Problém nazývaný Passback

antipass1.png

Každý bezpečnostný systém má diery, aj tie na vysokej technickej úrovni. Elektronická kontrola prístupu síce pomáha zabezpečovať citlivé oblasti, nie je však bez nedostatkov.

Autor: Štefan Lastovka
 

Jeden z najznepokojivejších spôsobov napadnutia sa nazýva 'Passback' získanie prístupu použitím karty niekoho iného. V tomto článku sa pozrieme na tento problém a ako návrhári môžu minimalizovať bezpečnostné riziká.

Problém

'Passback' je hovorový termín označujúci zdieľanie kariet, vzniknuvší z pomenovania situácií keď dve osoby prechádzajú cez turniket. 'Osoba A' načíta jej kartu a normálne prechádza cez turniket, ale 'Osoba B' k danému územiu nemá prístup. Passback nastáva keď 'Osoba A' odovzdá kartu 'Osobe B', ktorá tak získava prístup.

Táto metóda zhruba zodpovedá odovzdaniu kľúču druhej osobe, alebo zdieľaniu hesla s inou osobou. V lepšom prípade to znamená, že systém nekontroluje prístup tak ako bol navrhnutý, a v horšom prípade nemá systém informácie o potenciálnej hrozbe.

Problémom passback sa nazýva aj nepriloženie karty k čítačke všetkými osobami, ktoré majú povolený vstup do daného priestoru v prípade ak cez dané dvere prechádza naraz viacero osôb. Niektorí to nazývajú aj „Piggybacking" alebo „Tailgating". Z môjho pohľadu je dôležité sa sústrediť na problém a na jeho možné riešenia ako sa utápať v diskusiách o presnom názve (čo nás neposunie vpred) toto nechajme akademikom.

Riešenia

Ako ochranu proti tomuto riziku obsahujú systémy kontroly prístupu funkcie 'anti-passback' - súpravu zábran aplikovaných na použitie kariet. Napríklad:

Časový Limit: Karta sa nedá použiť na tej istej čítačke dvakrát za určitú dobu. Síce je to riešenie na rozhodne najnižšej technickej úrovni, zavádza sa najjednoduchšie. Jednoduché obmedzenie karty aby nemohla byť načítaná na tej istej čítačke ešte raz v priebehu troch až piatich minút odradzuje od pohodlného odovzdania karty dozadu. Avšak tento spôsob kontroly nemusí užívateľom vyhovovať ak im náhodou niečo vypadne po tom čo načítajú kartu, ak im od čítačky odvráti pozornosť konverzácia, alebo ak majú iný opodstatnený dôvod znovu načítať kartu pri vchode.

Pohyb a poradie načítaní: Tento spôsob kontroly vyžaduje aby načítania kariet nasledovali v systéme v logickom poradí. Napríklad karta nesmie byť použitá na čítačke pri východe z územia predtým ako bola načítaná pri vstupe. Podobne sa karta tiež nedá použiť na vstup do 'budovy B' ak nebola načítaná pri východe z 'budovy A'. Táto metóda anti-passback je najkomplexnejšia, ale vyžaduje najviac konfigurácie a kontrolu vstupu u všetkých dverí, vrátane dverí, ktoré nie sú často používané.

Na tejto animácii od spoločnosti Cryptex je znázornená ako v praxi funguje globálny anti-passback 

Biometria: Istý spôsob prevencie passback je kontrola prístupu založená na biometrii; otlačky prstov, dlaní, alebo sietnic nie je možné ich zdieľať, preto je ideálne podľa nich udeľovať povolenie prístupu. Avšak napriek tomu, že kontrolovať prístup pomocou biometrie dáva jasný zmysel, zavedenie je často náročné. Kvôli fyzickým zmenám oprávnených osôb (starnutie, zranenie, nečistota) alebo problémom s výkonom biometrických čítačiek dochádza ku ťažkostiam s ich nasadením a užívaním. Netreba zabudnúť na zosúladenie s požiadavkami legislatívy ohľadom ochrany osobných údajov.

Je dôležité skontrolovať vybavenie systému kontroly prístupu. Napríklad prvé dve riešenia (časový limit, poradie načítaní) sú softwarové funkcie, ktoré nie sú podporované všetkými systémami na riadenie kontroly prístupu. Posledné riešenie, biometria, vyžaduje špeciálny, nákladnejší hardware a zároveň registráciu užívateľov do systému.

Podobný problém: Tailgating

Napriek tomu, že zahŕňa iné a ťažšie zvládnuteľné ohrozenie kontroly prístupu je tailgating často spomínaný v konverzáciách spolu s anti-passback. Jednuducho opísané, 'tailgating' (eng. nedodržanie bezpečnej vzdialenosti) znamená, že dvere otvorené po načítaní karty zostávajú otvorené a umožňujú vstup viacerým osobám.

Na rozdiel od 'passback', 'tailgating' jednoducho obchádza potrebu načítať jednotlivé karty. Avšak funkcie 'anti-passback', najmä tie s metódami pohybu a poradia načítaní, sú schopné vyriešiť časť problémov.

V tejto sekcii si môžete za pár dní po uverejnení tohto príspevku prečítať o tailgatingu, kde sa tomuto sa problému venujem detailnejšie, prečo je to zvlášť nebezpečný problém ako aj príklady bežne dostupných metód a zariadení, ktoré je možné nasadiť ako prevenciu.

Partneri

assa_abloy.png

axis.png

hid.png

securilas.png

         FBI_zeleny-p4.png