Qué hacer con las vulnerabilidades del OSDP en el control de acceso
¿Has oído hablar de las vulnerabilidades del OSDP y te preguntas cómo mitigar los riesgos? Lee este blog para saber cómo reforzar tu sistema de control de acceso.
Últimamente se ha hablado mucho de las vulnerabilidades del Protocolo Abierto de Dispositivos Supervisados (OSDP, por sus siglas en inglés).
Estas vulnerabilidades del control de acceso fueron presentadas por primera vez en la Conferencia de Seguridad Black Hat de este año por una empresa de seguridad, Bishop Fox. Poco después, un blog de Ars Technica ampliaba los cinco riesgos explotables del OSDP mencionados en la charla.
Desde entonces, el sector de la seguridad electrónica se ha llenado de preguntas y dudas sobre el protocolo OSDP. Con los actores de amenazas listos para capitalizar las debilidades del sistema, las organizaciones necesitan conocer los impactos de las vulnerabilidades del OSDP y cómo defenderse contra las amenazas relacionadas con el OSDP.
Sigue leyendo para conocer todos los recursos disponibles que te ayudarán a reforzar tu sistema Security Center contra esta vulnerabilidad del OSDP.
¿Qué es el protocolo OSDP?
OSDP son las siglas de Open Supervised Device Protocol. Se trata de un protocolo de comunicación de control de acceso muy común hoy en día, que proporciona un marco seguro y flexible para enlazar varios componentes de un sistema de control de acceso.
Más concretamente, el OSDP conecta los lectores de tarjetas y otros periféricos de control de acceso a los controladores. Esto garantiza que los paneles de control puedan verificar las credenciales con la base de datos de tarjetahabientes y conceder o denegar el acceso a puertas o zonas.
El OSDP fue creado por la Security Industry Association (SIA) como protocolo de control de acceso de nueva generación para mejorar la interoperabilidad entre los productos de control de acceso. El OSDP también soporta encriptación AES de 128 bits, tecnología de tarjeta inteligente y otras funciones avanzadas. Por este motivo, el OSDP se ha considerado la opción más segura para las instalaciones de control de acceso frente al protocolo Wiegand, utilizado desde hace mucho tiempo. En 2020, la Comisión Electrotécnica Internacional también aprobó el OSDP como norma internacional.
¿Qué es el hackeo del OSDP? ¿Y cómo podemos defendernos de los riesgos del OSDP?
El hackeo del OSDP fue presentado por Dan Petro y David Vargas de Bishop Fox en la conferencia Black Hat de este año. Los dos investigadores de seguridad compartieron cómo pudieron hackear un sistema de control de acceso utilizando las vulnerabilidades del protocolo OSDP. También detallaron sus hallazgos y recomendaciones en un blog titulado 'Badge of Shame-Breaking into Security Facilities with OSDP' ('Insignia de la Vergüenza: irrumpir en instalaciones de seguridad con OSDP').
A continuación te daremos un rápido resumen de las cinco principales vulnerabilidades de seguridad del OSDP que presentaron y las mejores formas de mitigar estos riesgos de hoy.
Las 5 principales vulnerabilidades del OSDP que hay que tener en cuenta
Encriptación opcional para el OSDP
El OSDP soporta la encriptación, pero depende de ti activar esa funcionalidad en cada dispositivo. Si no activas la encriptación del Canal Seguro durante la instalación del dispositivo, o si implementas dispositivos que no soportan todas las funcionalidades de seguridad disponibles en el protocolo OSDP (como la encriptación), podrías quedar vulnerable ante los ciberdelincuentes.
¿Qué puedes hacer para mitigar este riesgo?
Activa el Canal Seguro
Esto es algo que debe hacerse al instalar y configurar los dispositivos de control de acceso. En nuestra Guía de Blindaje de Security Center, encontrarás recomendaciones para utilizar el protocolo OSDPv2 con el modo de Canal Seguro activado. También puedes seguir las instrucciones paso a paso para activar las conexiones seguras de lector desde el Config Tool de Security Center.
Sigue las instrucciones de instalación relacionadas con el OSDP
Si utilizas Synergis™ Cloud Link, asegúrate de seguir todas las recomendaciones relacionadas con el OSDP de la Guía de Instalación de Synergis Cloud Link y la Guía del Administrador de Synergis Cloud Link. Aquí hay algunas secciones específicas de la Guía del Administrador que cubren las normas del OSDP y la mejor manera de implementar tus dispositivos con el OSDP:
Si buscas una guía sobre dispositivos con el OSDP de proveedores de control de acceso específicos que se conectan a Synergis Cloud Link, puedes buscar en nuestras guías aquí.
Si buscas orientación relacionada con el OSDP para Synergis Cloud Link Roadrunner™, consulta estos recursos:
- Lectores con el OSDP soportados
- Creación de canales de configuración con el OSDP
- Configuración y adición de lectores con el OSDP
Monitorea tu índice de seguridad
Dentro de Security Center, el widget Security Score monitorea la seguridad de tu sistema en tiempo real y la compara con un conjunto de prácticas recomendadas. Luego te da una puntuación y te ofrece recomendaciones para mejorar tu ciberseguridad. Una de las recomendaciones para el control de acceso es "utilizar conexiones de lector seguras". Si aún no has activado el Canal Seguro, la Puntuación de Seguridad te advertirá sobre ese riesgo potencial y te recomendará que asegures las conexiones de tus dispositivos de control de acceso para mejorar tu índice de ciberseguridad.
Ataques con degradación de hardware
Cuando un lector se conecta por primera vez, transmite una lista de capacidades al controlador, incluyendo si soporta encriptación. Sin embargo, soportar la encriptación en el Canal Seguro y aplicarlo son dos cosas muy distintas.
Por tanto, aunque tus lectores y controladores de control de acceso soporten la encriptación en el Canal Seguro y lo hayas activado, ¿seguirán aceptando los dispositivos el intercambio de datos no encriptados?
Los investigadores descubrieron que, conectando un dispositivo de hackeo al cableado de un lector concreto, podían interceptar la comunicación del lector con el controlador. Entonces podrían decirle al controlador que el lector no soporta la comunicación encriptada. Esto degradó el protocolo de comunicación y les ayudó a acceder a la información de las credenciales.
¿Qué puedes hacer para mitigar este riesgo?
Elije dispositivos seguros
Es importante saber que esta vulnerabilidad es específica del hardware. Algunos fabricantes de dispositivos de control de acceso disponen de la función "Canal Seguro Obligatorio". Esto significa que el dispositivo rechazará cualquier comunicación que no sea segura.
Comprueba la configuración de tu OSDP
Puedes verificar la configuración del OSDP de tu controlador. Cada dispositivo es diferente, así que habla con tus proveedores de hardware de control de acceso para saber más sobre esta configuración y asegúrate de que tus controladores rechazan la comunicación no encriptada. Si necesitas orientación sobre dispositivos específicos de Genetec, contacta a nuestro equipo de soporte.
Ataque de modo de instalación
Al configurar nuevos lectores y controladores, algunos dispositivos compatibles con el OSDP activan automáticamente el "Modo de Instalación". Durante ese proceso de configuración, el lector solicita al controlador una clave base genérica. Una vez que se establezca la conexión y el dispositivo esté en línea, se reanuda la comunicación encriptada. Sin embargo, los investigadores descubrieron que si el modo de instalación no está desactivado, los actores de amenazas pueden interceptar y actuar en nombre de un dispositivo para solicitar una nueva clave. Así podrían acceder a tu sistema y a tus datos.
¿Qué puedes hacer para mitigar este riesgo?
Descubre cómo los productos Genetec, Mercury y Axis son seguros
No todos los dispositivos con el OSDP tienen el Modo de Instalación activado por defecto durante la configuración. Los productos de Genetec como Synergis Cloud Link o Roadrunner, así como los últimos dispositivos Mercury y Axis, requieren que los instaladores habiliten el Modo de Instalación a través de una tarjeta de configuración o una aplicación. Una vez añadido un lector, estos controladores también saldrán automáticamente del Modo de Instalación. Esto anula esta vulnerabilidad y mantiene tu sistema y tus datos seguros.
- Siempre es recomendable activar el Modo de Instalación sólo cuando puedas controlar o confiar en todo el canal.
- Otro consejo de mitigación es aprovisionar por separado las claves del lector y el controlador. Si el lector no está en Modo de Instalación, el controlador no enviará la clave a través del OSDP. Una vez activado el Canal Seguro, el controlador intentará conectarse de forma segura utilizando la clave. Nota: No todos los dispositivos soportan esta función.
Ten en cuenta qué hacer si tus dispositivos activan el Modo de Instalación por defecto
Como mencionamos anteriormente, Genetec Synergis Cloud Link o Roadrunner, así como los dispositivos Mercury y Axis, no entran en esta categoría. Con todos estos controladores, el Modo de Instalación debe activarse manualmente. Una vez configurado el lector, el dispositivo saldrá automáticamente del Modo de Instalación. Sin embargo, si tienes otros dispositivos en los que el Modo de Instalación está activado por defecto, aquí tienes algunos consejos que debes tener en cuenta:
- Concéntrate en una implementación segura. Una vez instalado el dispositivo, asegúrate de cambiar el Modo de Instalación de ENCENDIDO a APAGADO para todos tus dispositivos con el OSDP.
- Algunas de estas marcas de dispositivos pueden tener la capacidad de desactivar automáticamente el Modo de Instalación después de un cierto período de tiempo. También pueden ofrecer funcionalidades de reporte que te indiquen qué dispositivos permanecen con el Modo de Instalación activado para identificar rápidamente los dispositivos vulnerables.
- Si tienes un dispositivo que pasa automáticamente al Modo de Instalación, ponte en contacto con tu proveedor de control de acceso para identificar otras medidas de seguridad integradas que puedan ayudarte a garantizar que el Modo de Instalación nunca se quede activado.
Claves de encriptación débiles
Aunque es poco frecuente, algunas marcas de dispositivos pueden utilizar claves de encriptación débiles para las sesiones de comunicación. Los investigadores hicieron esta especulación después de encontrar una clave genérica codificada en una biblioteca OSDP de código abierto. Como estas claves suelen estar formadas por compilaciones familiares y sencillas, fueron capaces de generar 768 posibles claves codificadas. ¿La amenaza? Los ciberdelincuentes podrían hacer lo mismo, utilizando estas claves débiles para lanzar ataques de fuerza bruta e intentar acceder a tu sistema.
¿Qué puedes hacer para mitigar este riesgo?
Cambia las claves codificadas durante la instalación
Esta vulnerabilidad tiene que ver de nuevo con la implementación efectiva de los dispositivos. Si tienes dispositivos que utilizan claves genéricas codificadas, tendrás que cambiarlas por claves únicas y aleatorias.
Elije dispositivos verificados con el OSDP
Estos productos han sido probados y verificados por la SIA para cumplir las normas del OSDP. Estos cuentan con muchas funcionalidades de seguridad como el soporte de claves AES-128 únicas y generadas aleatoriamente para tu dispositivo con el OSDP. Asegúrate de consultar con tu proveedor para saber si esta funcionalidad está activada por defecto o si debes configurarla manualmente.
Conoce los dispositivos Genetec
Nuestras soluciones nunca utilizan claves codificadas. Independientemente de que tengas Synergis Cloud Link o Synergis Cloud Link Roadrunner, recibirás claves AES-128 generadas aleatoriamente para cada dispositivo o tendrás la posibilidad de configurar tus propias claves seguras.
Retorno a Modo de Instalación
La última vulnerabilidad consiste en hacer que un dispositivo vuelva al Modo de Instalación. Los investigadores explicaron cómo los hackers podían instalar un dispositivo de escucha encubierto en el cableado RS485 de un lector de control de acceso existente y manipular el dispositivo hasta el punto de tener que sustituirlo. Cuando el nuevo lector se conecte, el dispositivo de escucha podrá capturar la clave de encriptación durante el Modo de Instalación. Los hackers podrían entonces imitar al lector para robar información crítica.
¿Qué puedes hacer para mitigar este riesgo?
Toma en serio las alarmas de los dispositivos
Si un dispositivo se desconecta o da problemas continuamente, sé diligente con tu evaluación y asume la posibilidad de una amenaza. También puedes consultar los reportes de estado de los dispositivos en Security Center para revisar las alarmas de un dispositivo específico. Esto puede ayudarte a identificar eventos o patrones sospechosos, que pueden revelar un intento de violación de seguridad.
Utiliza un cableado provisional durante la instalación
Si se ha instalado un dispositivo de escucha en tu cableado RS485, usa un cableado provisional desde el nuevo lector al controlador durante el emparejamiento de dispositivos para mitigar este riesgo. Esto te permitirá iniciar de forma segura la conexión del dispositivo y proceder con la comunicación encriptada para finalizar la instalación.
Una lista de comprobación para el refuerzo de OSDP y lo que viene de Genetec
Las amenazas a la ciberseguridad evolucionan constantemente. Estas vulnerabilidades OSDP demuestran lo importante que es no sólo elegir los dispositivos más ciberseguros, sino también seguir las mejores prácticas recomendadas para defenderse ante las amenazas.
A continuación te compartimos una rápida lista con las mejores formas de defenderse hoy, contra las amenazas del OSDP:
- Elije dispositivos verificados con el OSDP
- Activa el modo Canal Seguro para todos tus dispositivos
- Sigue las recomendaciones del OSDP en las guías de instalación y endurecimiento cibernético
- Configura claves de encriptación no comunes para tus dispositivos
- Activa el Modo de Instalación sólo cuando puedas confiar en todo el canal
- Si el Modo de Instalación está activado por defecto en tu dispositivo, sal del Modo de Instalación después de la instalación del dispositivo (recomendación específica del dispositivo)
- Instala nuevos lectores mediante una conexión directa al controlador
- Comprueba tu índice de seguridad y sigue las mejores prácticas
- Comprueba las alarmas de los dispositivos y extrae reportes para identificar problemas mayores
- Recurre a proveedores de confianza para obtener soporte y orientación adicionales
Compartir contigo estos consejos es sólo el principio. En Genetec, también estamos trabajando de forma proactiva con nuestros socios tecnológicos de control de acceso para identificar y catalogar las capacidades de los dispositivos relacionadas con el OSDP.
También estamos buscando nuevas formas de ayudarte a defenderte contra estas vulnerabilidades del OSDP dentro de nuestra plataforma Security Center. Compartiremos más información en cuanto esté disponible. Mientras tanto, si tienes alguna duda o necesitas más orientación, contacta a nuestro equipo de soporte.