Catracas na perspectiva de um hacker - Parte 1

Atacando o reconhecimento facial, lock bumping e problema de design de segurança física

Nota esclarecedora
PRIDE Security não oferece nenhuma garantia às informações contidas neste documento e não assume responsabilidade por quaisquer erros que também possam estar presentes. Em nenhum caso a PRIDE Security ou qualquer um dos seus parceiros serão responsáveis por danos decorrentes do uso das informações aqui descritas. A PRIDE Security se reserva o direito de alterar ou atualizar este conteúdo sem aviso prévio a qualquer momento.

Introdução

Bem-vindos entusiastas em segurança da informação!

Antes de começarmos a explorar os temas deste capítulo, gostaríamos de convidar você a conferir uma versão em vídeo do mesmo conteúdo. No vídeo, abordamos visualmente os pontos-chave e proporcionamos uma experiência dinâmica. Se preferir aprender de uma maneira diferente, clique no play abaixo.

Agora, se estiver pronto para acompanhar esse capítulo por escrito, continue rolando a página. Vamos lá!

Hoje, mergulharemos em um tópico empolgante e pouco explorado em blogs e vídeos sobre segurança da informação, muitas vezes negligenciado: a segurança ofensiva com foco em catracas utilizadas nos sistemas de controle de acesso físico. No decorrer desta série, planejamos compartilhar detalhes de projetos e apresentar vislumbres das apresentações internas do "Proud to be PRIDE".

Neste capítulo, iniciaremos uma imersão nos aspectos do reconhecimento facial e da segurança física das catracas. Nos próximos capítulos, serão abordados temas como o uso de implantes para ataques de replay, o acesso à rede lógica através das catracas e ataques aos softwares de gerenciamento.

Segurança das catracas

Catracas são encontradas em uma variedade de locais, desde prédios corporativos até estações de metrô. Em muitos casos, o acesso é controlado por meio de cartões, crachás, biometria facial, impressão digital, entre outros. As catracas desempenham um papel fundamental na segurança física, determinando quem tem permissão para entrar em locais específicos.

Quando pensamos em testes de intrusão físico, as catracas desempenham um papel importante no controle de acesso. A ideia do teste de intrusão físico é avaliar o quão fácil ou difícil é para um indivíduo não autorizado ganhar acesso às instalações. Para isso, são utilizadas várias técnicas para determinar quais são os pontos de vulnerabilidade física no ambiente e como eles podem ser explorados.

Em resumo, o objetivo é que o atacante consiga obter acesso não autorizado dentro da empresa que está sendo testada. Uma vez dentro, o objetivo é expandir esse acesso para a rede lógica, potencialmente colocando implantes, infectando computadores, extraindo informações confidenciais, etc.

Controles de acesso das catracas da Wolpac

Vamos abordar em detalhes um teste realizado pela PRIDE Security que envolveu as catracas da Wolpac. Estas catracas são comuns em ambientes corporativos, o cliente desejava modernizar o controle de acesso da empresa durante a pandemia de COVID-19.

A atualização incluiu um módulo da empresa ZKTeco, que introduziu recursos de reconhecimento facial, até mesmo quando o usuário estava utilizando máscara, além de ser capaz de aferir a temperatura da pessoa. Com esse sistema, os colaboradores podiam ser liberados após o reconhecimento facial, desde que sua temperatura estivesse dentro dos limites adequados.

Figura 1 - Catraca Wolpac. Fonte: Wolpac, disponível em https://www.wolpac.com.br/admin/uploads/6bb4ef21410ec56c6e126301c039c571.jpg

É importante destacar que as vulnerabilidades que exploramos não são específicas dessa catraca, mas se aplicam a muitos outros sistemas de controle de acesso usados em edifícios residenciais e comerciais.

Quando analisamos esse tipo de mecanismo de controle de acesso, existem duas abordagens para autenticação, ou seja, o reconhecimento do usuário. A primeira é a autenticação local, adequada para ambientes menores, como pequenos prédios residenciais, onde apenas os residentes têm permissão de acesso, e todas as informações ficam contidas no próprio módulo de reconhecimento. Já no contexto corporativo, a prática mais comum é a centralização das informações. Nesse cenário, diversos dispositivos, como leitores de crachá, biometria e outros, são empregados, com todos os dados sendo transmitidos e gerenciados de forma centralizada.

Nesta análise, exploraremos aspectos relacionados à segurança, começando pela segurança física, passando pelos mecanismos e protocolos de autenticação em uso, e, por fim, investigaremos as fragilidades no software de gestão. Como mencionado anteriormente, no ambiente corporativo, é uma prática comum centralizar essas informações, sendo gerenciadas por meio de um software específico.

Vamos iniciar analisando o mecanismo de reconhecimento facial utilizado.

Evasão de reconhecimento facial

Antes de prosseguirmos, é relevante destacar que o cliente informou que a Wolpac havia assegurado a realização de inúmeros testes nesse novo dispositivo, com a finalidade de garantir a presença de mecanismos de segurança eficazes, visando à prevenção de ataques, tais como a reutilização de fotos, vídeos e outros possíveis vetores de ataque. Diante dessa afirmação, uma das nossas primeiras prioridades foi verificar a eficácia desses mecanismos.

Iniciamos o processo monitorando a entrada e saída dos funcionários na empresa. Nosso propósito era capturar uma série de fotografias de diversos colaboradores, variando distâncias e ângulos, sem, é claro, chamar a atenção deles. A intenção era utilizar essas fotografias no processo de evasão da catraca.

Alguns pontos importantes a serem considerados são:

  • A necessidade de fotos em alta resolução, uma vez que a influência da resolução na identificação da biometria facial era desconhecida.
  • A condução de testes com diversos tipos de papel, visando identificar o mais adequado para esse tipo de abordagem, realizamos as impressões em alta qualidade.
  • A importância de garantir que as impressões sejam feitas em tamanho real, ou seja, em folhas onde a cabeça da pessoa tivesse um tamanho próximo à realidade.

Sendo assim, utilizamos papel adequado e de alta qualidade para impressão da foto capturada de um colaborador e, em seguida, a sobrepomos com uma máscara.

Figura 2 - Foto do colaborador utilizada na prova de conceito

O segredo para ludibriar os sistemas é identificar o ângulo apropriado e posicionar de maneira correta a foto, permitindo assim que a catraca efetue a leitura e, como resultado, permita o acesso não autorizado. Como demonstrado abaixo, o acesso foi concedido.

0:00
/0:05

Figura 3 - Abertura da catraca com uma foto impressa

Neste tipo de ataque, três fatores são fundamentais. Além das considerações relacionadas à qualidade da foto, impressão em papel apropriado, houve um aspecto muito importante: o posicionamento. Foi essencial posicionar o papel em um ângulo apropriado para garantir a leitura pela catraca. Caso contrário, poderíamos tentar por muito tempo sem sucesso. A distância e o ângulo eram realmente importantes.

Avaliações complementares

Outro ponto importante envolvia a leitura da temperatura. Conforme mencionado, essa catraca possui a capacidade de aferir a temperatura. Por exemplo, se o reconhecimento facial fosse realizado com sucesso, mas o usuário estivesse com febre, seu acesso poderia ser negado ou seu gestor informado. Portanto, além de garantir a posição apropriada, distância e ângulo corretos, um outro fator era assegurar que a catraca pudesse medir a temperatura adequadamente, permitindo, assim, o acesso.

Por fim, um ponto relevante estava relacionado à fragilidade do algoritmo ao utilizar uma máscara. Como apresentado anteriormente, colocamos uma máscara real na frente da foto da pessoa, o que facilitou significativamente o processo. Sem a máscara, o reconhecimento se tornava consideravelmente mais robusto. No entanto, ao utilizar a máscara, houve menos pontos de referência no rosto, possibilitando a realização da evasão.

Evasão de reconhecimento facial utilizando foto de rede social

Além disso, exploramos uma variação deste ataque, onde utilizamos fotos encontradas em redes sociais. Isso significa que um atacante não precisa monitorar a entrada e saída dos colaboradores, evitando se expor de forma desnecessária em determinadas situações.

Nossa estratégia inicial focou na identificação de colaboradores através do LinkedIn, especificamente aqueles associados à empresa. A figura abaixo, extraída do perfil da PRIDE Security, ilustra como a busca por colaboradores pode ser trivial.

Figura 4 - Colaboradores conectados no LinkedIn da PRIDE Security

Sendo assim, de maneira similar, rastreamos os colaboradores do cliente e, em seguida, procuramos por suas contas em outras plataformas de redes sociais, como Facebook e Instagram.

Após identificarmos um colaborador cuja imagem apresentava um ângulo e qualidade considerados adequados, procedemos com a impressão dessa foto em alta resolução, utilizando papel de alta qualidade. O processo de impressão foi realizado seguindo métodos semelhantes aos empregados no ataque descrito anteriormente.

É importante destacar que, como parte do experimento, aplicamos uma pintura na região da boca na fotografia para simular o uso de uma máscara facial. Curiosamente, a "máscara" foi criada usando uma caneta comum, utilizada no cotidiano.

Figura 5 - Abertura da catraca usando foto de rede social com máscara desenhada à caneta

Para nossa surpresa, o sistema de reconhecimento facial foi capaz de identificar a pessoa na imagem, apesar da alteração feita. É importante destacar que os demais fatores, como a análise de temperatura, também foram levados em consideração.

Apenas a título de curiosidade, posicionamos a foto em um ângulo que a câmera fazia a leitura do rosto, e ao mesmo tempo o sensor que é posicionado acima a catraca conseguia ler a temperatura na testa do atacante ao invés do papel.

Figura 6 - Posicionamento ideal para leitura de temperatura pelo sensor

Dessa forma, conseguimos comprovar que o mecanismo, ou seja, o algoritmo de reconhecimento facial, não é robusto, especialmente quando as pessoas utilizam máscaras ou fotos com máscaras pintadas.

Conforme mencionado anteriormente, este ataque não é exclusivo das catracas. Na empresa em que você trabalha, existem portas controladas com reconhecimento facial que protegem informações sensíveis? Quão seguros são esses mecanismos?

Nosso objetivo é apenas ilustrar e explicar o ataque. Em casos reais, o ataque pode ser realizado de forma mais discreta. Por exemplo, por que não imprimir a foto da pessoa e colá-la em um livro que você carrega nos braços? Ou por que não imprimir a foto da pessoa na camiseta que você está vestindo? O céu é o limite.

0:00
/0:06

Figura 7 - Foto de consultor da PRIDE Security escondida em livro e estampada em camiseta

Você consegue realizar um desses ataques discretamente na vida real? Envie um vídeo para a PRIDE Security demonstrando discretamente seu ataque bem-sucedido e ganhe uma camiseta exclusiva, além de fazer parte do nosso próximo vídeo. Sim, colocaremos seu vídeo na próxima edição, se você concordar! E claro, é preciso ter autorização para realizar o ataque; não levaremos maços de cigarro para quem for preso! :)

Acesso a fiação e componentes internos da catraca

Até o momento, mencionamos ataques a mecanismos de reconhecimento facial. No entanto, ao examinarmos de perto a catraca mencionada nos ataques anteriores, percebemos que existe um módulo de leitura de crachá. Geralmente, este módulo de leitura de crachá é fixado com cola e sua remoção é uma tarefa trivial.

Figura 8 - Módulo de leitura de crachá

Uma vez que ele é removido, ganhamos acesso a fiação e a vários componentes dentro da catraca que podem ser do interesse de um atacante. Por exemplo, isso poderia permitir a inserção de um implante que, neste caso, seria difícil de detectar, uma vez que não fica exposto externamente.

Quando abordamos a questão do módulo de leitura de cartão que pode ser acessado externamente de forma não autorizado, entramos no domínio da segurança física. Nota-se que a catraca possui uma fechadura para limitar o acesso à sua parte interna. Portanto, além de controlar o acesso a áreas específicas da empresa, a catraca também possui a sua própria camada de segurança física. Esse é um aspecto de atenção, pois uma falha neste mecanismo pode abrir caminho para uma série de ataques.

Vamos analisar como podemos atacar essa camada de segurança que restringe o acesso ao ambiente interno da catraca.

Uso de bump key para abertura não autorizada

Uma das formas que utilizamos para abrir essa catraca de forma não autorizada foi através do que chamamos de bump attack ou lock bumping, que também são ataques muito úteis em testes de intrusão físico. Esse tipo de ataque é bastante eficaz em uma grande variedade de fechaduras que utilizam pinos. Utilizamos chaves chamadas de bump keys para esse tipo de ataque, também conhecidas como 999 keys. Aqui estão alguns exemplos de 999 keys ou bump keys.

Figura 9 - Bump keys ou 999keys

Ao pegarmos a chave correta para a fechadura, podemos observar que elas possuem dentes. Esses dentes, ao serem inseridos no tambor, alinham o segredo, como demonstrado na animação.

Figura 10 - Funcionamento básico das fechaduras de pinos. Fonte: Cup of Jo, disponível em https://cupofjo.com/wp-content/uploads/2013/06/how-a-standard-key-lock-works1.gif

Quando os dentes têm o tamanho correto, a chave entra na fechadura e, em seguida, os pinos ficam na posição adequada, permitindo que possamos girar o tambor, ou seja, abrir ou fechar a fechadura.

A bump key ou 999 key não é mais do que uma chave seguindo o mesmo padrão da fechadura que estamos atacando. A diferença é que ela tem cortes no nível mínimo que o padrão permite, ou seja, ficando com os dentes na altura mais baixa permitida.

A distância entre os dentes é mantida conforme o padrão. O princípio da bump key é que ela entra na fechadura, mas não alinha corretamente os pinos, devido aos dentes que tem a altura mínima. Em outras palavras, esses dentes são mais curtos e não criam o contato necessário para alinhar os pinos da fechadura corretamente.

No entanto, ao batermos na chave, esse impacto faz com que os pinos se movam, e, por uma fração de segundo, eles podem se alinhar dentro do tambor, permitindo a abertura não autorizada da fechadura.

Figura 11 - Simulação do impacto em uma bump key na fechadura. Fonte: Art of Lock Picking, disponível em https://www.art-of-lockpicking.com/wp-content/uploads/Hitting+the+Bump+Key-1.gif

Vamos agora observar o ataque na prática. Estamos utilizando um pequeno martelo para criar o impacto na bump key inserida na fechadura da catraca.

0:00
/0:04

Figura 12 - Abertura da fechadura da catraca com uma bump key

O processo de abertura com a bump key é muito rápido. Os ataques de bump key são muito interessantes e ágeis. No entanto, eles são um tanto barulhentos, o que, dependendo do ambiente, pode chamar a atenção e torná-los inviáveis em alguns casos.

Então, podemos nos perguntar como abrir essa mesma fechadura sem gerar barulho. Observamos que há um problema de design de segurança nessa catraca. Vamos analisar esse problema em detalhes.

Problemas de design na catraca

Na porta da catraca, existe uma espécie de trava que é fixada por um gancho, esse gancho fica na parte interna da catraca. Quando inserimos a chave apropriada e giramos o tambor, movemos uma barra de ferro. Essa barra é responsável por movimentar o gancho que faz o travamento da porta, seja para cima ou para baixo, permitindo, assim, que a porta esteja fechada ou aberta.  

0:00
/0:08

Figura 13 - Funcionamento do mecanismo de trava presente na catraca

Podemos observar que essa alavanca que trava o mecanismo está localizada exatamente na união da porta, apresentando uma pequena abertura que possibilita o acesso a essa alavanca quando a porta está fechada.

Ao inserir um objeto fino e sólido, é possível manipular essa alavanca e abrir a porta de forma não autorizada, de maneira extremamente rápida e silenciosa, como demonstrado abaixo.

0:00
/0:04

Figura 14 - Abertura da catraca de forma alternativa

Conclusão

Neste capítulo, realizamos uma análise de vulnerabilidades associadas aos sistemas de biometria facial, destacando como atacantes podem explorar essas brechas para obter acesso não autorizado a ambientes protegidos por catracas. Além disso, examinamos as medidas de segurança física inerentes às catracas e identificamos falhas de design e técnicas de lock-picking que potencializam a vulnerabilidade desses sistemas.

Esta análise não apenas revela as fragilidades presentes nos sistemas de controle de acesso atuais, mas também enfatiza a necessidade contínua de aprimoramento e inovação na segurança física e digital.

A nossa jornada em busca de compreender e reforçar a segurança das catracas é um processo contínuo. No próximo capítulo desta série, aprofundaremos nosso conhecimento sobre implantes de segurança e ataques de replay, expandindo nosso entendimento sobre os desafios e soluções na segurança contemporânea.

Nossa caminhada pela segurança das catracas continua. Stay tuned!

Agradecimentos

Nome
Cleriston Freitas
Felipe Sanches
Ricardo B. Gonçales
Wendel G. Henrique


Sobre a PRIDE Security

PRIDE Security é uma consultoria especializada em segurança da informação que oferece serviços e produtos customizados para atender as necessidades e metas de cada negócio. Nós identificamos falhas em sistemas e processos e ajudamos os clientes a mitigar os riscos associados, preservando suas informações e reputação.

Com equipe composta por ex-diretores de consultorias, nossos especialistas são altamente experientes, grande parte com mais de 15 anos de mercado, tendo atuado em projetos de segurança da informação com empresas presentes em todos os continentes, sendo que várias delas compõem a “Fortune 500”. Nossa equipe possui conhecimento para atuar nos mais complexos projetos, com capacidade para reunir conhecimento de diversas áreas, como criptografia, engenharia reversa em diversas arquiteturas, debugging de hardware e programação.

Somos uma empresa privada brasileira sem vínculo a investidores, neutra na avaliação de fabricantes de produtos de segurança e sem meta de vendas, para garantir que o nosso time tenha foco na qualidade e entrega de resultados que superem as expectativas. Nosso crescimento ocorre através das recomendações dos clientes sobre nossos serviços, associado à reputação e relacionamento que construímos em cada projeto.

Com foco na excelência técnica e atendimento personalizado, atuamos nos mais diversos tipos de projeto, desde testes de segurança em ambiente SCADA, até projetos de segurança nacional.

Com reconhecimento técnico internacional, os profissionais da PRIDE Security constantemente palestram em eventos de segurança pelo mundo. Citamos abaixo alguns exemplos:

  • Blackhat – EUA
  • RSA Conference – EUA
  • Defcon – EUA
  • ToorCon – EUA
  • Blackhat – edição Europa
  • OWASP AppSec Research – edição Europa
  • OWASP AppSecEU09 – edição Europa
  • Troppers – Alemanha
  • H2HC (Hackers 2 Hackers Conference) – Brasil
  • YSTS (You Sh0t The Sheriff) – Brasil

Além de palestrar nos principais eventos de segurança ao redor do mundo, os profissionais também são responsáveis por escrever diversos papers (artigos), coautores de patente de tecnologia ofensiva registrada nos Estados Unidos da América (US8756697), encontrar e publicar falhas de software como Sun Solaris, Kernel de FreeBSD/NetBSD, QNX RTOS, Microsoft ISA Server, Microsoft Word, Adobe Flash, Adobe PDF, dentre outros softwares.

Muitas organizações preocupadas com a segurança da informação contam com a PRIDE Security. Se você estiver interessado, nós teremos o maior prazer em colocá-lo em contato com nossos clientes para compartilharem as experiências com nossos serviços.