Umgang mit OSDP-Sicherheitslücken bei der Zutrittskontrolle
Haben Sie von den OSDP-Sicherheitslücken gehört und fragen sich, wie Sie Risiken mindern können? In diesem Blog erfahren Sie, wie Sie Ihr Zutrittskontrollsystem härten können.
In letzter Zeit wurde viel über die Sicherheitslücken beim Open Supervised Device Protocol (OSDP) gesprochen.
Diese Schwachstellen bei der Zutrittskontrolle wurden zuerst bei der Black Hat-Sicherheitskonferenz dieses Jahr vom Sicherheitsunternehmen Bisho Fox vorgestellt. Kurz darauf ging ein Blog von Ars Technica noch genauer auf die fünf ausnutzbaren OSDP-Risiken ein, die auf der Konferenz angesprochen wurden.
Seitdem sind unzählige Fragen und Bedenken hinsichtlich des OSDP-Protokolls in der physischen Sicherheitsbranche aufgekommen. Da Angreifer Systemschwachstellen schnell ausnutzen, müssen Organisationen die Auswirkungen der OSDP-Sicherheitslücken kennen und wissen, wie sie sich von OSDP-Bedrohungen schützen können.
In diesem Artikel erfahren Sie, wie Sie Ihr Security Center-System gegen die OSDP-Schwachstellen schützen können.
Was ist das OSDP-Protokoll?
OSDP steht für Open Supervised Device Protocol (offenes überwachtes Geräteprotokoll). Dieses Kommunikationsprotokoll für die Zutrittskontrolle ist heute weit verbreitet und bietet ein sicheres und flexibles Framework zum Verbinden verschiedener Komponenten eines Zutrittskontrollsystems.
Genauer gesagt verbindet OSDP Kartenlesegeräte and andere Peripheriegeräte der Zutrittskontrolle mit Controllern. So wird sichergestellt, dass die Bedienfelder Berechtigungsnachweise mit der Karteninhaberdatenbank abgleichen und den Zutritt zu Türen oder Bereichen gewähren oder ablehnen können.
OSDP wurde von der Security Industry Association (SIA) als Zutrittskontrollprotokoll der nächsten Generation entwickelt, um die Interoperabilität zwischen Zutrittskontrollprodukten zu verbessern. OSDP unterstützt auch 128-Bit-AES-Verschlüsselung, Smartcard-Technologie und andere erweiterte Funktionen. Daher wurde OSDP im Hinblick auf die Sicherheit als bessere Option für Zutrittskontrollinstallationen als das langjährige Wiegand-Protokoll betrachtet. 2020 wurde OSDP zudem von der Internationalen Elektrotechnischen Kommission als internationaler Standard genehmigt.
Was ist der OSDP-Hack? Und wie können Sie sich vor OSDP-Risiken schützen?
Der OSDP-Hack wurde bei der diesjährigen Black Hat-Konferenz von Dan Petro und David Vargas von Bishop Fox vorgestellt. Die beiden Sicherheitsexperten präsentierten dort, wie sie ein Zutrittskontrollsystem über Schwachstellen des OSDP-Protokolls hacken konnten. Sie haben ihre Erkenntnisse und Empfehlungen auch im Blogpost „Badge of Shame–Breaking into Security Facilities with OSDP“ im Einzelnen erläutert.
Im Folgenden werden die fünf wesentlichen OSDP-Sicherheitslücken und die besten Methoden, diese Risiken aktuell zu mindern, kurz zusammengefasst.
Die 5 wichtigsten OSDP-Sicherheitslücken
Optionale Verschlüsselung für OSDP
OSDP unterstützt Verschlüsselung, Sie müssen die Funktion aber in jedem Gerät aktivieren. Wenn Sie die Secure Channel-Verschlüsselung bei der Geräteinstallation nicht aktivieren oder wenn Sie Geräte implementieren, die nicht alle im OSDP-Protokoll verfügbaren Sicherheitsfunktionen (wie die Verschlüsselung) unterstützen, sind Sie möglicherweise für Angriffe von Cyberkriminellen anfällig.
Wie können Sie dieses Risiko mindern?
Secure Channel aktivieren
Diesen Schritt sollten Sie beim Installieren und Konfigurieren Ihrer Zutrittskontrollgeräte durchführen. In unserem Security Center-Härtungsleitfaden finden Sie Empfehlungen zur Nutzung des OSDPv2-Protokolls mit aktiviertem Secure Channel-Modus. Sie können auch Schritt-für-Schritt-Anweisungen befolgen, um sichere Verbindungen mit Lesegeräten über das Config Tool in Security Center zu aktivieren.
OSDP-bezogene Installationsanweisungen befolgen
Wenn Sie Synergis™ Cloud Link verwenden, befolgen Sie alle OSDP-bezogenen Empfehlungen im Synergis Cloud Link-Installationshandbuch und im Synergis Cloud Link-Administratorhandbuch. In den folgenden Abschnitten aus dem Administratorhandbuch werden die OSDP-Standards erläutert. Außerdem finden Sie dort Empfehlungen zur optimalen Implementierung Ihrer OSDP-Geräte:
Wenn Sie nach Informationen zu OSDP-Geräten von bestimmten Zutrittskontrollanbietern suchen, die Verbindungen zu Synergis Cloud Link bereitstellen, können Sie hier unsere Leitfäden durchsuchen.
OSDP-bezogene Informationen für Synergis Cloud Link Roadrunner™ finden Sie unter diesen Ressourcen:
- Unterstützte OSDP-Lesegeräte
- OSDP-Konfigurationskanäle erstellen
- OSDP-Lesegeräte konfigurieren und hinzufügen
Security Score überwachen
Das Security Score-Widget in Security Center überwacht die Sicherheit Ihres Systems in Echtzeit und vergleicht diese mit einem Satz aus Best Practices. Dann erhalten Sie einen Score und Empfehlungen zum Verbessern Ihrer Cybersicherheit. Zu den Empfehlungen für die Zutrittskontrolle gehört die Verwendung sicherer Verbindungen mit Lesegeräten. Wenn Sie Secure Channel noch nicht aktiviert haben, zeigt der Security Score eine Warnung zu diesem potenziellen Risiko an und empfiehlt, dass Sie die Geräteverbindungen Ihrer Zutrittskontrolle sichern, um den Cybersicherheits-Score zu verbessern.
Downgrade-Angriffe auf Hardware
Bei der ersten Online-Verbindung eines Lesegeräts überträgt dieses eine Liste mit Funktionen an den Controller, darunter auch die Angabe, ob die Verschlüsselung unterstützt wird. Das Unterstützen der Secure Channel-Verschlüsselung ist aber nicht dasselbe wie ihre Durchsetzung.
Akzeptieren Ihre Geräte also weiterhin nicht verschlüsselte Daten, selbst wenn Ihre Zutrittskontroll-Lesegeräte und Controller die Secure Channel-Verschlüsselung unterstützen und Sie die Funktion aktivieren?
Die Sicherheitsforscher stellten fest, dass sie die Kommunikation vom Lesegerät zum Controller abfangen konnten, indem sie ein Hacking-Gerät mit einem bestimmten Lesegerät verdrahteten. Dann konnten sie dem Controller mitteilen, dass das Lesegerät keine verschlüsselte Kommunikation unterstützt. Dadurch wurde das Kommunikationsprotokoll herabgestuft, sodass sie Zugriff auf Berechtigungsinformationen erlangen konnten.
Wie können Sie dieses Risiko mindern?
Sichere Geräte auswählen
Sie müssen sich bewusst machen, dass diese Sicherheitslücke Hardware-abhängig ist. Manche Hersteller von Zutrittskontrollgeräten bieten die Funktion an, Secure Channel zu erzwingen. Das bedeutet, dass das Gerät jede nicht sichere Kommunikation ablehnt.
OSDP-Konfigurationen prüfen
Sie können die OSDP-Konfiguration für Ihren Controller überprüfen. Jedes Gerät ist anders. Erkundigen Sie sich daher bei den Anbietern Ihrer Zutrittskontroll-Hardware über diese Einstellung und stellen Sie sicher, dass Ihre Controller nicht verschlüsselte Kommunikation ablehnen. Wenn Sie Hilfe zu Genetec-spezifischen Geräten benötigen, wenden Sie sich an unser Support-Team.
Angriff im Installationsmodus
Beim Einrichten neuer Lesegeräte und Controller schalten einige Geräte mit OSDP-Unterstützung automatisch den „Installationsmodus“ ein. Während dieser Einrichtung fragt das Lesegerät eine generischen Basisschlüssel beim Controller an. Wenn die Verbindung aufgebaut wurde und das Gerät online ist, wird die verschlüsselte Kommunikation wiederaufgenommen. Die Sicherheitsforscher haben aber festgestellt, dass Angreifer im Namen eines Geräts einen neuen Schlüssel anfordern können, wenn der Installationsmodus nicht deaktiviert wird. Dann könnten sie auf Ihr System und Ihre Daten zugreifen.
Wie können Sie dieses Risiko mindern?
Erfahren, warum Genetec-, Mercury- und Axis-Produkte sicher sind
Der Installationsmodus wird nicht bei allen OSDP-Geräten während der Einrichtung eingeschaltet. Bei Genetec Produkten wie Synergis Cloud Link oder Roadrunner sowie den neuesten Mercury- und Axis-Geräten muss der Installationsmodus aktiv über eine Konfigurationskarte oder App vom Techniker eingeschaltet werden. Nachdem ein Lesegerät hinzugefügt wurde, verlassen diese Controller den Installationsmodus auch automatisch. Dadurch wird diese Sicherheitslücke geschlossen und Ihre Systeme und Daten werden geschützt.
- Es wird immer empfohlen, den Installationsmodus nur zu aktivieren, wenn Sie den ganzen Kanal kontrollieren können bzw. der ganze Kanal vertrauenswürdig ist.
- Ein weiterer Tipp zur Risikominderung lautet, die Schlüssel separat auf Lesegerät und Controller bereitzustellen. Wenn das Lesegerät sich nicht im Installationsmodus befindet, sendet der Controller den Schlüssel nicht über OSDP. Nach der Aktivierung von Secure Channel versucht der Controller, eine sichere Verbindung mit dem Schlüssel herzustellen. Hinweis: Diese Funktion wird nicht von allen Geräten unterstützt.
Vorgehensweise, wenn Ihre Geräte den Installationsmodus standardmäßig aktivieren
Auf Genetec Synergis Cloud Link und Roadrunner sowie Mercury- und Axis-Geräte trifft das wie bereits erwähnt nicht zu. Bei all diesen Controllern muss der Installationsmodus manuell eingeschaltet werden. Nach der Einrichtung des Lesegeräts wird der Installationsmodus automatisch beendet. Wenn Sie aber andere Geräte nutzen, bei denen der Installationsmodus standardmäßig aktiviert wird, sollten Sie diese Tipps berücksichtigen:
- Sorgen Sie für eine sichere Implementierung. Achten Sie nach der Geräteinstallation darauf, den Installationsmodus für all Ihre OSDP-Geräte wieder auszuschalten.
- Bei einigen dieser Geräte können Sie unter Umständen festlegen, dass der Installationsmodus nach einem bestimmten Zeitraum automatisch deaktiviert wird. Sie bieten möglicherweise auch Berichtsfunktionen an, die melden, auf welchen Geräten der Installationsmodus noch eingeschaltet ist, damit Sie anfällige Geräte schnell identifizieren können.
- Wenn der Installationsmodus bei Ihrem Gerät automatisch aktiviert wird, fragen Sie den Zutrittskontrollanbieter nach anderen integrierten Schutzmaßnahmen, die sicherstellen, dass der Installationsmodus nicht eingeschaltet bleibt.
Schwache Verschlüsselungsschlüssel
Es kann (wenn auch selten) vorkommen, dass einige Gerätehersteller schwache Verschlüsselungsschlüssel für Kommunikationssitzungen verwenden. Zu dieser Vermutung kamen die Sicherheitsforscher, nachdem sie einen generischen fest codierten Schlüssel in einer Open-Source-OSDP-Bibliothek fanden. Da diese Schlüssel in der Regel bekannte und einfache Kompilierungen umfassen, konnten sie 768 mögliche fest codierte Schlüssel generieren. Was ist hierbei die Bedrohung? Cyberkriminelle könnten dasselbe tun und über diese schwachen Schlüssel Brute-Force-Angriffe einleiten und Zugriff auf Ihr System erlangen.
Wie können Sie dieses Risiko mindern?
Fest codierte Schlüssel bei der Installation austauschen
Auch bei dieser Sicherheitslücke geht es um eine effektive Geräteimplementierung. Wenn Sie Geräte einsetzen, die generische, fest codierte Schlüssel verwenden, müssen Sie diese durch eindeutige und nach Zufallsprinzip generierte Schlüssel ersetzen.
OSDP-verifizierte Geräte auswählen
Diese Produkte wurden von SIA getestet und erfüllen nachweislich die OSDP-Standards. Sie sind mit zahlreichen Sicherheitsfunktionen ausgestattet, wie die Unterstützung eindeutiger und nach Zufallsprinzip generierter AES-128-Schlüssel für Ihr OSDP-Gerät. Fragen Sie bei Ihrem Anbieter nach, ob diese Funktion standardmäßig aktiviert ist oder manuell eingerichtet werden muss.
Informationen zu Genetec Geräten
Unsere Lösungen verwenden nie fest codierte Schlüssel. Sowohl mit Synergis Cloud Link als auch mit Synergis Cloud Link Roadrunner erhalten Sie nach dem Zufallsprinzip generierte AES-128-Schlüssel für jedes Gerät oder können Ihre eigenen sicheren Schlüssel konfigurieren.
Installationsmodus erzwingen
Bei der letzten Sicherheitslücke kann ein Gerät nachträglich wieder in den Installationsmodus versetzt werden. Die Sicherheitsforscher erklärten, wie Hacker ein geheimes Abhörgerät an der RS485-Verkabelung eines bestehenden Zutrittskontroll-Lesegeräts anbringen und das Gerät manipulieren könnten, bis es ersetzt werden muss. Wenn das neue Lesegerät verbunden wird, kann das Abhörgerät dann den Verschlüsselungsschlüssel im Installationsmodus erfassen. Daraufhin könnten Hacker das Lesegerät nachahmen, um kritische Informationen zu stehlen.
Wie können Sie dieses Risiko mindern?
Gerätealarme ernst nehmen
Sollte ein Gerät offline gehen oder fortlaufend Probleme verursachen, prüfen Sie es ganz genau und ziehen Sie immer die Möglichkeit einer Bedrohung in Erwägung. Sie können auch in Berichten zum Gerätestatus in Security Center nach Alarmen eines bestimmten Geräts suchen. So können Sie verdächtige Ereignisse oder Muster erkennen und möglicherweise einen versuchten Verstoß offenlegen.
Temporäres Kabel bei der Installation verwenden
Wenn ein Abhörgerät an Ihrer RS485-Verkabelung angebracht wurde, mindern Sie dieses Risiko, indem Sie ein temporäres Kabel vom neuen Lesegerät zum Controller bei der Gerätekoppelung verwenden. Dadurch können Sie die Geräteverbindung sicher einleiten und die Installation über verschlüsselte Kommunikation abschließen.
Checkliste für OSDP-Härtung und zukünftige Innovationen von Genetec
Cybersicherheitsbedrohungen entwickeln sich stets weiter. Diese OSDP-Sicherheitslücken beweisen, wie wichtig es ist, nicht nur die Geräte mit der größten Cybersicherheit einzusetzen, sondern auch empfohlenen Best Practices zu folgen, um Bedrohungen abzuwehren.
Diese Checkliste enthält die besten Schutzvorkehrungen im Hinblick auf aktuelle OSDP-Bedrohungen:
- OSDP-verifizierte Geräte auswählen
- Secure Channel-Modus für alle Geräte aktivieren
- OSDP-Empfehlungen in Härtungsleitfäden und Installationshandbüchern befolgen
- Sichere Verschlüsselungsschlüssel für Geräte konfigurieren
- Installationsmodus nur aktivieren, wenn der ganze Kanal vertrauenswürdig ist
- Wenn der Installationsmodus auf Ihrem Gerät standardmäßig aktiviert wird, den Modus nach der Geräteinstallation beenden (gerätespezifische Empfehlung)
- Neue Lesegeräte über eine direkte Verbindung zum Controller installieren
- Security Score prüfen und Best Practices befolgen
- Gerätealarme prüfen und größere Probleme anhand von Berichten identifizieren
- Weitere Support-Hilfe und Informationen von vertrauenswürdigen Anbietern einholen
Diese Tipps sind nur der Anfang. Wir bei Genetec arbeiten auch proaktiv mit unseren Partnern für Zutrittskontrolltechnologie zusammen, um OSDP-bezogene Gerätefunktionen zu identifizieren und aufzulisten.
Zudem untersuchen wir neue Möglichkeiten zur Minderung dieser OSDP-Risiken in unserer Security Center-Plattform. Wir informieren Sie darüber, sobald es etwas zu berichten gibt. Sollten Sie in der Zwischenzeit Fragen haben oder Hilfe benötigen, wenden Sie sich an unser Support-Team.