Hoe veilig zijn toegangspassen?
U heeft vast wel eens gelezen of gehoord dat het beveiligingsniveau van sommige toegangscontrolekaarten is gecompromitteerd. Van zogenaamde proximity-kaarten en onbeveiligde smartcards (IC Type-A) is bekend dat het vrij eenvoudig is om kaarten te kopiëren, kaartnummers te wijzigen of de inhoud van de kaarten te veranderen. Een logische vervolgvraag zou dan zijn: “Welke kaarttypen worden nu als minder veilig beschouwd om te gebruiken?” Onthoud echter: de kaart is slechts één element in het beveiligingssysteem. Het is heel goed mogelijk om vrijwel elke soort toegangspas in uw systeem te gebruiken, zolang u zicht bewust bent van de risico’s en maatregelen hebt genomen om die risico’s te beperken. Het inschakelen van multi-factor authenticatie (MFA) in specifieke beveiligingsgebieden, door kaarttechnologie te combineren met biometrie of een pincode (om de identiteit te verifiëren die door de kaart wordt gepresenteerd), zal het beveiligingsniveau van elk systeem aanzienlijk verhogen.
We hebben het hier overigens specifiek over het beveiligingsniveau van de pas zelf. We kijken bijvoorbeeld niet naar de communicatie tussen de lezer en toegangscontrolesystemen. Bekende kwetsbaarheden, zoals Wiegand communicatie tussen kaartlezer en toegangscontrolesysteem, laten we hier nu buiten beschouwing, omdat dit van toepassing is op elke kaart en lezer combinatie die deze interface-methode gebruikt).
De meeste kaarttypes hebben een unieke identificatiecode (UID) of een kaartserienummer (CSN), die op zichzelf al vaak gebruikt wordt voor de identificatie. Daarnaast hebben kaarten meestal ook geheugenruimtes (sectoren, bestanden, etc.) waarin informatie opgeslagen kan worden. In die geheugenruimtes kan de inhoud worden beschermd met een sleutel van een bepaalde lengte die is gekoppeld aan een versleutelingsmethode (zoals 3DES of AES). Een ander punt om in gedachten te houden is dat toegangspassen van verschillende leveranciers dezelfde chips gebruiken, maar dat er verschillende beveiligingsmaatregelen (zoals encryptiestandaarden, sleutelinstellingen, etc.) op geïmplementeerd kunnen zijn. De meeste fabrikanten in onze branche zijn graag bereid en ook in staat om u te voorzien van uitgebreide informatie en oprechte aanbevelingen. Dit artikel is alleen bedoeld voor educatieve doeleinden. We ondersteunen natuurlijk uitdrukkelijk niet illegaal of onethische gebruik van kwetsbaarheden in beveiliging. De informatie in dit artikel is ook niet nieuw. De meeste zwakke plekken in de beveiliging van veelgebruikte kaarten zijn vaak al meer dan tien jaar geleden ontdekt.
Wat betekent het als een kaart wordt gehackt?
We moeten ons afvragen wat het precies betekent als een “kaart wordt gehackt”. Wat is het gevolg voor ons veiligheidsniveau? Daarom stellen we een categorisering van bekende veiligheidslekken voor:
- A = Bescherming tegen het klonen (spoofen, emuleren) van de UID of CSN is gecompromitteerd of beperkt door het ontwerp.
- B = Bescherming tegen het veranderen of kopiëren van de inhoud van de kaart is gecompromitteerd of beperkt door het ontwerp.
- C = Afhankelijk van de specifieke configuratie en instelling van de kaart en lezer kan de beveiliging in gevaar komen.
- D = Er is momenteel geen documentatie dat de bescherming gecompromitteerd is.
Type A kwetsbaarheden zorgen ervoor dat derden uw kaarten (gemakkelijk) kunnen kopiëren of vervalsen, waardoor onbevoegde dragers (meestal mensen) toegang krijgen. Proximity kaarten ondersteunen vaak niet (of promoten niet) het opslaan van andere informatie op de kaart dan de ID van de drager.
Kwetsbaarheden van type B zouden derden in staat stellen om kaarten te kopiëren of te vervalsen, waardoor onbevoegde dragers toegang krijgen, zelfs als de identificatie is opgeslagen in een beveiligd geheugengebied (wat bij de meeste smartcards het geval is). En door de inhoud van deze geheugengebieden te veranderen, zouden derden ook de waarde kunnen veranderen van wat er in dat gebied is opgeslagen: een geldwaarde, offline toegangsrechten, toegangsniveaus, enz.
Type C kwetsbaarheden zijn een beetje vaag. In sommige gevallen kan het beschermingsniveau van de basisinstellingen van de kaart en lezer gecompromitteerd zijn. De fabrikant kan dit hebben herkend en alternatieve configuraties en instellingen hebben gelanceerd om het beveiligingsniveau te verhogen. Raadpleeg bij twijfel uw leverancier en verzoek om adequaat geïnformeerd te worden over eventuele risico’s en maatregelen.
Type D kaartlezercombinaties zijn momenteel niet algemeen bekend als kwetsbaar voor klonen, spoofing, emulatie of manipulatie. Het is echter verstandig om aan te nemen dat elk beveiligingssysteem gekraakt kan worden, inclusief de beveiligingsmaatregelen die in de kaart van uw keuze zijn geïmplementeerd. Maar in dit geval is er nog geen specifieke inbreuk op de beveiliging online gepubliceerd op een locatie die beschikbaar is voor het grote publiek. We raden u aan om bij uw leverancier te controleren of firmware en software veilig en op afstand kunnen worden geüpgraded in het geval van toekomstige incidenten. Het is ook raadzaam om te controleren of de infrastructuur voor het beheer van versleutelingscodes aan uw eisen voldoet.
Gangbare kaarten en hun huidige beveiligingsstatus.
Hieronder volgt een overzicht van kaarttypen die (nog steeds) erg populair zijn in fysieke toegangscontrole en hun huidige beveiligingsniveau zoals nu gezien door veel professionals en uitgaande van toepassing van beschikbare bescherming (dus bij Smartcards geen lezing van enkel CSN:
- EM Proximity kaarten (EM 4100, EM4200, etc.) – A
- HID Proximity – A
- HID iCLASS – C
- HID Seos – D
- Legic Prime – B
- Legic Advant – D
- Legic Connect – D
- Nedap Kaarten – C/D
- NXP MIFARE Classic – B
- NXP MIFARE DESFire – D
- NXP MIFARE Plus – D
- Sony FeliCa – D
- UHF EPC Gen2 (RAIN RFID) – C/D
De meest gebruikte toegangskaarten en trends in toegangscontrolesystemen zijn de afgelopen jaren aanzienlijk geëvolueerd. Er bestaan dus vaak meerdere versies of variaties van bovengenoemde typen kaarten, zoals MIFARE DESFire EV1, EV2, EV3. Nieuwere versies bevatten vaak nieuwere en meer geavanceerde beschermingsmethoden.
Goed om te weten is dat er veel kaartlezers in omloop zijn die meerdere typen kaarten kunnen lezen, zogenaamde Multi Technology Readers. Deze kaartlezers lezen bijvoorbeeld nieuwere typen kaarten en ook oudere typen (en daarnaast bijvoorbeeld ook virtuele passen op smartphones). Recent is bijvoorbeeld in het nieuws gekomen dat HID SEOS passen qua beveiliging gecompromitteerd zouden zijn door een zogenaamde downgrade-attack op de kaartlezer. Bij deze aanval wordt een kaart gestolen, wordt veilige informatie gelezen en op vervolgens als ouderwetse prximity pas aangeboden aan een lezer die zowel modernere als ouderwetse (en onveilige) passen kan lezen, bijvoorbeeld om een migratie van de ene technologie naar de andere mogelijk te maken. Het is dus belangrijk om configuratie van kaartlezer, toegangspas en toegangscontrolesysteem goed op elkaar af te stemmen en bewustzijn te vergroten omtrent risico’s bij zowel beheerders als gebruikers.
En de smartphone dan, is die wel veilig?
“Mobile Access”, oftewel het gebruik van virtuele toegangspassen op de mobiele telefoon, wordt steeds meer de norm. Slimme draagbare technologieën, zoals smartwatches en andere wearables, worden ook steeds meer gebruikt om toegang te verlenen aan bevoegde personen zonder dat er toegangskaarten, sleutels of wachtwoorden nodig zijn. Deze technologieën maken meestal geen gebruik van RFID (Radio Frequency IDentification), maar van NFC (Near Field Communication) of BLE (Bluetooth Low Energy).
De essentie van het beveiligen van deze moderne varianten op de aloude toegangspas blijven echter vaak overeind. Versleuteling van de informatie bij opslag en transmissie is ook onmisbaar bij het beveiligen van deze systemen. De implementatie van maatregelen verschilt echter nog wel van fabrikant tot fabrikant. In het algemeen zijn mobile access systemen vaak veiliger in gebruik dan oudere toegangspassen en in principe net zo veilig als modernere passen. Een bijkomend voordeel van mobile access systemen is echter dat het uitgeven en innemen van passen veel makkelijker en sneller gaat, hetgeen de veiligheid ten goede komt.
Ons advies
Explicate heeft jarenlange ervaring op het gebied van toegangscontrole. Beveiligingssystemen zijn net zo sterk als de zwakste schakel. De systemen van onze partners, zoals Suprema (leverancier van toegangscontrole– en tijdregistratiesystemen, biometrie, mobile access en kaartlezers) en Gamanet (leverancier van PSIM voor integratie van toegangscontrole, inbraakdetectie, brandmelding, camerabewaking, etc.) bieden allerlei mogelijkheden om de juiste balans te vinden in gebruiksgemak, investering, compatibiliteit en beveiligingsniveau. We adviseren u graag over de mogelijkheden voor uw organisatie.
Neem contact met ons op als u kennis wilt maken of meer informatie wenst te ontvangen.