Milano, 15 Marzo Sicurezza fisica e sicurezza informatica: due facce della stessa medaglia

Transcript

1 Milano, 15 Marzo 2016 Sicurezza fisica e sicurezza informatica: due facce della stessa medaglia

2 Agenda Chi siamo Introduzione Case Study reali Ulteriori sistemi Considerazioni finali 2

3 L Azienda Nata già nel 1997 come società di persone e costituita in società di capitale nel 2000, ad Mediaservice.net è una Security Advisory Company italiana, a capitale interamente privato, che opera sul mercato della Sicurezza Informatica da più di 15 anni. La missione Mediaservice.net è verificare, migliorare e mantenere il livello di sicurezza delle informazioni e dei processi di business dei Clienti e delle infrastrutture ICT ad essi collegate, operando in modo indipendente da Vendor, prodotti o tecnologie ed agendo in qualità di terza parte indipendente nel rispetto delle metodologie e best practice condivise a livello internazionale. 3

4 Il Team che presenta il talk Federico Dotta Security Expert CSSLP, CEH, OSPT, OPSA 4+ anni di Penetration Test Phisical access Security Application Security Java Security Expert M aurizio Agazzini Senior Security Advisor (maurizio.agazzini@mediaservice.net) CISSP, CSSLP, OPST, OPSA OWSE 10+ anni di Penetration Test (IP, Web Application, Mobile, RFID, smartcard, VoIP, ) Reverse engineering Training 4

5 5

6 Introduzione Sistemi di sicurezza fisica 6

7 Introduzione la sicurezza nel mondo enterprise Fonte: 7

8 La simulazione degli attacchi Eludere le protezioni fisiche per arrivare alla rete Usare l infrastruttura informatica per violare le protezioni fisiche Accedere ad aree riservate senza lasciare tracce, accedere ad informazioni riservate, effettuare attacchi di tipo Social Engineering 8

9 Case study reali 9

10 Case Study: Azienda A Data di implementazione: 2009 Planning di sostituzione: Sconosciuto Ulteriori dettagli: Sistema di accesso fisico con diversi livelli di autorizzazione Alcune aree critiche possono essere accedute solo da dipendenti con adeguate autorizzazioni (CED) Telecamere solo all ingresso 10

11 HID Corporate 1000 Utilizzano badge a tecnologia contact-less a 125 khz. Molto semplice: contiene unicamente un informazione a 35 bit Ogni badge è teoricamente unico (non esistono due badge con la stessa informazione) L informazione è composta da due elementi: Facility Code (identificativo dell azienda) Card Code (identificativo del badge) 11

12 HID Corporate Problematiche Contiene solo l ID e nessun altro dato Non vi è una mutua autenticazione tra badge e lettore Nessuna cifratura dell informazione La frequenza permette la lettura anche da distanze «considerevoli» Nonostante non siano teoricamente scrivibili, esistono chip specifici che ne permettono l emulazione (es. T55x7) 12

13 Come ottenere il Facility Code Ottenere un appuntamento presso un interno dell azienda. Solitamente viene fatto un badge «visitatore», che ha al suo interno l identificativo dell azienda. Ottenere un badge valido, tramite furto, social engineering, etc. Anche in caso di furto rilevato, difficilmente verrà sostituito il Corporate ID. Verrà unicamente disabilitato il badge rubato. Se l agente di minaccia è un insider, è già in possesso del Facility Code Leggere il badge da «lontano» (Metro, strada, etc.) 13

14 Ottenere il Card Code Furto / Accesso temporaneo, bastano pochi secondi Leggere il badge da «lontano» Ma a volte è molto più semplice basta guardarlo. 14

15 Leggere un 125kHz a distanza

16 Se non conosciamo l ID di un dipendente specifico? Spesso gli ID sono incrementali tra i differenti badge Utilizzo di un firmware modificato del ProxMark3 per effettuare il brute force del Card Code in modalità standalone physical-access-control-system-improving-the-firmware-ofproxmark-iii/ 16

17 E se non troviamo l ID valido che cerchiamo? Lettore «badge» collegato alla rete aziendale, identificato mediante scansione della rete Password di default sul lettore che gestisce la bussola Cambio della configurazione ed impostazione di un server fake MITM (stesso switch di piano) tra la bussola e il server. Modifica dei dati on the fly in modo da permettere l accesso a un badge non valido 17

18 Case Study: Azienda B Data di implementazione: 2014 Planning di sostituzione: Nessuno Ulteriori dettagli: Stabilimento industriale molto vasto Presenza di numerosi varchi gestiti attraverso i badge e con possibilità di richiedere l apertura alla portineria Videosorveglianza nei principali varchi di accesso e aree comuni 18

19 Mifare Classic Utilizzano badge a tecnologia contact-less a 13,56 Mhz UID univoco (non riscrivibile) Memoria 1K o a 4K a seconda del modello Mutua autenticazione tra badge e lettore Aree ad accesso controllato da «chiavi» di lettura e/o scrittura Due chiavi per area: possibilità di utilizzare chiavi diverse per lettura e scrittura Algoritmo CRYPTO1 (NXP Semiconductors) 19

20 Mifare Classic - Problematiche Security by obscurity Chiavi troppo corte (48 bit) Attacchi noti Recupero delle chiavi ed emulazione attraverso MitM Nested Attack (card only) Dark-Side Attack (card only) Hardware di clonazione economico Clonazione possibile nella maggior parte dei casi in una manciata di secondi 20

21 Mifare Classic - Problematiche ID del dipendente stampato sul badge Informazione necessaria all accesso solitamente contenuta nella parte dati Raramente viene considerato anche l UID nella fase di autenticazione (no associazione numero badge/uid) Anche se fosse... La Cina viene in nostro aiuto! ;-) 21

22 Telecamere Assenza di segregazione Telecamere posizionati all interno di uno specifico segmento di rete DoS ne caso di invio pacchetti UDP multipli (UDP flood) Utilizzo di alimentazione elettrica standard (no PoE) Qualcuno ha dovuto girare tutto lo stabilimento e riavviare manualmente le telecamere 22

23 Varchi di ingresso Cancelli controllati dalla guardiola Scansione delle numerazioni assegnate al cliente mediante Warvox (scansione PSTN via VoIP) BEEP seguito da rumori Brute force del PIN via DTMF 23

24 Case Study: Azienda C Data di implementazione: 2000 (banda magnetica) 2015 (banda + contact-less) Planning di sostituzione: Fine 2016 solo contact-less Ulteriori dettagli: Nuova infrastruttura aziendale a sostituzione di quella vecchia Utilizzo del badge per l accesso alle stampe Telecamere diffuse in tutta l azienda 24

25 Sistemi misti Badge con più di una tecnologia di identificazione Utilizzato per il periodo di migrazione tra un sistema a banda magnetica a un sistema basato tecnologia contact-less Sicurezza del sistema nel complesso dipendente dalla sicurezza del sistema più debole E fondamentale dismettere il sistema obsoleto al termine del processo di migrazione Spesso viene introdotto un sistema di identificazione forte, ma viene mantenuto anche quello precedente invalidando ogni nuova misura di sicurezza introdotta 25

26 Sistemi a banda magnetica Inventata nel 1960 da IBM. Badge costituiti da un sottile strato di materiale magnetizzabile posto solitamente al di sopra di una tessera di materiale plastico. Tre tracce di dati: fino a 79 caratteri per la prima traccia fino a 40 caratteri per la seconda traccia fino a 107 caratteri per la terza traccia Solo la prima traccia può contenere caratteri alfanumerici Informazione di identificazione generalmente contenuta nella prima e nella seconda traccia 26

27 Problemi dei sistemi a banda magnetica Elevato rischio di cancellazione o di corruzione dei dati Non vi è una mutua autenticazione tra badge e lettore Nessuna cifratura dell informazione Poco spazio per i dati e quindi solitamente questo tipo di badge contiene unicamente un identificativo dell utente (simile all HID Corporate 1000) Clonare un badge a banda magnetica è semplicissimo e può essere eseguito con un hardware da poche decine di euro in pochissimo tempo senza quasi alcuna conoscenza di sicurezza. 27

28 Clonazione di una banda magnetica 28

29 HID iclass Utilizzano badge a tecnologia contact-less a 13,56 Mhz Mutua autenticazione tra badge e lettore Algoritmo 3DES per la cifratura del dato Come nell HID Corporate l informazione di identificazione è solitamente composta da due elementi, Facility Code (identificativo dell azienda) e Card Code (identificativo del badge), ma a seconda dei modelli ha anche a disposizione memoria aggiuntiva in grado di contenere ulteriori dati Possono essere installate con 3 diverse tipologie di sicurezza: Standard Security High Security Elite Security 29

30 HID iclass Standard Security Ogni lettore del globo ha le stesse chiavi E sufficiente entrare in possesso di un qualsiasi lettore e ottenere chiavi valide per ogni badge HID iclass Standard Security di qualsiasi azienda Inizialmente erano necessari due lettori, con i moderni attacchi uno è sufficiente Recuperare un lettore non è difficile ne costoso DOS innalzando il livello di sicurezza da Standard Security a Elite Security 30

31 HID iclass High Security e Elite Security Chiavi diverse per ogni organizzazione High Security e Elite Security identici dal punto di vista implementativo Nel grado di sicurezza «High Security» le chiavi aziendali sono mantenute e gestite dall azienda stessa o da un fornitore di essa Nel grado di sicurezza «Elite Security» le chiavi aziendali sono mantenute e gestite direttamente da HID Vulnerabilità note permettono di recuperare le chiavi effettuando uno sniffing di 15 tentativi di autenticazione e successivamente un attacco di tipo forza bruta off-line con uno spazio delle chiavi molto ristretto Codice di exploiting delle vulnerabilità disponibile pubblicamente 31

32 Stampanti aziendali Badge utilizzati per accedere alle code di stampa senza credenziali Possibilità di utilizzo di username e password in alternativa Accesso ai documenti ancora da stampare e agli ultimi stampati Stampanti con accesso VNC non autenticato Possibilità di ottenere le credenziali semplicemente guardandole 32

33 Assenza di segregazione e di segmentazione di rete Telecamere posizionati all interno della rete aziendale di piano Utilizzo di flussi RTP/SRTP Flussi audio/video in chiaro Flussi audio/video con cifratura ma senza controllo dei certificati Sostituzione del flusso video con uno registrato proprio come nei film 33

34 Proof of Concept 34

35 Ulteriori sistemi 35

36 Tecnologie contact-less Mifare Ultralight Mifare DesFire Mifare DesFire EV1 e EV2 Calypso HID Indala HID ProxCard 36

37 Biometria Identificazione basata su una caratteristica biologica o comportamentale del dipendente Autenticazione basata su qualcosa che si è Esempi di caratteristiche biometriche: Impronta digitale Timbro della voce Alta variabilità del dato biometrico e variazione nel tempo Difficoltà legali e di attinenza alle normative Dai dati biometrici è possibile ricavare dati sensibili Rischi aggiuntivi per l azienda nell immagazzinamento di questa tipologia di dati Esempio: HID bioclass: dati sensibili mantenuti unicamente sul badge 37

38 Smart card Inventata nel 1968 in Germania. Possiede un microprocessore che può svolgere delle computazioni Spesso è inoltre dotata di un co-processore crittografico (protocolli challenge-response) Migliaia di modelli e tecnologie differenti Ogni tecnologia è diversa dalle altre e può presentare problematiche diverse Alcuni esempi di vulnerabilità: Attacchi «side channel» («Differential Power Analisys» e «Timing Attack») Reverse engineering del chip Carenze nella progettazione delle misure di sicurezza del chip 38

39 Considerazioni finali 39

40 Considerazioni finali E necessario verificare lo stato di sicurezza dei sistemi di sicurezza fisica implementati nell azienda E importante integrare i sistemi di sicurezza fisica e sicurezza informatica, ormai non sono più due mondi separati E necessario effettuare un analisi dei prodotti prima della loro scelta e non fidarsi ciecamente del fornitore Non è sufficiente verificare lo stato di sicurezza unicamente dei dispositivi di sicurezza fisica, ma è necessario verificare anche applicativi, sistemi e reti utilizzati 40

41 Considerazioni finali Ove possibile affidarsi a tecnologie che impiegano standard conosciuti e aperti Ricordarsi che la sicurezza è data dall anello più debole Prendere in considerazione la progressione tecnologica Come in tutti gli altri ambiti, la sicurezza nel complesso dipende molto dall implementazione 41

42 Grazie per l attenzione, domande? Uffici di Torino Via Santorelli 15, Grugliasco (TO), ITALY Tel Fax Uffici di Roma Via di Grotte Portella 6/8, Frascati Roma, ITALY Tel Fax