Представьте: вы ставите на дверь навороченный «умный» замок. Биометрия, карты доступа, пин-коды — целый арсенал защиты в компактном корпусе. Сидя за такой дверью, начинаешь чувствовать себя героем шпионского фильма: доступ строго по отпечатку пальца, никаких случайных гостей — почти режим секретного бункера. 

И тут выясняется, что вся эта киберпанковая защита обходится пятью разными способами за считаные минуты. Причем не хакерами из голливудского кино, а обычным соседом с отверткой. Чувство защищенности моментально улетучивается, и вот в «крепости будущего» уже начинают угадываться дешевые картонные декорации. 

Сегодня вскроем такой «умный» замок и разберем пять векторов атак, демонстрирующих, что красивая технологическая оболочка не всегда означает настоящую защиту. Приготовьтесь — будет познавательно и местами абсурдно.

Анатомия пациента: что там внутри?

Прежде чем взламывать, нужно понять, как устроена жертва. Знание анатомии — половина успеха любого хирурга. И хакера тоже.

Уровень первый: старая добрая механика

Начнем с механики — базового уровня конструкции. Замок состоит из трех основных частей: внутренняя ручка, личинка и внешняя ручка. Их соединяет квадратный стержень-шток.

Когда замок получает команду на открытие (через код, карту, отпечаток пальца или блютуз), электромотор выдвигает миниатюрный металлический фиксатор. Этот фиксатор работает как сцепление в автомобиле — физически соединяет внешнюю ручку со штоком. Теперь поворот ручки передаётся на шток, и дверь открывается. После этого фиксатор убирается, и ручка снова переходит в боевой режим ожидания команды на открытие.

На случай полного отказа электроники предусмотрен классический механический ключ. Он вставляется в отдельную личинку на торце ручки и приводит в действие фиксатор простым дедовским механическим способом.

Возможно, вы уже догадываетесь, что здесь не так. Но это ещё не всё.

Уровень второй: электронные «мозги»

Теперь об электронике. Вся она компактно упакована и располагается прямо внутри ручки.

Во внутренней части ручки — той, что находится со стороны защищаемого помещения — отсек для четырех батареек AAA и пара кнопок.

Внутренняя часть ручки
Внутренняя часть ручки

Крупная кнопка служит для перевода замка в режим «всегда открыто»: держишь три секунды, и механизм разблокируется. Вторая, спрятанная в отверстии, — кнопка сброса к заводским настройкам. Нажимается иголкой, и после пятисекундного удержания замок возвращается в первозданное состояние.

Те самые кнопки крупным планом
Те самые кнопки крупным планом

Во внешней, уличной части ручки — всё самое интересное. Именно здесь находятся все «мозги» замка: центральная плата и контроллеры. Представьте, что вы разместили блок управления домашней сигнализацией не внутри дома, а в почтовом ящике у калитки. Удобно для проверки, но не очень-то безопасно.

Внешняя часть ручки
Внешняя часть ручки

Что же мы видим внутри этого «почтового ящика»? Центральная плата — мозг, принимающий все решения. Устройства ввода — сенсорная клавиатура для PIN-кода, сканер отпечатков пальцев и считыватель для карт доступа. Беспроводной модуль — Bluetooth для связи со смартфоном. Порт USB-C для аварийной подачи питания (не для данных). Под платой прячется исполнительный механизм — тот самый микромоторчик с фиксатором.

Центральная плата (слева) и исполнительный механизм (справа)
Центральная плата (слева) и исполнительный механизм (справа)

От платы к внутренней ручке через отверстие в штоке проходит шлейф из четырех проводов (красный, черный, зеленый, белый). Они отвечают за питание и сигналы от кнопок с внутренней части ручки.

Каскад уязвимостей: от цифровых копий до физического доступа

Теперь, когда знаем анатомию пациента, можно приступать к пентесту. И поверьте — здесь нас ждет целый букет проблем.

Вектор 1. «Спасибо за отзыв!»

Начнем с самого простого — с человеческого фактора. Некоторые покупатели замков оставляют на маркетплейсах отзывы — иногда даже с фото. Причем в порыве энтузиазма они могут сфотографировать не только ручку, но и ключи. Это наша первая точка входа.

Вот типичный пример: обзор на популярной площадке, и в кадре — ключ.

Ключи так называемого «канавочного» типа, достаточно распространенный формат
Ключи так называемого «канавочного» типа, достаточно распространенный формат

Увеличиваем изображение, перерисовываем контуры прямо с экрана и отправляемся в ближайшую мастерскую. Дубликат такого ключа сделают за пару сотен рублей. Элементарно.

Причем вам даже не обязательно так заморачиваться. Механические ключи, как правило, не уникальны. Заводы массово выпускают замки с ограниченным количеством комбинаций. У таких ключей, как наш, обычно около 200–500 вариаций. Безопасность отчасти обеспечивается тем, что замки с одинаковыми ключами стараются не отправлять одной партией в один город. Но судя по тому, что мы нашли дубликат нашего ключа среди фото на маркетплейсе, производитель мог и сэкономить на числе комбинаций.

Вектор 2. CSI на коленке

Теперь взглянем на кодовую панель. Черный глянцевый пластик, который смотрится красиво только в каталоге производителя. В реальности панель всегда покрыта жирными отпечатками. И эти следы — наш второй вектор.

Алгоритм прост: приходим к замку с тряпочкой, аккуратно протираем панель, ждем, пока владелец наберёт код, возвращаемся и анализируем свежие отпечатки. Подсветив панель под определенным углом обычным фонариком смартфона, можно отчетливо увидеть цифры, к которым прикасались.

Конечно, остается проблема с последовательностью цифр. На исследуемом замке PIN-код может состоять из 6–10 цифр, но отпечатки резко сокращают пространство поиска. 

Например, если злоумышленник точно знает, что код шестизначный, и видит следы на шести разных клавишах, ему понадобится перебрать 6! = 720комбинаций. Такой набор можно проверить вручную за разумное время.

Впрочем, сценарий с кодом из 6 цифр без повторов — самый простой для атакующего. В реальности цифры в комбинации могут повторяться — и тогда число комбинаций значительно возрастает:

6^6 = 46 656

Так что метод трудно назвать «чит-кодом» для мгновенного взлома — но и сбрасывать его со счетов не стоит. Это не серебряная пуля, а скорее хороший бонус к арсеналу атакующего.

Вектор 3. А-ля Джеймс Бонд

Никто ведь не читает инструкции? А я читаю — и поэтому знаю, что в прошивке замка есть своя «пасхалка».

Комбинация 888# переводит замок в режим инициализации. Если после её ввода в течение 10 секунд легальный пользователь открывает дверь своим обычным способом (пальцем, картой), замок переходит в состояние «всегда открыто» до следующей команды.

При определенном стечении обстоятельств этим можно воспользоваться. Я, как атакующий, подхожу к двери за 5 секунд до вас и ввожу 888#, делая вид, что просто дергаю за ручку. Вы подходите, говорите, что дверь закрыта, прикладываете палец, открываете дверь и заходите внутрь. Поздравляю — вы только что оставили дверь разблокированной для меня или моего сообщника.

Вектор 4. Золотой ключик

Четвертый способ — работа с картами доступа. Наш подопытный использует карты формата Mifare Classic 1K. Это старый и давно скомпрометированный стандарт. С помощью устройства вроде Flipper Zero или Proxmark можно за пару секунд считать карту и создать её точную копию на пустой болванке. Замок не заметит подмены. Не комильфо.

Делаем копию ключа с помощью Proxmark
Делаем копию ключа с помощью Proxmark

Вектор 5. Физический взлом, или вишенка на торте

А вот и атака, которая делает все предыдущие методы просто излишними. Давайте вернемся к механизму. Все «мозги» замка — контроллер, провода, электроника — расположены снаружи, в публичной зоне. И защищает всё это богатство... пластиковая крышка на двустороннем скотче :)

Это даже не театр безопасности — это кружок самодеятельности.

Берем любой тонкий и прочный предмет: канцелярский нож, пластиковую карту или профессиональный инструмент для вскрытия корпусов. Пара движений — и крышка снята. Под ней плата со всеми контактами.

Мы помним про четыре провода, идущие внутрь. Один из них (в нашем случае белый) отвечает за сигнал от внутренней кнопки открытия, а другой (чёрный) — это земля. Берём две иголки, замыкаем соответствующие контакты прямо на плате, ждём три секунды — и замок имитирует нажатие кнопки изнутри. «Щёлк» — и дверь открыта. Время вскрытия: 10–15 секунд.

Заглянул на федеральное ТВ, чтобы показать, как это работает
Заглянул на федеральное ТВ, чтобы показать, как это работает

Это открывает простор для творчества. Я, как атакующий, могу незаметно подготовить плацдарм для будущих атак. Что можно сделать?

Можно незаметно припаять к контактам открытия миниатюрный геркон. Потом достаточно будет поднести к определенному месту на ручке магнит, и она откроется. Или бэкдор через USB — перепаять порт USB-C так, чтобы при подключении кабеля замыкались контакты открытия. Подошел, вставил кабель — замок открыт.

Впрочем, для открытия двери даже не нужно ничего понимать в электронике. Если разобрать ручку до основания (выкрутить ещё пару винтов), вы можете просто подтолкнуть отверткой механизм, проворачивающий штифт.

Открываем разобранный замок с помощью обычной отвертки
Открываем разобранный замок с помощью обычной отвертки

Рекомендации: как это должно работать

После всего увиденного очевидно — замок спроектирован неправильно на архитектурном уровне. По-хорошему, такая система должна быть устроена совершенно иначе.

  1. Вся электроника — внутрь помещения. Контроллер, проводка, механизмы управления должны быть физически недоступны снаружи.

  2. Снаружи — только интерфейсы. Считыватель карт, сканер, кнопки. Никакой критически важной логики.

  3. Нормальное крепление. Винты с потайными головками, защищенные заклёпки — что угодно, кроме скотча.

  4. Рандомизация сервисных кодов. Убрать 888# или сделать код уникальным для каждого устройства.

  5. Защита от вскрытия (tamper protection). Добавить датчики вскрытия корпуса с отправкой уведомлений администратору.

Однако чем дольше смотришь на эту конструкцию, тем яснее понимаешь: конкретно это изделие уже ничем не исправить. Оно сделано, как говорят инженеры, by design через ж*пу.

Заключение: театр безопасности в чистом виде

Что имеем в итоге? Устройство, которое создает иллюзию защиты при полном отсутствии реальной безопасности. Производитель напичкал девайс модными технологиями (Бесконтактные карты! Биометрия! Bluetooth!), но забыл про основы инженерной мысли.

Такая умная ручка стоит около 2000 рублей. Может быть, я многого хочу за эти деньги? Но сравните это с обычным механическим замком за ту же цену по числу векторов атак. И сразу возникает вопрос — а все ли устройства стоит делать «умными»?

Отвечая на главный вопрос: можно ли этим пользоваться? Если вы готовы к тому, что любой желающий с ножом и парой иголок попадет к вам домой за минуту, — то да. В остальных случаях держитесь подальше.

А если хотите больше таких разборов — заглядывайте в мой персональный Telegram-канал. Там я разбираю другие «умные» железки и показываю, как технологии ведут себя в реальности, а не в маркетинговых буклетах.

P. S. Статья написана исключительно в образовательных целях. Взламывать чужие замки незаконно. Используйте полученные знания для выбора более надежных решений, а не для противоправных действий.