Безопасность средств безопасности: СКУД

Вот это дело меня давно интересует. Расскажите хотя бы схему: как СКУД может привести к потере денег? Как это хоть в принципе возможно?

Легко! Если, разбираетесь в терминологии, все расписывать я не буду.

Идеально настроенная сеть, внутренний периметр, отключена авторизация по NTLM вовсе, даже зная пароль пользователя домена или администратора домена невозможно залогиниться ни на один хост компании без компьютера изначально находящегося в домене. Соблюдения политики обновлений - идеально, двухфакторная авторизация по токенам, разрешен запуск только подписанных приложений или приложений только из белого списка, с парольными политиками AD тоже все нормально. Но вот установили СКУД на отдельный компьютер. Появился открытый 3050\tcp порт с авторизацией по умолчанию через SYSDBA. Благодаря этому удалось исполнить произвольный код с правами SYSTEM. Еще раз повторяю - это возможно. Таким образом компрометируем первый компьютер в домене и наконец оказываемся в контексте домена компании. А тут у нас доступна авторизация по Kerberos, а это значит можем логиниться на любой комп если знаем пароль. Пароль достаем из LSA Secrets или оставляем кейлогер или другие способы. А дальше типичный пентест, доступ к компьютеру с ДБО, выбор момента и транзакция на подставной счет. Профит! Здесь, компьютер со СКУД - слабое звено, через него получили первый компьютер в домене, да еще с правами SYSTEM. Все локальные и доменные политики безопасности летят коту под хвост!

Уважаемый Евгений!

Если, по-вашему, применительно к СКУД,

Уязвимость - это недокументированная возможность нарушить логику работы программы,

то, очевидно, решением универсального характера будет отказ от применения (в СКУд ad hoc) какого бы то ни было ПО вообще. Мало того, что это уже было в истории СКД, так ещё и реализуемо относительно простыми средствами разработки ;-).

А если трактовать уязвимость, как

возможность заставить работать СКУД не так как планировалось.

то уязвима абсолютно любая СКУД, зависящая от любого внешнего, по отношению к ней, фактора. То есть вообще любая.

Понятия "Уязвимость к кому" и "Уязвимость к чему" применительны только тогда, когда есть модель угроз для конкретной организации и модель потенциального злоумышленника.

Вовсе не обязательно злоумышленника: большинство проблем в системах управления, к коим относятся и СКУД, возникают от небрежения, а не от злой воли.

у вас есть риск, что проезжающий мимо бульдозер снесет стену между улицей и банковским хранилищем

Господи, зачем так сложно? Достаточно уборщицы, которая, вытирая пыль в серверной комнате, выдернет вилку из розетки, чтобы временно воткнуть туда пылесос. И - сама охрана и вынесет всю установленную броню, буде начальству срочно понадобятся бабки :-).

Вы не были в компаниях, работающих с большими деньгами и имеющих квалифицированных специалистов.

Типа Гугля, у которого упёрли сколько-то там сотен тысяч номеров кредитных карточек? Да, в таких мне делать нефиг :-).

Только методы социальной инженерии. Только хардкор.

Против "педальных СКУД" советского разлива - не помогали, отвечаю!

Это называется «рынок информационной безопасности». Согласно оценкам аналитического центра TAdviser, объем рынка информационной безопасности в России по итогам 2014 года составил 59 млрд рублей. Мы ничего не производим,

Ну и зря! Не производите ничего, я имею в виду. Интересно, Евгений, а как так получается, что 59 мильярдов освоено, а безопасности как не было, так и нет? Персональные данные в продаже на каждом углу, фирменные секреты по знакомству, госсекреты в телепередачах. Это за них, что ли, выплачено всё означенное бабло, или где?

Попробуёте мыслить не де- а кон- структивно, т.е., созидательно. Это работало во все времена. В отличие от нынешнего безвременья.

Всё вместе оставило впечатление програмистских бредней и студенческого потока сознания :-(, аналогичного попытке развода представителя очередного крупного бизнеса, сиречь денежного мешка, с не-своим баблом в оном. Ессно, мелкоту не обдерёшь, там денежки свои, кровненькие :-))).

Что ж, успехов :-).

Расскажите хотя бы схему: как СКУД может привести к потере денег? Как это хоть в принципе возможно?

Уважаемый Андрей! Всё элементарно просто: типа потратились вы на дорогущую СКУДу, со всякими тама файрбёрдами, сисдибиаями и проч. подоб.. А на вашей территории как работали всякие бездельники, ничего не производящие, так и работают, не делись никуда и не вымерли, аки мамонты :-(. Ну, вот и убыток :-)))

А на вашей территории как работали всякие бездельники, ничего не производящие, так и работают

В педальных то же прокатывало. Как-то попросили сделать СКУД для одного из подразделений предприятия с кабинным хранением. Все как положено - велся список уволенных, при отпусках/больничных/длительных прогулах пропуска изымались. Покуда людям не сильно хотелось на СКУД не торопились менять идентификаторы. Сделал проще - в выходной просто изъял все эти 2 сотни пропусков. А на их места в ячейках положил EM-marine которые работали только на один вход. Для выхода в течении дня надо было прийти и расписаться за сдачу старого пропуска :) . Итог - из 200 человек в течении 2 недель за полутора десятком пропусков так никто и не пришел. И это были действующие сотрудники.

И это к чему - что всегда будет много желающих проставить или поправить себе проходы. И будет достаточно желающих за небольшую денежку или пиво в этом деле посодействовать. Тут выше уже такой пример приводился. Потому книга на мой взгляд полезная. Хоть как-то открыть глаза что такая проблема может существовать. А как этой информацией кто распорядится дело уже десятое.

Много примеров что бы в небольших компаниях ну хотя бы до 1000-2000 человек (я не имею в виду ИТ-компании) вопросами ИБ занимался специалист службы ИБ? Обычно все валят на ИТ-службу. "Вы компьютерщики-выи защищайте что хотите". От кого? В том числе от них самих. Александр Рыжов тут писал про пример с левым контроллером, я и сам не раз такие примеры видел. А кто проконтролировал что появилась новая точка прохода? Никто.

Итог - из 200 человек в течении 2 недель за полутора десятком пропусков так никто и не пришел. И это были действующие сотрудники.

И что? Их уволили? Нет. Наказали? Нет.

Это могли быть люди в отпусках, в декрете, на больничном, работающие по своим графикам.

Про зарплату я уже писал: она начисляется на основе трудового договора, а никак не на основе данных от СКУД.

Так что пример любопытный, но не более.

Большое количество людей поучаствовало в этом процессе (и получило за это деньги), а результат - нулевой.

2 Евгений.

Вы описали такую цепочку: добавили в систему новый комп, в котором работает FireBird. У FireBird имеется уязвимость, позволяющая запускать через него некий скрипт и получать доступ к управлению компьютером.

Я Вас правильно понял? Основная причина взлома - запуск скрипта через порт 3050.

Далее кто-то сел за свое (!) рабочее место (т.е. авторизовался штатно), запустил сканер сети и получил список и компьютеров, и открытых портов. И, зная уязвимость, что-то там захватил и сделал свое черное дело.

Так?

2 Евгений.

Вы описали такую цепочку: добавили в систему новый комп, в котором работает FireBird. У FireBird имеется уязвимость, позволяющая запускать через него некий скрипт и получать доступ к управлению компьютером.

Я Вас правильно понял? Основная причина взлома - запуск скрипта через порт 3050.

Далее кто-то сел за свое (!) рабочее место (т.е. авторизовался штатно), запустил сканер сети и получил список и компьютеров, и открытых портов. И, зная уязвимость, что-то там захватил и сделал свое черное дело.

Так?

Не совсем. Дабавили в сеть новый чистый комп, установили на него СКУД, который за собой подтащил Firebird. Т.е. да, в сети появился комп с FB.

Возможность исполнения команд ОС через Firebird не уязвимость, просто такой функционал. Подобный есть, например, у MSSQL через функцию xp_cmdshell. Весь этот функционал доступен только для администратора СУБД, в случае с MSSQL для пользователя "sa", в случае с Firebird для пользователя "sysdba". Проблема не в том что такой функционал имеется у СУБД, а в том что от учетки администратора стандартный пароль, и через него этот функционал доступен не только настоящему админу, а любому встречному.

Основная причина взлома - стандартный пароль от администратора БД. Если бы он был изменен - взломать этот комп не удалось бы. Если бы СКУД использовал отдельную учетку для своей работы, а sysdba заблокировал(изменил пароль), то даже получив доступ к этой учетке, захватить комп не удалось бы. Да, тогда можно было бы захватить управление над СКУДом, но это уже меньший риск.

Далее кто-то сел за свое (!) рабочее место (т.е. авторизовался штатно), запустил сканер сети и получил список и компьютеров, и открытых портов. И, зная уязвимость, что-то там захватил и сделал свое черное дело.

Не. Свое рабочее место не нужно. Захватив первый комп, можно на нем все делать. я бы сказал это даже безопасней для злоумышленника. В данном случае злоумышленник внутренний, т.е. имеет доступ к витой паре, образно говоря. Врезолся он в витую пару в коридоре, подключилися через вай-фай, или это зараженный личный ноутбук работника, который он притащил в офис - есть много способов. Во взломе сети на базе Microsoft Windows - самое сложное это первый компьютер с максимальными правами, а дальше все относительно легко. Поэтому, поэтому нет смысла защищать что-то одно, если уж защищать - то все сразу. А то защитишь СКУД, взломают через mail-сервер и так до бесконечности.

Уважаемый Евгений!

Вы пишете про что? Про уязвимость продукта или про уязвимости систем? Пока что ваши рассуждения строятся вокруг да около компов.

от учетки администратора стандартный пароль, и через него этот функционал доступен не только настоящему админу, а любому встречному.

Во внутренней, контролируемой сети предприятия, так?

Врезолся он в витую пару в коридоре,

Ну-ну. Врезался - и подключился, например, к отрезанному компу, во прикол-то получился, а? А попал-то он в ограждаемый коридор через ту самую СКУДу? А тогда зачем ему её же и ломать? Ведь уже всё, преодолел?

подключилися через вай-фай

Который, конечно же, оказался не запаролен или не выделен в отдельную подсетку, да? И зачем там админ со сменным паролем...

Во взломе сети на базе Microsoft Windows - самое сложное это первый компьютер с максимальными правами, а дальше все относительно легко

В лаборатории легко. А в жизни всё как-то оказывается, что встречных поперечных до горизонта не видать, а свои работники (предатели) в деле. И от них никакие пароли абсолютно ничем помочь не способны. Потому что - им же известны.

Но вот вопрос: а при чём во всём этом деле взлома компов собственно СКУД? Напомню для понимания, что в классической 4х-компонентной схеме СКУД никакогот компа, собственно, нету :-).

2 Евгений.

Спасибо за подробное изложение методики.

Обсуждать ее смысла нет, изложенный механизм очевиден, но хочу отметить некоторые нестыковки логические.

1. Если сеть организована правильно (с чего Вы и начали описывать ситуацию), то сканер просто ничего не найдет.

А если найдет - то в сети есть проблемы более актуальные чем СКУД. Так что надо определяться: либо правильное администрирование, и проблем нет, либо НЕ правильное, и тогда жди чего угодно. Так что рассказы про врезание в медь или вход через Wi-Fi - это для дилетантов.

2. Если требования к ИБ серьезные, то паролями занимается администратор баз данных. Согласен, что их часто не бывает. Но в этом случае администратор сети изолирует СКУДовскую подсеть так, что ни туда, ни оттуда без ведома Админа не прорвешься.

3. Теперь несколько слов про взлом СКУДа. Полагаю, что Вы согласитесь, что при защите сколь-нибудь значимых объектов только на СКУД не полагаются. Описанные Вами угрозы (изменение маршрута, добавление контроллера, компрометация журнала событий) могут быть реализованы гораздо проще и дешевле, чем изложенный Вами вариант. И даже на эти угрозы есть контрмеры.

Заголовок Вашей статьи соответсвует духу времени: главное - громко крикнуть. Факты изложены тоже в духе времени: еще немного - и будет полный зверек! Передергивания есть, но лжи нет. Приведены авторитетные мнения (не совсем совпадающие с Вашими, но кто в этом разберется?). И тут же легкий посыл: не волнуйтесь, не перевелись еще на Руси радетели спокойствия и безопасности!

И на хабре засветились... В целом - правильной дорогой идете. Другой то сейчас и нет.

2 Евгений.

А расскажите, если не сложно, вот о чем: что является результатом Вашей работы при анализе ИБ? Как выглядит этот результат? Какой-то акт? протокол? рекомендации по дальнейшим действиям в части настройки сети?