Logo Hi-Tech Security
8-800-775-82-95

Звонок по России бесплатный

Telefon header
Москва: +7 (495) 789-89-50
Санкт-Петербург: +7 (812) 677-91-94

Анализ слабых сторон протоколов связи Clock-and-Data и Wiegand

Протокол OSDP заявляет свои претензии на лидерство в отрасли. 1 часть

08 октября 2019 г.

Bosch Hardware Image

Объемы и скорости передачи информации внутри современных систем контроля и управления доступом (СКУД) по сравнению с аналогичными системами десятилетней давности многократно возросли. Отмечая эту тенденцию, ведущие эксперты отрасли в один голос заявляют, что на первое место сегодня выходят задачи обеспечения надежности функционирования и защищенности каналов связи, по которым передаются конфиденциальные учетные данные пользователей.

Появление в 2008 году открытого контролируемого протокола устройств OSDP (Open Supervised Device Protocol) всколыхнуло мир СКУД, предложив пользователям инструмент, значительно превосходящий по своему потенциалу возможности общепризнанных на тот момент стандартов связи типа Clock-and-Data или Wiegand. Однако, несмотря на свои очевидные достоинства и преимущества, на которых мы подробнее остановимся ниже, новому интерфейсу понадобилось почти 10 лет, чтобы вытеснить с рынка закрепившихся там «старожилов» и обратить на себя внимание ведущих производителей оборудования и программного обеспечения для систем доступа.

В начале 80-х годов прошлого века многие компании стремились перейти от традиционных методам контроля доступа с использованием пары «замок-ключ» к более централизованным системам, способным поддерживать постоянную и эффективную защиту производственных помещений от внешних угроз. Как раз в эти годы внутри отрасли широко распространились и были приняты в качестве фактических стандартов протоколы связи Clock-and-Data и Wiegand, поскольку они обеспечивали наиболее надежное взаимодействие между считывателями и контроллерами СКУД. Несколько позже Ассоциация индустрии безопасности SIA (Security Industry Association) юридически закрепила признание этих двух интерфейсов в качестве отраслевых стандартов.

Clock-and-Data

Для упорядочивания взаимодействия панелей управления СКУД с устройствами чтения магнитных карт был разработан интерфейс Clock-and-Data. Реализация данного протокола требует использования двух проводов связи, один из которых носит название «clock», другой – «data» («часы» и «данные», соответственно). Линия «data» нужна для передачи головному устройству двоичного кода с рабочими данными, считанными ридером с карты, а по линии «clock» панель управления получает служебные сообщения о том, что считыватель готов начинать отправку очередного бита информации. Каждый раз перед тем, как отправить бит данных по линии «data», считыватель отправляет по линии «clock» импульс, разрешающий панели принять «образец» от линии данных и записать его себе в память. Магнитная сигнализация поддерживается как старыми, так и многими новыми контроллерами СКУД, работающими через протокол Wiegand.

Но этот устаревший интерфейс небезопасен, а карты с магнитной полосой достаточно легко клонируются. Мало того, изменение учетных данных и перепрошивка памяти считывателей в таких СКУД может осуществляться без задействования контроллера и центрального ПО системы.

Wiegand

Более 90% работающих сегодня СКУД используют протокол Wiegand, что делает его наиболее распространенным способом связи между устройствами считывания карт и контроллерами. Как и в случае с Clock-and-Data, этот интерфейс тоже использует для отправки данных на контроллер два провода, но технология формирования пакетов здесь другая. В Wiegand реализован взаимоинверсный принцип передачи: по одной линии отправляются единицы, по другой - нули. А при необходимости расширения управленческого функционала интерфейса (передача сигнала от датчика вскрытия, включение светодиодной или звуковой сигнализации на считывателе и пр.) в пучок между устройствами приходится добавлять дополнительные провода.

Стандарт Wiegand разрабатывался задолго до появления требований к информационной безопасности, действующих на современных предприятиях, поэтому потенциальные уязвимости этого протокола по-прежнему негативно влияют на сохранность передаваемых данных.

По сути, Wiegand просто не способен обеспечить тот уровень безопасности, который необходим сегодня индустрии доступа: он не имеет алгоритмов шифрования, сильно ограничен в расстоянии подключения устройств и малоэффективен в предотвращении несанкционированной связи со считывателями. Кроме того, любой, кто способен изучить язык протокола Wiegand и приобрести одно из легкодоступных хакерских приспособлений, может создать значительные проблемы для безопасности организации.

Несмотря на широкое распространение Wiegand, уязвимости этого интерфейса хорошо известны большинству конечных пользователей. В опросе ИТ-специалистов, проведенном маркетологами компании HID Global, 39 процентов респондентов заявили, что они полностью осведомлены о рисках безопасности, связанных с Wiegand, 36 процентов знакомы с проблемами в некоторой степени, и только 25 процентов вообще ничего не слышали об этом. Тем не менее, все они продолжали использовать в работе именно Wiegand.

Слабые стороны устаревших протоколов

К основным недостаткам ранних интерфейсов СКУД можно отнести следующие:

  • Однонаправленность линии связи;
  • Использование технологии «точка-точка»;
  • Отсутствие возможности шифрования данных и двусторонней аутентификации;
  • Ограниченность дальности физического подключения устройств.

Однонаправленность исключает возможность отправки информации от контроллера к считывателю, не позволяя системе проводить такие важные операции, как опрос состояния, обновление конфигурации, диагностика или настройка периферийного устройства. Безусловно, какие-то из этих ограничений устраняются производителями путем внедрения дополнительных схем и алгоритмов: отдельные провода для передачи сигнала от датчика вскрытия, контрольные посылки специального формата, подтверждающие исправность считывателя и др. Но такие методы, во-первых, всегда ведут к усложнению и удорожанию систем, во-вторых, они все равно не являются кардинальным решением проблемы.

Технология интерфейса «точка-точка» позволяет присоединить к каждому порту управляющей панели единственное устройство чтения. Попытки подключения к одному порту хотя бы двух считывателей неизбежно приводят к коллизиям и потерям данных, если информация от разных устройств поступает на вход одновременно, так как возможности осуществить повторный опрос считывателей просто не существует. Тем более, в данном контексте не приходится говорить о возможности дальнейшего масштабирования системы.

Отсутствие кодирования пересылаемой информации и двусторонней аутентификации значительно увеличивает шансы злоумышленников на успех при попытках взлома СКУД. Так как электрические и временные характеристики протокола Wiegand давно и хорошо известны. Практически любой технически подготовленный человек с помощью несложного и дешевого электронного устройства (например, BLEKey) способен осуществить перехват передаваемых пакетов и создать эмулятор карты.

Любые ограничения максимальной дальности подключения контроллера-считывателя при реализации СКУД на крупных объектах всегда ведут к необходимости приобретения дополнительных технических средств (конвертеров, усилителей) и, соответственно, усложнению монтажа и удорожанию проекта в целом.

В попытках найти всеобъемлющее решение вышеупомянутых проблем некоторые производители контроллеров и периферийных устройств разрабатывали свои внутренние протоколы связи, не ориентируясь на какие-либо стандарты. Но этот путь оказался практически тупиковым, так как потребителей, в первую очередь, интересуют универсальные и гибкие системы, не ограниченные необходимостью использования в своей структуре продуктов единственного поставщика.

В конце концов, осознание невозможности устранения всех недостатков и уязвимостей существующих протоколов подтолкнули индустрию безопасности к созданию и принятию новых стандартов, способных обеспечить надежную защиту конфиденциальных данных СКУД при передаче их по линиям связи.

 

ООО «Хай-Тек Секьюрити» — комплексные системы безопасности
facebook
Яндекс.Метрика