Что это за часть инженерной инфраструктуры бизнеса, частных домов и государственных учреждений, что выходит за рамки обычной IT-инфраструктуры, при этом сама предназначена для обеспечения безопасности? Речь идёт об охранно-пожарных сигнализациях – ОПС. ОПС интегрированы в инженерные системы зданий, включая лифты, системы вентиляции, электроснабжения и другие. ОПС контролируют шлейфы сигнализации: датчики открытия, движения, дыма, передают статус на пульт централизованного наблюдения (ПЦН), принимают управляющие команды на постановку и снятие с охраны. И эти устройства, как и любые другие, могут быть уязвимыми к различным атакам. Сегодня мы поговорим о результатах исследования нескольких подобных систем и расскажем о том, насколько эти системы безопасны.
Взаимодействие элементов системы ОПС
Для начала разберемся с основными принципами общения отдельных элементов системы охранно-пожарной сигнализации. Все датчики и исполнительные механизмы подключены к основному блоку управления. Это пульт, с которого можно управлять частью или всей локальной системой на объекте, к примеру, ставить на охрану и снимать с охраны. Основной блок управления отправляет уведомления на сервер ПЦН, где за событиями следит уже компания, обеспечивающая безопасность объекта.

Для того, чтобы основной блок управления знал, куда отправлять уведомления, в его конфигурации прописывается публичный IP-адрес сервера ПЦН. Сама же система ОПС как правило находится за NAT провайдера, и получает доступ в Интернет через SIM-карту, без каких-либо дополнительных настроек со стороны провайдера.
В ходе исследования мы выявили четыре основных канала связи, используемых в ОПС:
GPRS/cellular – основной канал для передачи уведомлений о состоянии и событий, а также для управления шлейфами ОПС. Использует проприетарный протокол уровня приложений поверх UDP или TCP сессии для соединения с сервером ПЦН.
SMS-сообщения – способ отправки управляющих команд с заранее запрограммированного номера или уведомления о состоянии ОПС пользователям, добавленным в конфигурацию устройства.
Телефонный вызов – дополнительный резервный канал, который может использоваться для дублирования тревожных сообщений в виде речевого оповещения.
Проводные интерфейсы – RS-485/232 и Ethernet. Для работы по локальной сети и конфигурирования.
Шифруем канал связи, но есть нюанс
Все исследуемые модели поддерживают режим работы как с шифрованием сообщений, так и без него. Но в документации к некоторым моделям можно встретить интересную фразу: производитель не рекомендует использовать шифрование.
Это можно объяснить несколькими причинами:
Стремление удешевить производство приводит к использованию малопроизводительных чипов, тяжело справляющихся с выполнением криптографических операций.
Необходимость шифровать сообщения приводит к увеличению задержек при отправке и получении сообщений.
Восстановить зашифрованное соединение намного дольше, чем незашифрованное, а доступность и целостность оказывается важнее конфиденциальности.
В результате мы получаем, что устройство, предназначенное для обеспечения безопасности, в наиболее безопасном режиме работы работает нестабильно, а в стабильном – не обеспечивает базовую защиту канала связи.
Потеря связи — это нормально
Одна из самых важных концепций, которые нужно понять: потеря связи между устройством и сервером – это нормальное явление. В классической IT-инфраструктуре событие, в котором сервер безопасности перестал получать обязательные пакеты от связанных с ним узлов, скорее всего сразу будет расценено как инцидент информационной безопасности. В системах ОПС – нет. GSM-сигнал может пропасть из-за непогоды, SIM-карта может временно потерять регистрацию в сети, базовая станция может оказаться перегруженной и неспособной обработать пришедший запрос. Поэтому у сервера ПЦН есть интервал времени, в течение которого отсутствие оповещений от ОПС не считается тревожным, у каждого производителя рекомендуемые параметры свои – от 5 до 15 минут.
Это создаёт фундаментальную проблему: атака на канал связи неотличима от обычной проблемы с покрытием. Если устройство не передаёт события на сервер ПЦН непродолжительное время, то это не вызовет сигнал тревоги независимо от характера проблемы – плохая погода или глушение канала связи злоумышленником.
А значит, у злоумышленника открывается много возможностей для проведения атак. Для перехвата и манипуляции трафиком GSM канала связи атакующему необходима поддельная базовая станция – устройство, которое имитирует легитимную базовую станцию оператора связи. Это позволяет:
Перехватывать весь трафик устройства в реальном времени
Встраиваться в канал связи (Man-in-the-Middle)
Формировать произвольные SMS-сообщения от имени легитимного модема
Перехватывать все события ОПС
Модифицировать управляющие команды
Имитировать подтверждения от сервера ПЦН
Главная цель MITM-позиции в контексте атаки на систему ОПС – сделать действия атакующего невидимыми для легитимной системы.
Схема атаки: от перехвата до обхода ОПС
Прежде чем рассматривать конкретные методы обхода каждой из систем ОПС, важно понять общую архитектуру атаки.

В обычном режиме ОПС просто работает и общается с сервером ПЦН. Устройство устанавливает соединение через легитимную базовую станцию оператора связи, затем трафик проходит через интернет до сервера ПЦН.
Для перехвата управления каналом связи атакующий может либо заблокировать сигнал штатной БС, например, подавителем серии ЛГШ, создающим помеху в рабочем диапазоне, либо, просканировав эфир и выбрав подходящие профили соседних станций, выдать себя за легитимную БС с более сильным сигналом, чтобы ОПС сам переключился на поддельную базовую станцию. Вообще говоря, для пересадки абонента (в данном случае ОПС) на свою базовую станцию может использоваться множество различных методов, вплоть до атак на легитимные базовые станции, таких методов очень много. Глушение и усиление сигнала – лишь самые базовые варианты.
Трафик ОПС не просто перехватывается. Поддельная базовая станция проксирует весь трафик дальше – через интернет до сервера ПЦН. Для сервера ПЦН всё выглядит как нормальная работа устройства, даже смена IP адреса устройства в сети выглядит нормально, потому что у самих провайдеров это происходит с определенной регулярностью. Для ОПС тоже все выглядит штатно – оно считает, что подключено к легитимной сети оператора.
После установления MITM-позиции атакующий определяет точный fingerprint подключённого устройства ОПС. Это необходимо, потому что каждая модель ОПС имеет свой уникальный протокол общения, формат команд и механизмы аутентификации. Без точного определения модели невозможно подобрать правильные методы обхода. И только после этого – определения fingerprint и установления MITM-позиции – атакующий применяет специфические методы обхода для конкретной модели ОПС.
Основные слабости, выявленные в системах ОПС
На основе исследования различных моделей ОПС выявлены общие паттерны уязвимостей.
-
Отсутствие аутентификации
Устройство не проверяет подлинность сервера вообще – только формат ответа. Сервер в свою очередь проверяет только идентификатор устройства. При наличии шифрования ситуация улучшается – необходимо обладать ключом, чтобы установить связь. Для некоторых производителей и для включенного шифрования это не обязательное условие установления связи – устройство принимает пакеты в открытом виде без шифрования даже при настройке шифрования, или шифруется не весь пакет и можно делать replay атаки с подмененными незашифрованными метками времени (timestamp).
-
Отсутствие защиты от повторной отправки
Управляющие команды на снятие/взятие под охрану не содержат уникальных одноразовых значений или меток времени. Одна и та же команда может быть отправлена многократно и будет принята устройством каждый раз.
-
Контрольная сумма вместо криптографической целостности
Для проверки целостности данных в ОПС часто используются контрольные суммы. Они защищают от случайных ошибок при передаче, но не обеспечивают защиту от намеренной модификации. Атакующий, зная какой именно алгоритм CRC используется в конкретном устройстве ОПС, может модифицировать сообщение и пересчитать контрольную сумму – устройство не обнаружит подделки.
-
Статические идентификаторы и ключи
Идентификатор\IP-адрес или доменное имя ПЦН\ключ шифрования у устройства жёстко прописан в конфигурации и не меняется. Это делает невозможным изменения в процессе установления связи и позволяет атакующему заранее подготовить атаку, зная идентификатор цели.
-
SMS-канал как единственный способ управления
Управляющие команды нередко передаются через SMS, это может быть как запасной канал, так и основной канал для управления, даже если у ОПС есть возможность взаимодействовать с сервером ПЦН через TCP\UDP канал. Формат SMS был разработан для передачи текстовых сообщений, а не команд безопасности. Номер телефона отправителя — единственный идентификатор источника команды, и его можно подслушать и в дальнейшем использовать для управления.
-
Недоступна история событий
Буфер событий устройства не доступен для чтения. Если соединение между устройством и сервером не разрывается, устройство считает, что все события доставлены. Архитектура «push-уведомлений» без механизма верификации целостности истории событий позволяет атакующему, находящемуся в MITM-позиции, пересылать все легитимные события на сервер, маскируя свои действия.
-
Шифрование как опция
Все исследованные модели поддерживают шифрование, но в документации иногда производитель не рекомендует его использовать. Слабые чипы не справляются с криптографией эффективно, шифрование увеличивает задержки и снижает надёжность. А иногда устройства даже с настроенным шифрованием принимает сообщения от сервера ПЦН в открытом виде.
-
Невозможность отличить атаку от проблемы с покрытием
Потеря связи между ОПС и ПЦН является обычным событием, которое никак не подсвечивается, если не превышает установленного достаточно большого временного интервала. А значит, у злоумышленника большое окно для проведения атак по пересаживанию устройства на свою фальшивую базовую станцию.
-
Предсказуемая генерация криптографических ключей
Криптографический ключ шифрования генерируется на основе предсказуемого алгоритма, что позволяет перебрать пространство возможных ключей за обозримое время. У каких-то производителей пользователь не имеет возможности задать ключ вручную – он всегда меняется на результат работы этого алгоритма. Перебрав ключ, атакующий может расшифровать весь трафик между устройством и сервером ПЦН и отправлять любые пакеты как от устройства на ПЦН, так и в обратном направлении.
-
Принудительное деградирование канала связи
Атакующий намеренно ухудшает или отключает GPRS-соединение, заставляя устройство перейти на резервный SMS-режим управления, который менее защищён. Часто ОПС-устройства поддерживают несколько режимов связи: GPRS для постоянного соединения и SMS для резервного управления. Если уровень сигнала GPRS падает ниже порога или соединение разрывается, устройство автоматически переключается на SMS-режим. При этом, если на устройстве включено шифрование, оно работает только поверх GPRS-канала. Концепция резервирования каналов не учитывает, что деградация канала может быть вызвана не случайными помехами, а целенаправленной атакой.
Заключение
В классической IT за десятилетия накоплен значительный набор механизмов защиты: взаимная аутентификация, криптографическая целостность, защита от повторной отправки, мониторинг аномалий. Современные IT-системы становятся всё сложнее для компрометации. В то же время исследование различных систем ОПС показало, что для этих устройств остаются работоспособными простые методы атак: перехват канала связи через поддельную базовую станцию, повторная отправка управляющих команд, подмена номера отправителя. Эти методы не требуют сложного оборудования или глубоких знаний в области информационной безопасности, при этом они позволяют снять объект с охраны без обнаружения.
VsBirdEye
Отсутствие конкретики по "исследованным" производителям, приборам, схемам построения ОПС указывает на фактическую низкую ценность статьи. А заявление о возможности "снять объект с охраны" натянуто сильнее бедной совы на глобус.
boorble Автор
Про то, почему возможно снять объект с охраны и как именно это достигается, расписано в статье. Однако, цели прямо указывать вендоров или отдавать PoC мы себе не ставили, статья дает общую концепцию атак.