Comments 76
А зачем вы так заморачивались, когда гораздо проще просто замыкать кнопку открытия двери, установленную с обратной стороны? И при этом вообще неважно, стоит на двери какой то блок распознавания лиц или нет. Правда в этом случае статья получилась бы менее интригующая.
Для этого надо попасть внутрь?
По фото - сдернули блок и скрепкой открыли, добавили магнит, чтобы во второй раз не возиться.
Цель эксперимента — показать архитектурные проблемы современных СКУД. Кнопку выхода можно замкнуть, это упоминается в статье как одна из проблем. Но это локальная проблема, которую можно решить грамотным монтажом.
Куда важнее то, что производители позиционируют биометрические терминалы как надежное решение "все-в-одном", при этом используя в них примитивную схему с прямым управлением замком. Нужен пересмотр подхода к разработке таких СКУД.
Обычно взлом таких "бабалаек" начинает через фото кого-то, кто может тут оказаться.
Был в нескольких учреждениях, где по фото руководителя организации или губернатора из Интернета радостно приветствовало и пускало.
Причем предупреждаешь. Говоришь: "у вас "человек" в здание не входил, а внутри ходит, не подозрительно ли?" Чаще всего всем фиолетово.
Так если найти провод от кнопки и так же закоротить на любом участке кабельной трассы, то все ваши модификации тоже идут лесом, придёт защищённая команда на открытие. Это надо что бы и кнопка была умная. А она почти у всех тупая, кроме контроля трассы.
Никто не заметил, что двери там стеклянные и сами осыпаются от одного удара "брелка-спасателя" или "стеклобоя".
А еще странно выглядит дублирование систем, на верхнем модуле есть считыватель карт? почему и зачем в таком случае оставили нижний считыватель? Раз уже понизили уровень безопасности до плинтуса.
В метре от стекла может сидеть охранник, который не сможет не заметить что его разбили. Впрочем он не даст долго копаться с проводами. Но не всегда важно вломиться, подозреваю полезнее получить доступ так, чтобы никто не знал, этож не банк, там внутри за дверью ничего нету скорее всего.
Некоторые орлы ставят механические реле открытия прям в внешний блок, что позволяет открывать замок поднося магнит вместо карты :). У локпиклоуера можно посмотреть, он их тонны распотрошил. Хуже всех те, что имеют механические дублирующие части, они примерно нулевой взломостойкости обычно
Кстати, если поднести с внешней стороны побольше магнит напротив места установки кнопки, она не замкнется ?
А если катушку большой мощности разрядить в этом месте, навести достаточное напряжение в проводах не удастся ? (впрочем тут похоже металлический конструктив, скорее всего он заэкранирует).
Кстати, если поднести с внешней стороны побольше магнит напротив места установки кнопки, она не замкнется?
Пробовали. Там реле находится посередине считывателя, 75-килограммовый магнит не дотянулся.
охранник, который не сможет не заметить что его разбили. Впрочем он не даст долго копаться с проводами
для этого пентестеру следует приходить в рабочем комбинезоне с ящиком инструментов и стремянкой. эти атрибуты, как известно, позволяют проходить в любые помещения и творить там умеренную дичь.
ковыряние в считывателе в таком амплуа прокатит. разбитие или срезание стекла -- нет.
del
А еще странно выглядит дублирование систем, на верхнем модуле есть считыватель карт? почему и зачем в таком случае оставили нижний считыватель?
В верхнем биометрическом терминале отдельного RFID/NFC считывателя нет. То, что вы видите внизу — единственный считыватель карт в системе.
Никто не заметил, что двери там стеклянные и сами осыпаются от одного удара
Нет смысла ставить бронированную дверь в картонную стену, но давайте не будем углубляться в вопросы вандалоустойчивости. Там, где это важно с точки зрения модели угроз, такие замки ставят на серьезные железные двери. Цель исследования была именно в анализе СКУД, а не в комплексном аудите физической безопасности помещения. Иначе можно вспомнить и про фальшпотолки, окна и прочие приключения Джона Макклейна.
Как это нет... как раз таки есть, это же Хик Про серии DS-K1T****M там во всех моделях есть считыватель RFID-карт M1 (Mifare 1 Contactless Smart card, Frequency: 13.56MHz).
Кстати, первично установленная система парсек на картах (без распознавания лица) по сути имеет такой же дефект - кнопка запроса на выход RTE это те же 2 провода, магнитное реле к которому можно внедрить аппаратно в любом месте.
Как раз в толстых железных дверях эта кнопка и является ахиллесовой пятой, сверление отверстия рядом и нажатие на кнопку специальным раскрывающимся инструментом - на все про все 60 секунд максимум.
А как там у этого скуда с соблюдением законодательства в области биометрии? Нынче же все через единую биометрическую систему, госуслуги и вот это всё
Это не платежная система.
При чем тут платежная система? Любая биометрия только через едс может/должна работать. Если по закону, конечно
Вот тут человеческим языком написано: https://www.secuteck.ru/articles/bioskud-perezagruzka-i-novye-trebovaniya . Если кратко, то вся биометрия (за исключением безопасных городов и некоторых иных случаев), ВКЛЮЧАЯ системы контроля доступа теперь должна храниться и обрабатываться только в единой биометрической системе или специальными аккредитованными операторами (произвольная организация таким оператором стать не может - слишком много требований и слишком дорого). Так что для организаций сейчас по сути осталось два пути: вернуться на классические карточные СКУДы или покупать СКУД, который может работать через подобный сервис. Время китайских терминалов "всё в одном" прошло
Если хочется юридических тонкостей, то гуглить 572ФЗ
Там ещё и ответственность за самовольство нехилая может наступить
Можно ходить по пальцу. Для этого никакие ЕБС не нужны. Плюс несколько секурнее, чем по лицу, поскольку большинство китайских фейсайди обманывается тупо фоткой с экрана телефона.
Я бы сказал, что пока не нужны. Есть впечатление, что всю биометрию постепенно государство себе постарается забрать
Неа, нет такого впечатления. Государство, по вашему., почему признало биометрией лишь лицо и голос? Да потому, что всё остальное им нафик не нужно! Сетчатку глаза, радужку, вены ладоней и папиллярные узоры невозможно использовать для массовой слежки за гражданами. А вот лицо (повсеместные камеры) и голос (телефонные разговоры) - сколько угодно. Стало быть, то, что нам интересно - затаскивайте к нам, и никак иначе, а вот со всем остальным можете париться сами.
У меня ощущение, что 90% всех "умных" замков вскрываются скрепкой или магнитиком.
Поздравляю, вы "хакнули" систему для честных людей.
СКУД в офисе (без физической охраны) больше служит для того, чтобы сотрудники не шлялись там, где им не положено. При определенном желании можно попасть в любую зону, просто это может закончится разборками и увольнением любопытного.
PS Подобные терминалы стоят, например, на входе в мэрию Москвы - попробуйте там с линейкой полазить :) Правда там еще парочка росгвардейцев, но это мелочи.
Живая охрана - просто еще один фактор риска в театре безопасности.
Пришел ремонтник, сдернул блок, повозился пять минут, вернул все на место.
Сколько тестировщиков потом пройдет по магнитной карточке и будет ли вообще реакция - отдельный вопрос.
Если служба безопасности сидит и плюет в потолок, то да. На нормальных объектах никакой левый ремонтник ничего не "обслужит", да и правильный не сразу доступ к телу получит. Про магнитные карточки - на объекте с нормальной СБ первый (в худшем случае второй) прошедший по такой карточке будет остановлен, не пишите ерунды.
И все же основное назначение любого замка — обеспечивать защиту от несанкционированного проникновения, а не просто висеть для красоты. Как показано в статье, ситуацию можно исправить, пересмотрев архитектуру системы. Возможно, в таком случае СКУД справлялась бы со своей задачей даже без приставленного охранника или росгвардейца :)
Как показано в статье, ситуацию можно исправить, пересмотрев архитектуру системы.
Конечно можно, причем это выглядит несложно: создаем модель нарушителя, описываем потенциальные угрозы проникновения, разрабатываем комплекс мероприятий (технических и организационных), запрашиваем КП, забиваем болт так как получается все очень дорого и ставим систему "как у всех" от людей без преступных помыслов.
Если все через сервер делать, то то при отказе сервера нельзя будет выйти
Можно делать отпирание изнутри чисто механическим, можно с уведомлением сервера.
Тогда дабы его использовать снаружи потребуется просверлить дверь. А это уже абсолютно заметно.
Правда я не уверен что нормально (без питания) запертые электрозамки согласуются с пожарной безопасностью
По требованиям пожарной безопасности при снятии напряжения все замки должны открыться. При отказе сервера рубим электричество и выходим.
стеклянная дверь
не проще ли замкнуть кнопку или провода замка?
С вышеописанной децентрализованной системой тоже много заморочек. Что-то выходит из строя и люди попасть в помещение не могут.
По требованиям пожарной безопасности многие помещения строятся на fail-safe замках тобишь открывающихся снятием напряжения, даже если система децентрализованная никто не мешает отправить в защиту или убить общий блок питания замкнув провода считывателя, также можно жахнуть по этим проводам электрошокером, чтобы убить контроллер и получить доступ. Иногда можно разрядить шокер в металлическую дверь, чтобы выбить замок.
Этот проект новой СКУД вы сами утверждали или это самодеятельность подрядчика, а проект был другой?
Достаточно взглянуть на первую попавшуюся схему со страницы товара на маркетплейсе.
Самые дешёвые надо ещё на универсальные ключи проверять. В отличие от более-менее крупных, где эту проблему таки побороли, многие экземпляры вроде тех, что на картинке, с лёгкостью открываются ключом или картой с кодом из одних FF, словно древние подъездные домофоны.
Магнитный считыватель работает по простому принципу
Ну какой же он магнитный, когда это RFID. Магнитные карты в СКУД ушли в историю ещё давным-давно.
Я бы делил СКУД на категории какие-то что ли. Есть разница и в условиях использования и в том, ради какой цели установлено. Замки так-то тоже разные бывают: одни защищают сейф с драгоценностями, другие дверь в туалет блокируют от случайного доступа, когда он занят. И это совсем разные замки. Изделие из поста ближе ко второму варианту.
Перемкнули контакты скрепкой — дверь и открылась.
т.е. когда в кино стреляют в подобный замок и дверь открывается - оказывается, что это не бред сумасшедшего...
Ребят, у вас это... Дверь стеклянная. Открывается ударом молотка. А вы про какие-то провода...
И это не говоря о том, что Flipper Zero прекрасно клонирует карты от этих скуд, секунды за три. И не требует вскрытия замка и замыкания контактов.
Mifare SL3 тоже или HID закрытый?
Ну, HID iClass в России уже только если в чемоданах (но Сбер, увы как и многие модные ЖК, уйти от него конечно просто так не может, наследие - оно такое наследие). Что EV2 с SL3 конечно Flipper сможет - сомневаюсь. Более того в секторном режиме нормальный считыватель свой сектор с данными точно знает, помимо шифрования... Так что пентест с доступом к кабелям конечно странный, да и если бы не было кнопки в схеме и китайского терминала - на схеме у нас электромагнитный замок. И когда мы отключаем его питание с помощью простой советской... ;)
Есть вандальный способ проникновения, есть тихий неразрушающий.
Ребят, у вас это... Дверь стеклянная
Специалисты по замкам очень чётко отличают взлом замка от его вскрытия. Тут про вскрытие. А вы про взлом.
Флиппер не может скопировать даже ключи от пиковских калиток у своём большинстве, Mifare 1k, plus и иже с ним для этой игрушки недоступны.
Это же не бронедверь дорого коттеджа. В такую дверь можно войти куда проще - там магнитный замок, его можно просто рукой дернуть, если веса хватит - он спокойно откроется без шума.
О защите от демонтажа речи даже не шло — видимо, разработчики посчитали, что злоумышленники будут так впечатлены ценой устройства, что побоятся к нему прикасаться.
Да, 20-30 т.р. - это та цена, которая впечатляет.
А вообще "вскрытие" ни о чем, поскольку данная система не относится к антивандальным. И вообще все подобные системы обязаны открываться в случае тупого перекусывания кусачками провода питания: таковы требования пожарной безопасности.
Круто, экспертом по замкам уже стали или только специалистом?
Бггггг, ты обо$рался в теме про девайсы с вирусами со своим виктимблеймингом, нахватал минусов полную панамку и теперь будешь обиженно за ним по всему хабру бегать, пытаясь его как-то задеть? Цирк уехал, клоуны остались...
Ещё веселее открываются кодовые замки на чемоданах - удерживаешь в оттянутом положении рычаг, крутишь колёсики, и они сами защёлкиваются в правильном положении (если замок совсем топорный, то вывести из правильного положения удаётся лишь с усилием). Тоже случайно сбил комбинацию на своём чемодане (не защёлкнул до конца при сбросе цифр, а в итоге сбросил код), открыл буквально за пару минут.
Offtop: А есть ли какой-то скрытый смысл в том листинге ассемблера выгравированном на стекле?)
Судя по указанным моделям контроллеров NC-8000-D (Парсек) и представленным тут схемам подключения, ведится что в техническом задании на СКУД безопасность не была проставлена как отдельный критерий.
Любой СКУД построенный на Wiegand интерфейсе контроллер-считыватель и со свободным доступам к проводам DATA0-DATA1 ставит крест на любых способах защиты устройств считывания.
Представленные тут терминалы (На сколько я понял это какой-то из Хиков) действительно устройство все в одном и как любое подобное устройство не застраховано от прямого доступа к примитивным органам управления (реле, сухие контакты).
Если уже была установлена обычная карточная система, то не понятно почему не повесили Хик на контроллер Парсека, тогда бы Хик выступал только преобразователем лицо -> wiegand номер, а решение об управлении дверью принимал бы контроллер парсека находящийся в более защищенной зоне.
Любой СКУД построенный на Wiegand интерфейсе контроллер-считыватель и со свободным доступам к проводам DATA0-DATA1 ставит крест на любых способах защиты устройств считывания.
Почему?
Wiegand это односторонний интерфейс\протокол разработанные несколько десятком лет назад. В нем нет ничего. Ни авторизации, ни шифрования, даже обратной связи от считывателя.
Следовательно возможны такие примитивные атаки:
Тупой перебор ключей, пока не откроется. Далеко не все контроллеры защищены от перебора.
Прослушивание линии Wiegand любым, даже самым дешевым логическим анализатором для сборки "работающих" ключей
У Wiegand такие тайминги срабатывания, и на столько простой интерфейс что вы можете даже микроконтроллер не использовать. Я писал Wiegand эмулятор для pi zero на python используя их стандартную либо по работе с GPIO, даже на Python все работало отлично.
Так виганд это же не шина, чего там перехватывать, если ты к считывателю и так доступ имеешь. А если можешь перехватить пакет от считывателя, то ты уже и так внутри.
Перебор тоже странно, даже на Wiegand-26 при 500мс на попытку, займет сто дней. С учетом того, что обратной связи нет — это 100 дней сидеть рядом с дверью, чтобы не пропустить момент, когда она откроется.
Ну, т.е. в том, что он слабо защищен, я согласен, но вот с "ставит крест на любых способах защиты устройств считывания" нет.
Соглашусь с вами, что перебор это я приплел чисто для красного словца. Очень сомневаюсь что хоть кто-то так будет взламывать. Посыл тут скорей в том, что Wiegand это слабое место в связке карта - считыватель - контроллер. Какой бы защищенной и не копируемой не была карта данные c нее передают в незашифрованном виде, а провода от считывателя хорошо если в стену замурованы, а не идут в каком-нибудь кабель канале.
Да действительно wiegand это не шина. Но довольно часто считыватель устанавливается на значительном удалении от контроллера (до 150 метров). Например считыватель на калитке, а контроллер в доме или где-то в другом здании. В этом случае у вас есть доступ к проводам довольно открытый.
Обратной связи нет у протокола Wiegand, но обратная связь есть со стороны контроллера. (Считыватель же нам сигнализирует можно\нельзя) по этой связке можно понять, код подошел или нет.
500 милисекунд все таки тоже многовато. Все таки обычно контроллеры при простых логиках доступа (без хождения на сервер) обрабатывают проход в приделах 100 мс - 200 мс
Мне не известны системы СКУД, где код карты генерировался бы для каждой точки доступа свой. А это значит что получив номер карты где-то на проходной вам открыты все двери которые разрешены этой карте.
Примение OSDP как замена Wiegand в России не очень популярна. Хоть компания в которой я работаю и выпускаем считыватели с поддержкой OSDP, по общению с нашими продажниками практически все подключаются по Wiegand. Даже довольно крупные клиенты и повышают безопасность другими способами (видео наблюдение, добавление дополнительных факторов идентификации)
Спасибо, тема вообще не моя, но прям зацепило!!!
до премиальных систем, цена которых сравнима с зарплатой senior-разработчика, производители СКУД раз за разом наступают на одни и те же грабли
а. они дураки
б. они жулики
в. они смотрят на мир шире, чем вы
При чтении этого абзаца мне показалось, что у вас туннельное зрение, типичное для любых увлечённых людей. https://xkcd.com/538/
Вместо заключения: правильная архитектура СКУД
...и тут я затаил дыхание
Главное — разделить считыватель и управляющий модуль, перенеся логику принятия решений в защищенную зону.
Ну? децентрализация с избыточностью (и сложностью в поддержке) - или намернное создание уязвимости (single point of failure) ???
собирает данные и передает их на центральный сервер через защищенный канал. Сервер проверяет полученную информацию по базе и отправляет команду на открытие замка
Есть! вы выбрали уязвимость!!! Вы требуете признать правильной крайне опасную архитектуру.
Не удивительно: в туннеле вашего зрения единственная опасность, существующая в природе, это другой пентестер, который вам "поставит двойку".
А в реальности будет грубо и некрасиво, как тот ключ с XKCD
с этажа выше или с крыши проливается в серверную ведро воды, например через кондиционер
ваш "правильный" сервер дверей сгорает первым, или зависает, или...
в серверной в целом начинается пожар, и через полчаса распространяется на этаж в целом
люди, заметив пожар, пытаются выйти из кабинетов и убежать от опасности
люди не могут покинуть кабинеты, потому что СКУД правильная - то есть не открывает двери, пока кто-нибудь не привезет новый сервер
люди прыгают из окон с 10 этажа, насмерть, но это лучше чем гореть заживо
адвокаты пытаются вас в суде отмазать от убийства по неосторожности, которое вы по сути сделали навязав смертельно опасную архитектуру в качестве стандарта
По пункту 5. В Парсеке контроллеры продолжают работу в штатном режиме, потому что все контроллеры хешируют информацию в "себе". Новые карты не завести - это факт. Но старые работают. И пожарную кнопку никто не отменял
пожарная кнопка - это уже децентрализация, про которую я надеялся прочитать в статье, но... там её нет.
По "правильной" архитектуре ваша пожарная кнопка отправляет сигнал на One True сервер, который записывает его в журнал событий, туда же кладёт пару фотографий с камер наблюдения за этой кнопкой, и потом, если запись в журнал закончилась успехом, отправляет сигнал на открытие кнопки. И хорошо, если в промежутке ещё не бэкапит журнал в облако, ради надежности.
Всё остальное - "неправильная" СКУД, по тексту статьи если
Практически все архитектуры СКУД являются 2 уровневыми. Контроллер это управляющее устройство имеет некий уровень автономности, сервер для работы ему совершенно не нужен. Поэтому аварии на серверной в том числе долгая потеря связи с центральным сервером ни как не повлияет на работу самих контроллер.
Теперь о пожаре. СКУД, в отличии от пожарной системы не является обязательной системой. Поэтому там где СКУД ставить с огромной долью вероятности есть пожарная система. Так вот, на практически на любой замыкающей аппаратуре, будь то контроллер СКУД или обычный магнитный замок существуют контакты для подключения это самой пожарной сигнализации. Есть требование (документ не найду, но он гуглиться) который в вольном изложении звучит так: в случае возникновения пожара любые все точки доступа должны разблокироваться. Понятно что это не касается контроллеров которые управляют например сейфовыми замками, практиче везде это настраивается, но факт остается фактом. При наступлении пожара СКУД установленных хотя бы по минимальным требованиям не будет преграждать путь.
Wiegand это далеко не мечта параноика
Не статья а клоунада, биба и боба два дилетанта, начиная с того, что монтажная пластина обычно утоплена в корпус, чтобы умелые ручки ничего не подсунули и заканчивая тем, что проще замкнуть контакты замка напрямую просто сорвав подобное устройство. Про "бронестеклянную" дверь вообще молчу.
Дополню от себя еще более простые приколы: порой противопожарные двери бывают установлены неправильно / или в двери есть лишний люфт. И собачку, что регулирует "засов" (тот, где нужно ли нажать на ручку, чтобы выйти или нет) можно поднять просто скрепкой. Проделывали такое в своем офисе, когда сдох скуд.
устраиваетесь(/подкупаете/используете тендер) уборщицей, слесарем, электриком, плотником(, закупщика оборудования) и прочих. через пару лет рано или поздно вам придется в этом здании зайти от туалета до каб. начальника включая первый отдел и прочее. учитывая розетки и прочий электрический мусор(гугл еврейские пейджеры) под фальшь потолком не составит труда к примеру воткнуть розетку-жук(обычную, умную розетку, греющие полы, светодиодную лампу и тд.) передающую сигнал по линии 220 на другой жук, и считывать сигнал вне здания(к примеру раньше был сбор показаний электросчетчиков на этом принципе - передатчик в ТП), либо через стенку(в неприметном углу или крыше).(так-же по тендеру жуки в перехваченной партии сетевого оборудования с терминалом по линии 220)
зы. профи (группа лиц) зайдет на любой объект если не ограничены во времени - найдут лазейки начиная от места входа (приема в организацию, а дальше по накатанной займут уязвимые должности и опутают все здание и когда закончат уволятся/сократятся/сопьются и тд.)
Да, производитель предусмотрел сигнализацию с кнопкой, срабатывающей при снятии устройства, но это не считается. Любой желающий может взять тонкую металлическую линейку, просунуть ее в зазор между устройством и дверью, заблокировать кнопку при демонтаже, а затем зафиксировать сигнализацию в нажатом состоянии обычным скотчем.
Возможно усовершенствование данного механизма усложнит физический доступ к самому устройству, если по-простому сказать "экранирование данной кнопки от линейки", например бортиками и выступающей частью со стороны двери. Но это конечно же борьба с симптомами. Но в свою очередь, если невозможно будет снять устройства без срабатывания сигнализации - это уже сузит возможность и желание в нём поколупаться.
Red Team против умного замка: взламываем биометрическую СКУД при помощи скрепки и магнита