Come affrontare le vulnerabilità OSDP nel controllo accessi
Hai sentito parlare delle vulnerabilità OSDP e ti stai chiedendo come mitigare i rischi? Leggi questo post per scoprire come proteggere meglio il tuo sistema di controllo accessi.
Di recente si è parlato molto delle vulnerabilità dell'Open Supervised Device Protocol (OSDP).
Sono state presentate per la prima volta quest'anno alla Black Hat Security Conference da un'azienda di sicurezza, Bisho Fox. Poco dopo, un post di Ars Technica ha approfondito i cinque rischi dell'OSDP citati alla conferenza.
Da quel momento, il protocollo OSDP è stato bersagliato dalle richieste di chiarimenti provenienti dal settore della sicurezza fisica. I punti deboli dei sistemi espongono al rischio di attacchi: perciò per le aziende è importante conoscere l'impatto delle vulnerabilità OSDP e sapere come difendersi dalle relative minacce.
Continua a leggere per scoprire tutte le risorse disponibili per proteggere il tuo sistema Security Center da queste vulnerabilità.
Cos'è il protocollo OSDP?
OSDP sta per Open Supervised Device Protocol. È un protocollo di comunicazione molto diffuso, che offre un framework sicuro e flessibile per la connessione dei dispositivi periferici di controllo accessi.
Più nello specifico, connette i lettori di schede e altre periferiche di controllo accessi ai controller, permettendo ai pannelli di controllo di verificare le credenziali rispetto al database dei cardholder e concedere o negare l'accesso a porte e aree.
L'OSDP è stato creato dalla Security Industry Association (SIA) come protocollo di controllo accessi di nuova generazione per migliorare l'interoperabilità tra i diversi prodotti. Il protocollo supporta la crittografia 128-bit AES, le tecnologie smartcard e altre funzionalità avanzate. Questi vantaggi hanno portato l'OSDP a essere considerato più sicuro per le installazioni di controllo accessi rispetto al precedente protocollo Wiegand. Nel 2020, l'OSDP è stato anche approvato come standard internazionale dall'International Electrotechnical Commission.
Cos'è l'hacking OSDP? E come possiamo difenderci dai rischi?
L'hacking OSDP è stato presentato da Dan Petro e David Vargas di Bishop Fox alla conferenza Black Hat di quest'anno. I due ricercatori hanno condiviso il modo in cui sono riusciti a violare un sistema di controllo accessi sfruttando le vulnerabilità del protocollo OSDP, illustrando scoperte e consigli nell'articolo "Badge of Shame–Breaking into Security Facilities with OSDP".
Ecco un breve riassunto delle cinque principali vulnerabilità di sicurezza dell'OSDP e dei modi migliori per mitigare subito i rischi.
Le 5 principali vulnerabilità dell'OSDP
Crittografia facoltativa
Il protocollo OSDP supporta la crittografia, ma è necessario abilitarla specificamente per ciascun dispositivo. Non abilitare la crittografia canale sicuro durante l'installazione dei dispositivi o utilizzare dispositivi che non supportano tutte le funzionalità di sicurezza disponibili nel protocollo OSDP (come la crittografia) li può rendere vulnerabili ai criminali informatici.
Come mitigare il rischio?
Abilita il canale sicuro
È un'operazione da svolgere al momento dell'installazione e della configurazione dei dispositivi di controllo accessi. Nella nostra guida Protezione avanzata di Security Center, troverai consigli per l'utilizzo del protocollo OSDPv2 con la modalità canale sicuro attivata. Potrai anche seguire le istruzioni dettagliate per abilitare la connessione sicura dei lettori da Config Tool all'interno di Security Center.
Segui le istruzioni di installazione relative all'OSDP
Se usi Synergis™ Cloud Link, assicurati di seguire tutte le raccomandazioni relative all'OSDP contenute nella Guida all'installazione di Synergis Cloud Link e nella Guida per gli amministratori di Synergis Cloud Link. Ecco alcune sezioni specifiche della Guida per gli amministratori che riguardano gli standard OSDP e le best practice per i dispositivi OSDP:
Se hai bisogno di assistenza per i dispositivi OSDP di vendor di controllo accessi specifici che si connettono a Synergis Cloud Link, puoi consultare le nostre guide qui.
Per indicazioni relative all'OSDP per Synergis Cloud Link Roadrunner™, consulta a queste risorse:
- Lettori OSDP supportati
- Creazione dei canali di configurazione OSDP
- Configurazione e aggiunta dei lettori OSDP
Monitora il punteggio di sicurezza
In Security Center, il widget Security Score monitora la sicurezza del sistema in tempo reale, la confronta con una serie di best practice, assegna un punteggio e offre consigli per migliorare la cybersecurity. Uno di questi consigli per il controllo accessi è "utilizzare connessioni sicure per i lettori". Se non hai ancora abilitato il canale sicuro, Security Score ti avviserà di questo rischio potenziale e ti consiglierà di proteggere le connessioni dei dispositivi di controllo accessi per migliorare il tuo punteggio di cybersecurity.
Attacchi di downgrade all'hardware
Quando un lettore si connette per la prima volta, trasmette al controller l'elenco di funzionalità disponibili, tra cui l'eventuale supporto della crittografia. Tuttavia, c'è una grande differenza tra supportare la crittografia canale sicuro e applicarla effettivamente.
Quindi, se i lettori e i controller supportano la crittografia canale sicuro e l'hai attivata, i dispositivi accetteranno comunque lo scambio di dati non crittografati?
I ricercatori hanno scoperto che, collegando un dispositivo di hacking al cablaggio di uno specifico lettore, potevano intercettare le comunicazioni dal lettore al controller per far credere a quest'ultimo che il lettore non supportava le comunicazioni crittografate. In questo modo, potevano causare un downgrade del protocollo di comunicazione e accedere alle credenziali.
Come mitigare il rischio?
Scegli dispositivi sicuri
È importante sapere che abbiamo a che fare con una vulnerabilità specifica dell'hardware. I dispositivi di controllo accessi di alcuni produttori richiedono l'utilizzo del canale sicuro e rifiutano qualsiasi comunicazione non crittografata.
Controlla le configurazioni OSDP
Puoi verificare la configurazione OSDP dei controller. Ogni dispositivo è diverso dall'altro, quindi rivolgiti a chi ti fornisce l'hardware di controllo accessi per saperne di più su questa impostazione e assicurarti che i controller rifiutino le comunicazioni non crittografate. Se hai bisogno di indicazioni sui dispositivi specifici di Genetec, contatta il nostro team di assistenza.
Attacchi in modalità di installazione
Quando si configurano nuovi lettori e controller, alcuni dispositivi compatibili OSDP attivano automaticamente la modalità di installazione. Durante questo processo, il lettore chiede al controller una chiave di base generica. Una volta che il dispositivo è online e la connessione è stata stabilita, la comunicazione torna a essere crittografata. Tuttavia, i ricercatori hanno scoperto che, se la modalità di installazione non viene disattivata, i malintenzionati possono intercettare le comunicazioni e richiedere una nuova chiave per conto di un dispositivo, ottenendo così l'accesso a sistemi e dati.
Come mitigare il rischio?
Scopri perché i dispositivi Genetec, Mercury e Axis sono sicuri
Durante la configurazione, non tutti i dispositivi hanno la modalità di installazione abilitata per impostazione predefinita. I prodotti Genetec come Synergis Cloud Link o Roadrunner e i più recenti dispositivi Mercury e Axis richiedono agli installatori di abilitare espressamente la modalità di installazione con una scheda o un'app di configurazione. Dopodiché, una volta aggiunto un lettore, i controller disattivano automaticamente la modalità. Questo approccio annulla la vulnerabilità e garantisce la sicurezza del sistema e dei dati.
- Consigliamo sempre di attivare la modalità di installazione solo quando l'intero canale è affidabile e sotto controllo.
- Un altro consiglio per mitigare il problema, è fornire le chiavi separatamente sul lettore e sul controller. Se il lettore non è in modalità di installazione, il controller non invierà la chiave tramite OSDP. Una volta abilitato il canale sicuro, il controller cercherà di avviare una connessione protetta utilizzando la chiave. Nota: non tutti i dispositivi supportano questa funzionalità.
Impara a gestire i dispositivi che attivano la modalità di installazione per impostazione predefinita
Come abbiamo accennato in precedenza, i dispositivi Genetec Synergis Cloud Link o Roadrunner e i dispositivi Mercury e Axis non rientrano in questa categoria. Con tutti questi controller, la modalità di installazione deve essere attivata manualmente e, una volta configurato il lettore, il dispositivo disattiva automaticamente la modalità. Se però hai altri dispositivi in cui la modalità di installazione è abilitata di default, ecco alcuni consigli da tenere in considerazione:
- Concentrati sulla sicurezza dell'implementazione. Dopo la configurazione, assicurati di disattivare la modalità di installazione in tutti i dispositivi OSDP.
- I dispositivi di alcuni produttori potrebbero disattivare automaticamente la modalità di installazione dopo un certo periodo di tempo o offrire funzionalità di reporting che segnalano i dispositivi per cui la modalità è ancora attiva, in modo da identificare rapidamente le vulnerabilità.
- Se utilizzi dispositivi che attivano automaticamente la modalità di installazione, contatta il tuo vendor di controllo accessi per individuare altre protezioni built-in che possano aiutarti a garantire che questa modalità non resti attiva.
Chiavi di crittografia deboli
Sebbene sia raro, alcuni produttori di dispositivi potrebbero utilizzare chiavi di crittografia deboli per le sessioni di comunicazione. I ricercatori hanno avanzato questa ipotesi dopo aver trovato una chiave generica hardcoded in una libreria OSDP open-source. E, dal momento che queste chiavi di solito comprendono compilazioni semplici e conosciute, sono stati in grado di generare 768 possibili chiavi hardcoded. La minaccia? I criminali informatici potrebbero fare lo stesso, utilizzando queste chiavi deboli per sferrare attacchi brute-force e cercare di accedere ai sistemi.
Come mitigare il rischio?
Sostituisci le chiavi hardcoded durante l'installazione
Anche questa vulnerabilità è strettamente legata all'implementazione dei dispositivi. Se hai dispositivi che utilizzano chiavi generiche hardcoded, dovrai sostituirle con chiavi univoche e randomizzate.
Scegli dispositivi OSDP verificati
Si tratta di prodotti testati e verificati da SIA per garantire che soddisfino gli standard OSDP. Sono dotati di molte funzionalità di sicurezza, come il supporto di chiavi AES-128 univoche e randomizzate. Assicurati di verificare con il tuo vendor se questa funzionalità è abilitata di default o se deve essere configurata manualmente.
Scopri di più sui dispositivi Genetec
Le nostre soluzioni non utilizzano mai chiavi hardcoded. Sia con Synergis Cloud Link che con Synergis Cloud Link Roadrunner, riceverai chiavi AES-128 randomizzate per ogni dispositivo o potrai configurare le tue chiavi sicure.
Ripristino forzato della modalità di installazione
L'ultima vulnerabilità consiste nel riportare i dispositivi in modalità di installazione. I ricercatori hanno spiegato che gli hacker possano installare un dispositivo di ascolto segreto sul cablaggio RS485 di un lettore di controllo accessi esistente e manomettere il dispositivo fino al punto di richiederne la sostituzione. In seguito, quando il nuovo lettore viene attivato, il dispositivo di ascolto può acquisire la chiave di crittografia in modalità di installazione, permettendo agli hacker di imitare il lettore per rubare informazioni critiche.
Come mitigare il rischio?
Prendi sul serio gli allarmi dei dispositivi
Se un dispositivo si disconnette o causa continuamente problemi, valuta con attenzione la situazione e considera la possibilità che si tratti di una minaccia. Puoi anche controllare i rapporti sullo stato dei dispositivi in Security Center, per esaminare gli allarmi di un dispositivo specifico e individuare eventi o pattern sospetti che potrebbero indicare un tentativo di breach.
Usa un cavo temporaneo durante l'installazione
Utilizzare un cavo di collegamento temporaneo tra controller e nuovi lettori durante l'accoppiamento dei dispositivi riduce il rischio legato a eventuali dispositivi di ascolto sul cablaggio RS485. In questo modo, potrai avviare la connessione del dispositivo in modo sicuro e passare alla comunicazione crittografata per terminare l'installazione.
Una checklist per l'hardening dell'OSDP e le novità di Genetec
Le minacce alla cybersecurity sono in continua evoluzione. Le vulnerabilità OSDP dimostrano quanto sia importante non solo scegliere i dispositivi più cybersicuri, ma anche seguire le best practice raccomandate per difendersi dalle minacce.
Ecco una rapida checklist dei modi migliori per difendersi subito dalle minacce OSDP:
- Scegli dispositivi OSDP verificati
- Abilita la modalità canale sicuro per tutti i dispositivi
- Segui le raccomandazioni nelle guide all'installazione e all'hardening dei dispositivi OSDP
- Configura chiavi di crittografia complesse e sicure
- Attiva la modalità di installazione solo quando l'intero canale è affidabile
- Nel caso in cui la modalità di installazione è abilitata per impostazione predefinita, disattivala al termine della configurazione (raccomandazione specifica per i dispositivi).
- Installa i nuovi lettori con una connessione diretta al controller
- Verifica il tuo punteggio di sicurezza e segui le best practice
- Controlla gli allarmi dei dispositivi e i rapporti per identificare i problemi più gravi
- Appoggiati a vendor di cui ti fidi per ricevere ulteriore supporto e assistenza
Condividere questi consigli è per noi un primo passo. Genetec sta inoltre lavorando in modo proattivo con i propri partner tecnologici di controllo accessi per identificare ed elencare le funzionalità OSDP dei dispositivi.
Non solo, stiamo anche studiando nuove strategie per aiutarti a difenderti da queste vulnerabilità OSDP all'interno della nostra piattaforma Security Center. Pubblicheremo altre informazioni non appena saranno disponibili. Nel frattempo, per qualsiasi domanda o per ulteriori indicazioni, contatta il nostro team di assistenza.