O que fazer com as vulnerabilidades do OSDP para controle de acesso
Ouviu falar das vulnerabilidades do OSDP e está se perguntando como mitigar os riscos? Leia este blog para descobrir como blindar seu sistema de controle de acesso.
Ultimamente tem-se falado muito sobre as vulnerabilidades do Open Supervised Device Protocol (OSDP).
Essas vulnerabilidades de controle de acesso foram inicialmente apresentadas na Conferência de Segurança Black Hat este ano por uma empresa de segurança, Bishop Fox. Logo depois, um blog da Ars Technica expandiu os cinco riscos exploráveis do OSDP mencionados na palestra.
Desde então, a indústria de segurança física tem estado repleta de dúvidas e preocupações sobre o protocolo OSDP. Com os agentes de ameaças prontos para capitalizar as fraquezas do sistema, as organizações precisam conhecer os impactos das vulnerabilidades do OSDP e como se defender contra ameaças relacionadas ao OSDP.
Continue lendo para saber mais sobre todos os recursos disponíveis para ajudá-lo a proteger seu sistema Security Center contra esta vulnerabilidade OSDP.
O que é o protocolo OSDP?
OSDP significa Protocolo Aberto de Dispositivo Supervisionado. É um protocolo de comunicação de controle de acesso comum atualmente, fornecendo uma estrutura segura e flexível para conectar vários componentes de um sistema de controle de acesso.
Mais especificamente, o OSDP conecta leitores de cartões e outros periféricos de controle de acesso aos controladores. Isso garante que os painéis de controle possam verificar as credenciais no banco de dados do portador de cartão e conceder ou negar acesso a portas ou áreas.
OSDP foi criado pela Security Industry Association (SIA) como o protocolo de controle de acesso de próxima geração para melhorar a interoperabilidade entre produtos de controle de acesso. O OSDP também suporta criptografia AES de 128 bits, tecnologia de cartão inteligente e outras funcionalidades avançadas. Por causa disso, o OSDP tem sido considerado a opção mais segura para instalações de controle de acesso para o protocolo Wiegand de longa data. Em 2020, o OSDP também foi aprovado como padrão internacional pela Comissão Eletrotécnica Internacional.
O que é o hackeamento do OSDP? E como podemos nos defender contra os riscos do OSDP?
O hackeamento do OSDP foi apresentado por Dan Petro e David Vargas do Bishop Fox na conferência Black Hat deste ano. Os dois pesquisadores de segurança compartilharam como conseguiram hackear um sistema de controle de acesso usando vulnerabilidades do protocolo OSDP. Eles também detalharam suas descobertas e recomendações em um blog intitulado 'Distintivo da Vergonha – Invadindo Instalações de Segurança com OSDP.'
Aqui está um rápido resumo das cinco principais vulnerabilidades de segurança do OSDP apresentadas e as melhores maneiras de mitigar esses riscos hoje.
As 5 principais vulnerabilidades do OSDP a serem observadas
Criptografia opcional para OSDP
O OSDP suporta criptografia, mas cabe a você habilitar esse recurso em cada dispositivo. Quando você não ativa a criptografia do Canal Seguro durante a instalação do dispositivo ou implementa dispositivos que não suportam todos os recursos de segurança disponíveis no protocolo OSDP (como criptografia), isso pode deixá-lo vulnerável a criminosos cibernéticos.
O que você pode fazer para mitigar esse risco?
Habilitar canal seguro
Isso é algo que deve ser feito ao instalar e configurar seus dispositivos de controle de acesso. Na nossa Guia de proteção do Security Center, você encontrará recomendações para usar o protocolo OSDPv2 com o modo Secure Channel habilitado. Você também pode seguir instruções passo a passo para ativar conexões seguras de leitores na Config Tool no Security Center.
Siga as instruções de instalação relacionadas ao OSDP
Se você estiver usando o Synergis Cloud Link™, certifique-se de seguir todas as recomendações relacionadas ao OSDP pelo Guia de instalação do Synergis Cloud Link e o Guia do Administrador para Synergis Cloud Link. Aqui estão algumas seções específicas do Guia do Administrador que abordam os padrões OSDP e como implementar melhor seus dispositivos OSDP:
Se estiver procurando orientação sobre dispositivos OSDP de fornecedores específicos de controle de acesso que se conectam ao Synergis Cloud Link, você pode pesquisar em nossos guias aqui.
Se estiver buscando orientações relacionadas ao OSDP para o Synergis Cloud Link Roadrunner™, confira estes recursos:
- Leitores OSDP suportados
- Criando canais de configuração OSDP
- Configurando e adicionando leitores OSDP
Monitore seu score de segurança
No Security Center, o widget Security Score monitora a segurança do seu sistema em tempo real e compara os dados com um conjunto de melhores práticas. Em seguida, fornece um score e recomendações para melhorar sua cybersecurity. Uma das recomendações para controle de acesso é “usar conexões seguras de leitores”. Se ainda não ativou o Canal Seguro, o Score de Segurança irá avisá-lo sobre esse risco potencial e recomendará que você proteja as conexões do seu dispositivo de controle de acesso para melhorar seu score de cybersecurity.
Ataques de downgrade em hardware
Quando um leitor fica on-line pela primeira vez, ele transmite uma lista de recursos ao controlador, incluindo se suporta criptografia. Mas dar suporte à criptografia do Secure Channel e de fato aplicá-la, são duas coisas muito diferentes.
Portanto, mesmo que seus leitores e controladores de controle de acesso suportem criptografia de canal seguro e você a tenha ativado, os dispositivos ainda aceitarão troca de dados não criptografados?
Os pesquisadores descobriram que, ao conectar um dispositivo hacker à fiação de um leitor específico, eles poderiam interceptar a comunicação do leitor para o controlador. Poderiam então informar ao controlador que o leitor não suporta comunicação criptografada. Isso rebaixou o protocolo de comunicação e os ajudou a obter acesso a informações de credenciais.
O que você pode fazer para mitigar esse risco?
Escolha dispositivos seguros
É importante saber que esta vulnerabilidade é específica do hardware. Certos fabricantes de dispositivos de controle de acesso possuem recursos de 'Canal Seguro Obrigatório'. Significa que o dispositivo recusará qualquer comunicação que não seja segura.
Verifique suas configurações OSDP
Você pode verificar a configuração OSDP do seu controlador. Cada dispositivo será diferente, então fale com seus fornecedores de hardware de controle de acesso para saber mais sobre essa configuração e certifique-se de que seus controladores recusem comunicações não criptografadas. Se precisar de orientação sobre dispositivos específicos da Genetec, entre em contato com nossa equipe de suporte.
Ataque no modo de instalação
Ao configurar novos leitores e controladores, alguns dispositivos suportados por OSDP ativarão automaticamente o 'Modo de instalação'. Durante esse processo de configuração, o leitor solicita ao controlador uma chave base genérica. Assim que a conexão for estabelecida e o dispositivo estiver online, a comunicação criptografada será retomada. No entanto, os pesquisadores descobriram que, se o modo de instalação não estiver desativado, os agentes de ameaça poderão interceptar e se fazer passar por um dispositivo para solicitar uma nova chave. Eles poderiam então obter acesso ao seu sistema e dados.
O que você pode fazer para mitigar esse risco?
Descubra como os produtos Genetec, Mercury e Axis são seguros
Nem todos os dispositivos OSDP têm o Modo de instalação ativado por padrão durante a configuração. Os produtos Genetec, como Synergis Cloud Link ou Roadrunner, bem como os dispositivos Mercury e Axis mais recentes, exigem que os instaladores efetivamente ativem o modo de instalação por meio de um cartão de configuração ou aplicativo. Depois que um leitor for adicionado, esses controladores também sairão automaticamente do Modo Instalador. Isso anula esta vulnerabilidade e mantém seu sistema e dados seguros.
- É sempre recomendado ativar o Modo de Instalação somente quando você puder controlar ou confiar no canal por completo.
- Outra dica de mitigação é provisionar as chaves separadamente no leitor e no controlador. Se o leitor não estiver no modo de instalação, o controlador não enviará a chave pelo OSDP. Depois que o Canal Seguro for ativado, o controlador tentará se conectar com segurança usando a chave. Obs.: Nem todos os dispositivos suportam esta funcionalidade.
Saiba o que fazer se seus dispositivos ativarem o modo de instalação por padrão
Conforme mencionado acima, os dispositivos Genetec Synergis Cloud Link ou Roadrunner, bem como os dispositivos Mercury e Axis, não se enquadram nesta categoria. Com todos esses controladores, o Modo de Instalação deve ser ativado manualmente. Assim que o leitor estiver configurado, o dispositivo sairá automaticamente do modo de instalação. Mas se você tiver outros dispositivos onde o Modo de instalação está ativado por padrão, aqui estão algumas dicas a ser consideradas:
- Concentre-se na implementação segura. Após a instalação do dispositivo, certifique-se de alternar o modo de instalação de LIGADO para DESLIGADO para todos os seus dispositivos OSDP.
- Alguns desses outros fabricantes de dispositivos podem desligar automaticamente o modo de instalação após um determinado período de tempo. Eles também podem oferecer recursos de relatórios que informam quais dispositivos foram deixados com o modo de instalação ativado para identificar rapidamente dispositivos vulneráveis.
- Se você tiver um dispositivo que entra automaticamente no modo de instalação, entre em contato com seu fornecedor de controle de acesso para identificar outras proteções integradas que podem ajudá-lo a garantir que o modo de instalação nunca seja deixado ativado.
Chaves de criptografia fracas
Embora seja raro, alguns fabricantes de dispositivos podem usar chaves de criptografia fracas para sessões de comunicação. Essa especulação foi feita pelos pesquisadores depois que encontraram uma chave genérica codificada em uma biblioteca OSDP de código aberto. E como essas chaves geralmente incluem compilações simples e familiares, eles foram capazes de gerar 768 chaves codificadas possíveis. A ameaça? Os cibercriminosos poderiam fazer o mesmo, usando essas chaves fracas para lançar ataques de força bruta e tentar obter acesso ao seu sistema.
O que você pode fazer para mitigar esse risco?
Troque as chaves codificadas durante a instalação
Esta vulnerabilidade novamente tem tudo a ver com a implementação eficaz do dispositivo. Se você tiver dispositivos que usam chaves genéricas e codificadas, será necessário trocá-las por chaves exclusivas e aleatórias.
Escolha dispositivos verificados pelo OSDP
Estes produtos foram testados e verificados pela SIA para atender aos padrões OSDP. Eles vêm com muitos recursos de segurança, como suporte a chaves AES-128 exclusivas e geradas aleatoriamente para o seu dispositivo OSDP. Certifique-se de verificar com seu fornecedor se esse recurso está habilitado por padrão ou se é algo que você precisa configurar manualmente.
Conheça os dispositivos Genetec
Nossas soluções nunca usam chaves codificadas. Quer tenha o Synergis Cloud Link ou o Synergis Cloud Link Roadrunner, você receberá chaves AES-128 geradas aleatoriamente para cada dispositivo ou poderá configurar suas próprias chaves seguras.
Modo de instalação forçada
A última vulnerabilidade envolve colocar um dispositivo de volta no modo de instalação. Os pesquisadores explicaram como os hackers poderiam instalar um dispositivo de escuta secreto na fiação RS485 de um leitor de controle de acesso existente e adulterar o dispositivo a ponto de precisar ser substituído. Quando o novo leitor ficar online, o dispositivo de escuta poderá capturar a chave de criptografia durante o modo de instalação. Os hackers poderiam então imitar o leitor para roubar informações valiosas.
O que você pode fazer para mitigar esse risco?
Leve os alarmes dos dispositivos a sério
Caso um dispositivo fique off-line ou cause problemas continuamente, seja diligente em sua avaliação e considere a possibilidade de uma ameaça. Você também pode verificar os relatórios de status do dispositivo no Security Center para analisar alarmes de um dispositivo específico. Isso pode ajudá-lo a identificar eventos ou padrões suspeitos, que podem revelar uma tentativa de violação.
Use um cabo temporário durante a instalação
Se um dispositivo de escuta tiver sido instalado na fiação RS485, o uso de um cabo de conexão temporário do novo leitor ao controlador durante o emparelhamento do dispositivo reduzirá esse risco. Isso permitirá que você inicie a conexão do dispositivo com segurança e prossiga com a comunicação criptografada para finalizar a instalação.
Uma lista de verificação para blindagem OSDP e o que virá da Genetec
As ameaças a cybersecurity estão sempre evoluindo. E estas vulnerabilidades do OSDP mostram como é importante não apenas escolher os dispositivos ciberneticamente mais seguros, mas também seguir as melhores práticas recomendadas para se defender contra ameaças.
Aqui está uma lista de verificação rápida das melhores maneiras de se defender contra ameaças OSDP hoje:
- Escolha dispositivos verificados por OSDP
- Ative o modo Secure Channel para todos os seus dispositivos
- Siga as recomendações do OSDP nos guias de proteção e instalação
- Configure chaves de criptografia não triviais para seus dispositivos
- Ative o modo de instalação apenas quando puder confiar no canal por completo
- Se o Modo de Instalação estiver ativado por padrão no seu dispositivo, saia do Modo de Instalação após a instalação do dispositivo (recomendação específica do dispositivo)
- Instale novos leitores usando uma conexão direta com o controlador
- Verifique seu score de segurança e siga as melhores práticas
- Verifique os alarmes do dispositivo e obtenha relatórios para identificar preocupações mais mais urgentes
- Conte com fornecedores em quem você confia para obter suporte e orientação adicionais
Compartilhar essas dicas com você é apenas o começo. Na Genetec, também trabalhamos proativamente com nossos parceiros de tecnologia de controle de acesso para identificar e listar recursos de dispositivos relacionados ao OSDP.
Também estamos buscando novas maneiras de ajudá-lo a se defender dessas vulnerabilidades do OSDP em nossa plataforma Security Center. Compartilharemos mais informações assim que estiverem disponíveis. Mas enquanto isso, se tiver alguma dúvida ou precisar de orientação adicional, entre em contato com nossa equipe de suporte.