questa chiave comune a tutti i badge da un qualsiasi lettore, rendendo completamente inefficaci i prodotti con configurazione Standard Security.
Sebbene fosse possibile effettuare un aggiornamento alla modalità “Elite Security” che impiega chiavi di cifratura diversificate per ogni organizzazione, ciò richiedeva costi aggiuntivi e interventi su tutti i lettori e su tutti i badge. Successivamente, anche in questa modalità sono stati riscontrati numerosi problemi di sicurezza, sfruttabili al fine di ottenere le chiavi di cifratura necessarie per clonare un badge o crearne uno valido.
Spesso inoltre vengono impiegati badge che utilizzano più di una tecnologia contemporaneamente. L’esempio più diffuso è costituito dai badge con banda magnetica e contactless. Le motivazioni della presenza di più di una tecnologia possono essere molteplici: l’azienda potrebbe aver acquisito questi particolari badge per permettere una comoda migrazione da una tecnologia più obsoleta a un’altra più recente, o semplicemente il fornitore potrebbe aver proposto questo tipo di badge anche se l’azienda necessitava di una sola delle due tecnologie. In ogni caso, se l’informazione di autenticazione è presente su entrambe le tecnologie, la sicurezza del meccanismo spesso dipende dalla più debole delle due tecnologie, che essa sia utilizzata o meno.
Conclusioni
Sebbene questi scenari e queste tecnologie possano sembrare appartenenti al passato, purtroppo non è così. Da un lato, infatti, i fornitori hanno continuato a proporre tecnologie vulnerabili anche molti anni dopo la scoperta delle problematiche descritte (e non è da escludere che esse siano tuttora proposte), dall’altro sostituire un sistema di controllo degli accessi vulnerabile richiede ingenti costi. A seconda dei sistemi, infatti, può essere necessario sostituire tornelli, software di gestione e tutti i badge aziendali.
Per questo motivo, è di fondamentale importanza fare effettuare una verifica sull’infrastruttura di accesso fisico, finalizzata ad evidenziare le problematiche presenti e di conseguenza i rischi che l’azienda sta correndo e di cui potrebbe non essere al corrente, e affidarsi ad aziende specializzate per effettuare adeguate analisi sulle tecnologie proposte dai fornitori prima di acquisirle e implementarle. Implementare un sistema senza adeguate verifiche spesso costringe l’azienda a rimanere esposta a rischi per molti anni.
Gli analisti di HN Security sono a disposizione per supportarvi nella valutazione del vostro corrente stato di sicurezza, attraverso attività specialistiche di penetration testing e security assessment su dispositivi, applicativi e reti dedicate ai sistemi di accesso fisico, e nell’analisi delle tecnologie proposte dai fornitori prima che esse vengano acquisite.