Fysisk säkerhet i en digital värld

Mitt huvudområde är inte fysisk säkerhet, men allt säkerhetsarbete måste hänga ihop. Fysisk tillgång till en dator idag är ofta lika med tillgång till allt som finns i den datorn. Det gör att man inte kan bortse från fysiska hot när man gör en säkerhetsöversyn av ett företag.

För några dagar sedan demonstrerade jag för några kontorsgrannar hur lätt det är att kopiera en RFID tagg som används för inpassering på många företag. Demonstrationen fick starka reaktioner, vilket bland annat fick till följd att fastighetsägaren började ifrågasätta säkerheten på kontoret och fundera på att gå tillbaka till mekaniska nycklar.

Det är lätt att en demonstration av en sårbarhet blir väldigt vinklad och bara fokuserar på en aspekt i säkerhetsarbetet. Jag vill med det här inlägget belysa den problematik som omger allt säkerhetsarbete och nyansera min snabba frukostdemonstration lite.

Till att börja med måste man förstå en av grundprinciperna med fysisk säkerhet: Det finns ingen absolut säker lösning! En tillräckligt motiverad angripare kommer att lyckas kringgå de fysiska kontrollerna som har implementerats. Alla åtgärder för att stärka den fysiska säkerheten måste ingå i en strategisk riskhantering som grundar sig på verksamhetens hotbild, riskaptit och ekonomi. Det måste också beaktas att alla säkerhetsåtgärder som vidtas, kommer att inskränka personalens produktivitet, bekvämlighet och personliga integritet. Som i allt säkerhetsarbete måste man beakta alla faktorer och väga för och nackdelar på guldvåg, innan man implementerar en åtgärd.

Fysisk säkerhet handlar inte om att bygga bort risken för ett fysiskt intrång! Med olika åtgärder kan man minska riskerna, men i realiteten så har man bara tre faktorer att arbeta med:

·       Avskräcka
·       Upptäcka
·       Fördröja

Tanken är att man först och främst vill undvika att vara ett mål för en angripare. Man ska försöka att se så ointressant ut som möjligt och om någon ändå skulle finna objektet intressant så ska det synas att objektet är väl bevakat och svårt att forcera. Även angriparna använder sig av affärsregler och gör sina egna riskanalyser. Det ska helt enkelt inte vara värt risken att bli upptäckt i förhållande till det som uppenbarligen finns att tillgripa (stjäla).

Om någon ändå försöker så vill man så snart det är möjligt upptäcka intrångsförsöket, för att snabbt kunna sätta in åtgärder som vaktbolag eller polis. Man vill också se till att angriparna, efter upptäckt, är upptagna med att forcera flera nivåer av fysiska skydd innan de kommer åt något som är skyddsvärt. Värdeskåp och säkerhetsskåp är, till exempel, klassade utifrån hur lång tid det tar en angripare att forcera skåpet. Om man inte har möjlighet att upptäcka ett intrångsförsök, eller inte har någon åtgärd att sätta in, så kommer angriparna förr eller senare att komma åt det de är ute efter.

Försäkringsbolag har ofta föreskrifter för nivåer (klassning) på fysiska skyddsåtgärder för olika försäkringsbelopp och i många fall är företags skyddsnivå baserat på dessa, snarare än utifrån en riskanalys. Det många glömmer att ta med i ekvationen är de immateriella skadorna som kan uppstå i form av skadat förtroende från kunder och dålig PR.

För att förstå vilka kontroller och åtgärder som är lämpliga för en viss verksamhet, måste man beakta alla dessa faktorer och dessutom väga in hur affären ser ut. Det upplevs rimligt att behöva föranmäla ett besök till ett civilt skyddsobjekt, men inte till en inredningsbutik eller korvkiosk. Det är också viktigt att inte bygga höga murar med taggtråd på framsidan och sedan lämna altandörren öppen på baksidan.

Vart vill jag då komma med den här långa utläggningen? Jag vill dels göra dig uppmärksam på att en enskild säkerhetsfunktion aldrig får utgöra det enda hindret mellan en potentiell angripare och dina skyddsvärda tillgångar, och dels poängtera att man aldrig kan utvärdera effektiviteten på en enskild komponent tagen ur sitt sammanhang i en genomtänkt säkerhetsarkitektur. För att exemplifiera: Om du byter ut din ytterdörr hemma mot en pansardörr med biometriska lås och PIN-kod för att komma in, så kommer en inbrottstjuv att välja fönstret istället. Samma sak om du låser in familjens värdesaker i ett Grade IV klassat värdeskåp, men inte har ett larm, så kommer en tjuv att ha tid att gå och hämta rätt verktyg för att skära sig in i skåpet.

Alla skyddsmekanismer har sina svagheter och styrkor och för att komma tillbaka till exemplet i början med RFID-tagg jämfört med mekaniska nycklar, så måste man ta med dessa styrkor och svagheter i sin riskanalys. En mekanisk nyckel kan vara kopieringsskyddad. Det betyder inte att en låssmed inte kan kopiera den, det betyder bara att en låssmed inte ska kopiera den utan att först kontrollera att den som vill göra en kopia har rätt att beställa en. Således är kopieringsskyddet en organisatorisk kontroll som bygger på att ingen låssmed, eller person med tillgång till rätt utrustning och nyckelämnen, gör några kopior utan att först identifiera ägaren. Denna typ av organisatoriska kontroller är väldigt svaga, eftersom att de bygger på att alla som kan göra kopior av den skyddade nyckeln är hederliga, ordningsamma, noggranna och alltid på sin vakt. En mekanisk nyckel har, utöver detta problem, flera andra svagheter. Varje nyckel med samma ”kodning” är identiska kopior av varandra. Det går inte att säga vilken instans av nyckeln som låste upp ett lås vid varje givet tillfälle. Det går heller inte att återkalla tillträdet till en nyckel som tappas eller blir stulen. Ja, det finns exempel på nyckelsystem med unika nycklar där man kan återkalla tillträde, men dessa bygger på en hybridteknik med en mekanisk del och en digital del. Detta gör att om en nyckel försvinner, eller kontrollen på vem som har vilka nycklar brister, så måste alla låscylindrar bytas ut för att säkerställa att ingen obehörig kan komma in. Mekaniska lås är också svåra att tillverka helt säkra från dyrkning. Det finns skickliga låsnördar som klarar av att dyrka även de mest svårforcerade mekaniska låsen. Själv är jag en medelmåtta på mekaniska lås, men kan ändå forcera de flesta lås som monterades i villor på 70-talet.

Ett elektroniskt lås (elektromekaniskt om man ska vara riktigt noggrann) har andra svagheter och styrkor. En borttappad tagg är lätt att plocka bort ur systemet och ersätta med en ny. Den gamla taggen blir då snabbt förvandlad till en värdelös plastbit som måste läggas i elektronikåtervinningen. En annan fördel är spårbarheten. Varje tagg har (ska ha…) ett unikt nummer som går att logga i ett säkerhetssystem och det går att begränsa tillträde till vissa tidpunkter för enskilda individer. Det innebär att taggen som städfirman har för att komma in bara fungerar dagtid på fredagar, men inte efter kl 17.00. Om någon ohederlig person skulle försöka använda den för att gå in en söndagkväll när jag är borta, så nekas personen inträde. Flexibiliteten ökar markant och möjligheterna till individ- och behovsanpassad tillträdesbegränsning är oändliga. Svagheterna ligger oftast i teknikimplementationerna. Många (de flesta) av systemen för beröringsfria kort och taggar som används idag använder sig av obefintliga eller bristfälliga kryptoimplementationer. Mängder av företag använder fortfarande 125kHz taggar som bara rapar ur sig sitt ID-nummer så fort ett magnetfält med rätt frekvens inducerar en ström i deras krets. Med rätt antenn och effekt kan man avläsa ”hemligheten” på ganska långt avstånd. Fundera bara på hur tidtagning går till på Göteborgsvarvet eller Vätternrundan. Det är samma typ av teknik som används.

Nyare kort som arbetar på 13,56MHz kan ha stöd för kryptering och smarta funktioner, men i många fall har detta inte använts vid installationen. Det är allt för sällan som kunden verkligen granskar vad säkerhetsföretaget har installerat, utan nöjer sig med att konstatera att det fungerar. Att det dessutom levereras kortläsare och kort som inte använder kryptering i nya installationer idag är ett dåligt betyg för landets säkerhetsföretag. En populär standard för Near Field Communication (NFC) är Mifare Classic. Den har stöd för kryptering, men har svagheter i implementationen om man väljer att använda den. NXP, som står bakom Mifare, gick ut med ett säkerhetsmeddelande 2015 om att de avråder från att använda Mifare Classic i säkerhetsimplementationer. Trots detta så levererar branschen nya lösningar som bygger på en trasig standard.

Vad kan jag göra för att förbättra min säkerhet då? Ja, om du ska installera en ny anläggning så är det enda raka att välja en standard som håller måttet, som Desfire, iClass, eller någon annan som genomgått certifiering. Det betyder dock inte att någon kryptonörd (förlåt, kryptoexpert/forskare) inte hittar något som är trasigt och går att missbruka i den standarden imorgon. Säkerheten får inte stå och falla med en kontroll. Komplettera med övervakningskameror, PIN-koder, mekaniska lås till känsliga utrymmen och andra åtgärder för att stärka skyddet.

Det går att bygga säkra system även med en äldre standard om implementationen är klok. Hemma använder jag Yale Doorman på ytterdörren för att ungarna ska kunna tappa bort en tagg (nyckel) utan att jag ska behöva byta lås. Självklart var jag tvungen att testa att klona min egen tagg och systemet visade sig vara byggt på Mifare Classic. Krypteringen föll efter några minuter och jag hade en exakt kopia av min tagg till ytterdörren som fungerade, men så fort kopian användes (ja den fungerade utmärkt) så gällde inte min gamla tagg. Systemet skrev ner information till taggen vid varje användning, vilket gör att fönstret för en angripare då systemet är sårbart minskar avsevärt. Tilläggas bör också att låset på ytterdörren bara är en del i skalskyddet och låset är inte kopplat till larmsystemet.

Nörd-tjuven och Brytar-Bosse har helt enkelt olika expertkompetenser
— Rikard Bodforss

Vilket är säkrast då? Svaret på den frågan beror på vem din potentiella angripare är. En högteknologisk nörd-tjuv tar sig in i ett dåligt implementerat elektroniskt system, medan Brytar-Bosse dyrkar ett mekaniskt lås på några sekunder. Nja, Brytar-Bosse kanske väljer att knacka fönstret bredvid dörren och går in den vägen, men du fattar. Nörd-tjuven och Brytar-Bosse har helt enkelt olika expertkompetenser och måste hanteras som olika hotkategorier. Oavsett vem av dem som forcerar det yttre skalskyddet så ska larmet gå och de ska uppmärksammas på att de bara har minuter på sig att roffa åt sig det som ligger framme innan insatsen är på plats. Inre sektionering av byggnaden ska fördröja deras intrång så att skyddsvärda tillgångar inte hamnar i orätta händer. Dessutom så bör de finnas på film så att rättsvårdande myndigheter har ett bra utgångsläge för fällande dom när gärningspersonerna har omhändertagits.

Att göra sin riskanalys utifrån hotbilden är absolut nödvändigt för att säkerställa att nivån på skydd är tillräcklig. Du måste veta vem du skyddar ett objekt från och hur motiverad den angriparen är. Utifrån den hotbildsanalysen kan du sedan ta kloka riskbeslut och väga åtgärdernas kostnader, i form av rena pengar och inskränkningar i behöriga personers bekvämlighet och integritet.

Problemen är inte nya och de kommer inte att bli mindre, utan bara ändra skepnad. Jag ropade in en rolig trycksak från 1750-talet, som visar på problematiken ur ett historiskt perspektiv. Problemen finns kvar än idag, men kanske hanteras lite annorlunda. Jag hade som exempel inte njutit av att få motta 27 piskrapp för innehav av dyrkar eller elektronisk utrustning för att kopiera RFID taggar, men jag kanske inte skulle anses tillhöra kategorin tjänstehjon eller lös person… Texten är underbar och jag tänkte dela med mig av den till er. Om du inte orkar läsa den gammaldags stilen så har jag skrivit av den i mer läsbar form, även om jag försökt behålla språket.

Länk till PDF dokumentet

Har ditt företag behov av att titta på er säkerhet ur ett helhetsperspektiv så kontakta mig gärna så kan du få komma hit och beundra originaldokumentet på kontoret. Vi hjälper er gärna med att hitta rätt nivå på säkerheten oavsett om tillgångarna är i digital, tryckt, eller i fysisk form.

Rikard Bodforss,
Seniorkonsult strategisk informationssäkerhet