Девайс, который создатели окрестили BLEKey, считывает данные, передаваемые в формате открытого текста со считывателей и контроллеров на дверях, позволяя клонировать электронные пропуска или передавать полученные коды в мобильное приложение, при помощи которого можно позже открыть дверь.

Демонстрация взлома системы электронных пропусков на базе RFID-карт в рамках конференции Black Hat — повод для беспокойства для операторов и владельцев офисных и производственных помещений (в том числе имеющих отношение к критически важным отраслям, для которых свойственна высокая степень конфиденциальности). Исследователи Эрик Ивенчик (Eric Evenchick), специалист по встраиваемым системам, работающий в компании — производителе электромобилей Faraday Future, и Марк Баседжио (Mark Baseggio), главный консультант и менеджер в компании Optiv (бывшая Accuvant), во время своего выступления успешно продемонстрировали взлом при использовании распространенных карт и считывателей производства HID. Однако они отметили, что проверили атаку только на инфраструктуре одного вендора и исследование решений других производителей не проводилось.

Проблема обнаружилась в старом протоколе Wiegand («Виганд») «времен «Аполлона-11», по меткому наблюдению Баседжио. Многие ИБ-эксперты, изучавшие этот протокол, отметили его невероятную простоту и врожденный изъян безопасности. Отсутствие шифрования облегчает задачу похищения кодов карт доступа, кодов контроллера и других элементов, необходимых для клонирования, к примеру электронных пропусков.

RFID-считыватели, в частности ридеры производства HID, постоянно передают сигнал. В момент обнаружения RFID-карты в непосредственной близости к считывателю происходит однократная передача кадра с кодом карты от считывателя контроллеру по протоколу Weigand. Некоторые ридеры также используют клавиатуру для ввода цифрового кода после прокатывания магнитной полосы, что является неким подобием двухфакторной аутентификации. Однако эти модели считывателей все равно страдают от врожденной уязвимости, связанной с передачей кода в формате открытого текста, что в итоге сводит на нет дополнительный уровень защиты в виде второго фактора аутентификации.

Кроме того, производители вроде HID утверждают, что RFID-карты невозможно клонировать (в доказательство исследователи привели скриншот маркетинговой брошюры HID), хотя, как утверждают Ивенчик и Баседжио, это далеко не всегда является правдой.

Исследователи опубликовали на GitHub схему и конфигурацию аппаратного обеспечения, использованные для атаки. Устройство, получившее название BLEKey, размером 18×30 мм использует протокол BLE (Bluetooth Low Energy). Самым крупным компонентом девайса является аккумулятор; кроме него устройство оснащено чипом Nordic, популярным в носимых фитнес-устройствах, процессором, радиоинтерфейсом, программным стеком, а также рядом пассивных компонентов.

Во время презентации Ивенчик и Баседжио успешно продемонстрировали разработанные ими PoC-эксплойты. Для моделирования атаки они использовали миниатюрную копию двери (чуть менее метра в высоту), оснащенную считывателем карт и подключаемым по проводному соединению контроллером. Для взлома злоумышленнику понадобится краткосрочный физический доступ к считывателю. Сначала надо снять верхнюю крышку, открутив четыре шурупа. Всего для установки BLEKey, как доказывает снятое партнерами видео, достаточно минуты. Сняв крышку считывателя, атакующий получает доступ к простому внутреннему устройству ридера: всего четыре провода, два обеспечивают передачу данных и два — питание. Один из проводов отвечает за передачу данных по протоколу Wiegand. К нему нужно подсоединить один из проводов BLEKey, а остальные два провода устройства следует соединить с другим проводом передачи данных и с одним из проводов питания. Процесс сборки и перезапуска считыватели занял несколько секунд.

Исследователи продемонстрировали атаки как с использованием карты, так и без нее, скомпрометировав соединение между ридером с установленным внутри BLEKey и мобильным устройством. Приложение читает карту и коды доступа, что делает возможным клонирование карты или использование определенных кодов для удаленных атак на считыватель.

Что касается возможных проблем, которые уязвимость протокола представляет для множества использующих такие системы доступа предприятий, их, к сожалению, нельзя решить путем установки патчей от производителя. Лучшими решениями могут послужить средства обнаружения попыток несанкционированного вскрытия корпуса считывателя, отслеживание логов системы на наличие аномалий, а также старое доброе видеонаблюдение.

Некоторые устройства поддерживают протокол Open Supervised Device Protocol (OSDP), обеспечивающий защищенный канал связи между считывателем и контроллером, но для обеспечения обратной совместимости с протоколом Wiegand требуется правильная конфигурация.

Категории: Уязвимости, Хакеры