Современные электронные системы обеспечения безопасности всё ещё имеют ряд уязвимостей в структуре аппаратного и программного обеспечения, а также ряде применяемых технических решений и технологий. При создании технических решений и проектировании комплексной электронной системы безопасности (КЭСБ) на объекте требуется учитывать вероятность использования этих уязвимостей с целью получения несанкционированного доступа или саботажа

Уязвимости, присутствующие в КЭСБ, можно разделить на два типа:

  • уязвимости аппаратного обеспечения
  • уязвимости программного обеспечения.

Первый класс уязвимостей позволяет получить несанкционированный доступ путём внедрения в аппаратную часть КЭСБ, эмулировать управляющие сигналы, перехватить коды и т.п. При этом в программном обеспечении такое внедрение может быть не обнаружено вовсе или обнаружено с определёнными трудностями. В свою очередь, уязвимости программного обеспечения, позволяют получить несанкционированный доступ к управляющим программам комплексной электронной системы безопасности, что позволит злоумышленнику реализовать любое желаемое действие над системой, которое будет воспринято как штатная команда. В любом из двух случаев, полученный несанкционированный доступ может привести к значительным экономическим потерям, получению травм или угрозе жизни персоналу объекта. 

 

Основные уязвимости аппаратного обеспечения комплексной электронной системы безопасности следующие:

1. Незащищённость каналов передачи управляющих сигналов самих по себе. Каналами связи в данном случае могут выступать: неадресный шлейф системы охраны или пожарной сигнализации, линия связи между контроллером системы контроля и управления доступом (СКУД) и считывателями идентификаторов, линии связи устройств по промышленному интерфейсу RS-485, линии связи между IP камерами системы видеонаблюдения и сетевыми коммутаторами. 

  • В случае неадресных шлейфов системы охраны и пожарной сигнализации, достаточно внедрения в линию шлейфа и эмуляции оконечного резистора шлейфа, значение сопротивления которого является общедоступной информацией. При этом любые срабатывания охранных извещателей будут проигнорированы системой, так как все извещатели будут отсечены от приёмо-контрольного прибора оконечным резистором. Фактически, подобное внедрение вызовет отключение части системы, неопределимое в дежурном режиме. 

 

  • В случае линии связи между контроллером СКУД и считывателем, внедрение в линию связи позволяет выполнить перехват кодовой посылки с двоичным значением идентификатора от считывателя к контроллеру. Таким образом, будет выполнено хищение значения идентификатора в том виде, в котором система его воспринимает в двоичном виде. При этом не имеет значения тип идентификатора, степень его защищённости и т.п. Внедрение в линию считывателя также позволит эмулировать кодовую посылку контроллеру с кодом идентификатора, которая будет распознана как истинная и контроллером будет предоставлен доступ. 

 

  • В случае линии связи промышленного интерфейса RS-485, зачастую имеет место применение производителями проприетарных протоколов передачи данных, что, в своей мере, позволяет защитить информацию от перехвата. Однако следует учитывать, что протоколы зачастую не применяют алгоритм шифрования пакетов в интерфейсе, что означает потенциальную возможность подключения в линию преобразователя интерфейсов (в том числе, производителя системы безопасности) и получения информации, передаваемой по интерфейсу, непосредственно в программное обеспечение. Подобное внедрение предоставляет широкие возможности по перехвату любой информации, передаваемой по интерфейсу RS-485. 

 

  • В случае линии связи между IP камерой и сетевым коммутатором, применяя перехватчик пакетов, можно получить и подменить как изображение с камеры, работающей по незащищённым протоколам, эмулировав её при помощи программного обеспечения и подменой IP адресов, так и управляющих команд, в том числе, вывод из строя IP камеры. 

 

2. Уязвимости технологий устройств КЭСБ, среди которых следует выделить: применение незащищённой идентификации в СКУД, применение незащищённых протоколов передачи видеоизображения в системе видеонаблюдения (СВН), применение устаревших интерфейсов и протоколов передачи данных по каналам связи систем охраны и СКУД. 

  • Незащищённая идентификация в СКУД чрезвычайно широко распространена, что даёт потенциальную возможность подделки идентификатора и получения несанкционированного доступа. Среди таких методов идентификации следует выделить идентификацию при помощи штрих-кодов, радиочастотную идентификацию (RFID) при помощи карт EM-Marine, UFH и карт Mifare при идентификации по UID. Наибольшей защищённостью обладает идентификация при помощи карт Mifare с использованием защищённых областей памяти карт и биометрическая идентификация. 

 

 

 

  • Незащищённые протоколы передачи видеоизображения в большинстве современных IP камер позволяют при помощи программ-перехватчиков пакетов, выполнить перехват RTSP-потока камеры, перехват пароля для доступа к настройкам устройства и подмену камеры при помощи виртуализации. 

 

  • Устаревшие интерфейсы и протоколы передачи данных по каналам связи Wiegand и Dallas Touch memory, передача данных в которых стандартизирована и может быть подделана любым стандартным считывателем или специализированным устройством. 

 

 

Основные уязвимости программного обеспечения, в свою очередь, являются характерными для каждой конкретной системы безопасности.

Однако, следует выделить общие, характерные для многих, уязвимости: 

1. Отсутствие или слабая парольная защита. В большинстве программных обеспечений систем и устройств, присутствует пароль, заданный по умолчанию. В большинстве случаев, после проведения пуско-наладочных работ, данные пароли не меняются. В таком случае имеет место слабая парольная защита системы, наличие которой может привести к беспрепятственному проникновению злоумышленника в систему. В последнее время, немногие производители устройств и систем безопасности вводят дополнительную процедуру активации устройств для задания своего пароля, соответствующего определённым критериям. 

2. Наличие технических каналов управления устройствами систем безопасности. К таким каналам можно отнести получения доступа к устройству при помощи программ поиска и настройки сетевых адресов IP камер, telnet-серверы в IP устройствах и открытые порты технического назначения. 

 

а) Как правило, производители выпускают программы для поиска и настройки сетевых адресов IP устройств. Такие программы могут не иметь механизма проверки пароля при доступе к устройствам, что даёт возможность проводить изменение сетевых настроек IP камер без парольной защиты. 

б)Telnet-серверы и порты технического назначения в современных IP устройствах применяются практически повсеместно. Как правило, пароль для доступа к telnet-серверу изменяется в соответствии с настройками пароля для доступа к устройству, однако, существует ряд случаев, когда telnet-сервер не изменяет пароль для root-доступа к настройкам IP устройства. 

3. Отсутствие шифрования трафика при обмене данными между IP устройствами и серверным программным обеспечением КЭСБ. Такими IP устройствами могут выступать IP камеры, IP видеосерверы, сетевые видеорегистраторы, сетевые контроллеры доступа и т.д. Как правило, IP устройства имеют в своём составе Web-сервер, позволяющий получить удалённый доступ ко всем настройкам. При этом, доступ к Web-серверу осуществляется по незащищённому протоколу HTTP, что может привести к перехвату практически любой информации посредством локальной сети. 

 

Таким образом, при принятии технических и проектных решений КЭСБ, устанавливаемой на объекте, а также выполнении пусконаладочных работ, следует принимать во внимание данные уязвимости и принимать соответствующие меры защиты уязвимых мест систем безопасности. 

Среди таких мер следует выделить следующие: 

а) При разработке технического решения: 

  • Производить выбор оборудования, имеющего наименьшее количество известных уязвимостей. 
  • Комплектовать сети передачи данных устройствами защиты, такими как межсетевые экраны, особенно при передаче данных в открытых сетях. 
  • Выбирать устройства и системы, использующие защищённые протоколы передачи данных, например, OSDP для СКУД или HTTPS для СВН. 
  • Выбирать наиболее защищённые методы идентификации и аутентификации пользователей системы. 

б) При разработке проектного решения: 

  • Предусматривать прокладку линий связи в условиях с наименьшими угрозами 
  • Производить выбор кабеленесущих систем в соответствии с принципами обеспечения максимальной защиты кабельных линий от повреждений и несанкционированного доступа. 
  • Прописывать в пояснительной записке и указаниях по пусконаладке необходимые действия по обеспечению максимального уровня защиты системы. 

в) В процессе монтажных и пусконаладочных работ: 

  • Контролировать прокладку кабельных линий в соответствии с проектом или по согласованию с проектировщиком 
  • Выполнять настройку оборудования в соответствии с принципами обеспечения максимальной защиты от несанкционированного доступа 
  • Особое внимание уделить закрытию известных уязвимостей в оборудовании и программном обеспечении системы безопасности, в частности, использовать последние актуальные версии программного обеспечения, а также дополнительные меры по защите в сети передачи данных. 

 

Выполнение данных рекомендаций позволит получить максимально защищённую и надёжно работающую систему, в полной мере позволяющую предоставить заказчику заявленный уровень безопасности. 

 

Мнение выразил: начальник технического отдела, Перевощиков Василий Анатольевич.