Сергей Гордеев, 12/03/21
Как менялись технологии для устранения уязвимостей
Использование устаревших технологии часто ставит безопасность компании под угрозу. Рассмотрим историю развития технологии идентификации с 1980-х до настоящего времени и поймем важность перехода на более современные СКУД.
Физический контроль доступа вот уже несколько десятилетий является ключевым компонентом систем безопасности. Наряду с прочими технологиями сегодня он может обеспечивать невиданный ранее уровень безопасности и удобства в использовании. У компании есть широкий выбор систем контроля и управления доступом (СКУД), от устаревших контактных технологий, например карт с магнитной полосой, до бесконтактных и мобильных средств идентификации.
Современные технологии
Развитие бесконтактных смарт-карт в последнее время отражает изменяющиеся потребности бизнеса. Бесконтактные карты второго поколения отличаются от предшественников по двум ключевым показателям – уровню безопасности и сфере применения.
Безопасность
Уязвимые фирменные протоколы смарт-карт первого поколения уходят в прошлое. Один из основных недостатков таких протоколов – их привязка к конкретным компаниям и связанные с этим "слепые пятна", присущие одностороннему взгляду на безопасность. Это неизбежно приводит к возникновению существенных уязвимостей, так как такие проблемы возможно устранить только после того, как поставщик будет извещен о данной проблеме, а соответствующие специалисты выпустят обновление или исправление и включат его в программный пакет.
Современные средства идентификации используют открытые, широко используемые стандарты, разработанные и одобренные в ходе практических и академических исследований (например, экспертами ISO и NIST). Такие стандарты постоянно обновляют и корректируют, что позволяет использовать их в различных системах.
Объемы пользования Интернетом постоянно растут, и роль мобильных устройств, в том числе в отношении контроля доступа, может в ближайшем будущем существенно измениться. Эти тенденции влияют на надежность СКУД и повышение удобства для пользователей в компаниях, в том числе на принципы хранения идентификационной информации на картах и мобильных устройствах.
Широкий диапазон применения
Смарт-карты второго поколения (например, Seos®, MIFARE DESFire EV2) созданы с учетом возможности использования в различных сферах, они обеспечивают надежную защиту конфиденциальных данных. Сегодня организациям необходима возможность управлять идентификаторами независимо от используемого форм-фактора и микропроцессорного чипа. Такие организации могут создавать средства идентификации не только в виде карт, но и в виде программ для мобильных телефонов, планшетов, носимой электроники и в других форм-факторах. Кроме того, они могут передавать данные через NFC, Bluetooth и другие протоколы.
Благодаря этому стало возможно использовать смарт-карты и логические средства идентификации в новых сферах, для аутентификации и авторизации во время получения доступа к сетям и информации, и они стали связующим звеном между системами физического и логического доступа. Безопасная печать и безналичная оплата покупок – примеры простого и удобного использования смарт-карт второго поколения.
"Цифровизация транспортных задач в умном городе" читать >>>
Самое слабое звено
Использование карт-аналогов с современными считывателями систем контроля физического доступа является самой большой ошибкой. Она происходит из-за того, что после приобретения современных считывателей некоторые организации ищут способы сэкономить, в том числе за счет покупки более дешевых карт и средств идентификации. Считыватель ненадежен настолько, насколько ненадежна самая уязвимая технология идентификации, которую он поддерживает. Безопасность всей экосистемы, в том числе карт, – это не то, на чем стоит экономить.
Не стоит также приобретать дешевые карты у стороннего поставщика. При продаже таких карт, которые называют аналогами, заявляется об их совместимости с современными считывателями. Однако такие карты могут использовать более уязвимые технологии, которые легче взломать или обойти.
Стремление экономить средства актуально для многих компаний, но экономия на безопасности в долгосрочной перспективе может привести к большим затратам. Цена взлома системы безопасности, вероятность которого повышается при использовании менее защищенных карт, может быть значительно выше стоимости более надежных карт и средств идентификации.
Компоненты управления доступом устаревают, однако многие организации откладывают или вообще не планируют их обновление
История развития технологии идентификации
Чтобы убедиться в важности перехода на более современные системы контроля доступа, рассмотрим историю развития технологий идентификации.
1980-е годы
Взрывным улучшением по сравнению с механическими замками и ключами стало использование карт с магнитной полосой. Они позволили лучше контролировать средства доступа. Контроль прав доступа к определенным зонам и возможность управлять такими правами позволили уйти от проблемы возврата и выдачи ключей по мере кадровых перемещений персонала.
Контактная технология требует проведения карты по специальному пазу для передачи незашифрованных идентификационных данных на считыватель. Если пользователю был необходим доступ к определенной зоне, ему следовало провести картой через щель считывателя, как на кассе в магазине или на заправочной станции.
Опасности
Отсутствие шифрования данных делает контактную технологию менее защищенной, чем современные варианты, однако на то время она обеспечивала достаточно высокий уровень защиты, в частности из-за того, что для клонирования или считывания данных взломщикам пришлось бы физически заполучить карту.
1990-е годы
Спустя некоторое время начали проявляться недостатки контактной технологии. Необходимость физического контакта может доставлять определенные неудобства для пользователей, а физическое повреждение и износ карт повышает расходы и добавляет работы администраторам.
Таким образом, развитие бесконтактных технологий стало поворотным моментом в истории систем контроля доступа. Самая распространенная технология называлась Prox, или низкочастотная бесконтактная технология. Низкочастотная (125 кГц) технология позволяла считывать карты с расстояния в несколько дюймов. Технология Prox позволяла использовать в качестве форм-фактора брелоки и метки, то есть пользователю не нужно было использовать карту.
Опасности
Несмотря на то что технология Prox открыла новый этап развития электронных систем контроля физического доступа – экономичных, удобных, с разнообразными форм-факторами – она имела и ряд ограничений. Отсутствие шифрования данных, статический характер данных и возможность считывать данные с расстояния делает средство идентификации уязвимым для клонирования или подделки.
Карты Prox нельзя было запрограммировать на несколько идентификаторов и наборов параметров.
Конец 1990-х–2010-е
Приблизительно в 2000 г. бесконтактные карты развились до более совершенного по сравнению с Prox уровня. Эти смарт-карты, среди которых были MIFARE® и iCLASS®, использовали высокочастотную технологию (13,56 МГц) и представляли собой идентификаторы совершенно нового уровня. Кроме того, они были избавлены от двух основных недостатков, присущих картам Prox.
Эффекты, которые обеспечивает правильная конфигурация технологий мобильной аутентификации
Во-первых, была реализована взаимная аутентификация, то есть и карта, и считыватель содержали набор криптографических ключей (своего рода паролей). Когда идентификатор впервые подносят к считывателю, происходит обмен ключами и их математическое сравнение. Если ключи совпадают, идентификатор передает набор бинарных данных, а считыватель считает их подлинными. Однако если ключи не совпадают, идентификатор не передает бинарные данные на считыватель, при этом транзакция прерывается.
Во-вторых, данные карты позволяют хранить намного больше информации, чем просто идентификационный номер, в том числе остаток на дебетовом счету и биометрические данные. Это повышает уровень безопасности и расширяет сферу применения таких карт.
Опасности
Несмотря на перечисленные преимущества, многие смарт-карты первого поколения имели ряд уязвимостей, связанных с алгоритмами взаимной аутентификации. Уязвимости позволяют взломщикам подделывать, клонировать и считывать идентификационные данные, обходя процедуру взаимной аутентификации.
Средства доступа нового поколения
Мобильные устройства применяются практически во всех аспектах повседневной жизни. Пользователям нравится использовать смартфон, планшет или носимую электронику и для доступа в различные зоны здания.
Преимущества таких технологий для компании и для конечного пользователя очевидны. Во-первых, это удобно для сотрудников, которым не приходится носить дополнительные пропуска.
Мало кто сейчас обходится без телефона или другого мобильного устройства, поэтому риск забыть карту практически сводится на нет. Мобильные идентификаторы также позволяют пользователям проходить аутентификацию с определенного расстояния, то есть им не обязательно, например, опускать стекло автомобиля в холодную погоду для того, чтобы открыть ворота на стоянке.
Во-вторых, мобильные идентификаторы позволяют сделать процесс администрирования прав доступа намного проще. Цифровые процедуры дают возможность легко интегрировать рабочие системы с системами контроля доступа и учета посетителей. Организации могут выдавать сотрудникам и посетителям новые удостоверения по беспроводной связи и отказаться от физических средств идентификации в пользу цифровых.
Заключение
Технологии создания карт и средств идентификации прошли длинный путь в 40 лет. Современные бесконтактные смарт-карты используют отраслевые протоколы, что делает их более защищенными, чем карты предыдущего поколения. По мере расширения сферы применения технологий контроля доступа мобильные устройства обеспечивают синергический эффект, так как они не просто представляют собой безопасное и удобное средство идентификации в экономичном форм-факторе, но и имеют повышенную функциональность за счет использования приложений. Только современная система поможет пройти трансформацию в соответствии с новыми требованиями.
Усовершенствование системы контроля физического доступа не так сложно, как может показаться на первый взгляд, так как для этого в большинстве случаев нужно лишь установить новые считыватели и выпустить современные идентификаторы.
Редакция советует
Современные системы контроля и управления доступом, которые соответствуют растущим требованиям динамичного мира, устанавливают новые стандарты безопасности и защиты конфиденциальных данных и знаменуют новую эру удобства и функциональности, предлагает компания HID Global. Решения для надежной цифровой аутентификации людей, мест и вещей основаны в том числе и на мобильных технологиях. Пользователи могут использовать для доступа к различным объектам и ресурсам телефоны, планшеты, фитнес-браслеты, смарт-часы и прочие электронные устройства. В то же время оборудование компании может использоваться в традиционных системах контроля доступа на основе карт независимо от платформы.
