Comments 55
Вы кончено же в лучших традициях «bug bounty» сначала уведомили владельца «дырявой» системы и только после закрытия уязвимости или полного его бездействия решили выложить в открытый доступ способ эксплуатации?
Не претендую на звание bug bounty.
В Грин Парке все так:
- потопы квартир во время ливней
- уничтожение имущества собственников кипятком во время морозов
- постоянно открытые ворота подземного паркинга
- открытые помещения с оборудованием.
В копилку СКУД
Ну может и да. Сам там не живу и никакого отношения к этому ЖК не имею. Думаю не всем читателям хабра интересны конкретные проблемы этого ЖК. У всех проблем в своём домовом чате хватает. Просто выкладывание в открытый доступ способов попасть на охраняемую территорию (пусть и плохо) не лучший вариант. Особенно конкретная последовательность действий. Воспользоваться ей сможет гораздо больше людей чем прочитать описание инструкцию к указанному устройству и восстановить этот порядок самостоятельно.
Проще говоря: Сейчас вашей инструкцией может воспользоваться каждый «дворник из средней азии». А без этих 4-х пунктов только небольшая часть, способная осилить чтение и понимание инструкции.
Проще говоря: Сейчас вашей инструкцией может воспользоваться каждый «дворник из средней азии». А без этих 4-х пунктов только небольшая часть, способная осилить чтение и понимание инструкции.
Проблема более глобальная. В статье указано, к каким ЖК это относится.
Люди платят за безопасность, которой нет.
Дворники хабр читают — это хорошо.
Вопрос не в этом. Сначала с этой уязвимостью нужно было обратиться в УК и дать им шанс закрыть дыры. И потом только выкладывать на хабр
ПИК-Комфорт, закрыть дыры? — Серьёзно? — Вы не жили в домах с их обслуживанием, не вели с ними переговоры. Это так не работает, к сожалению.
Перечитайте сообщение, пожалуйста :)
>дать им шанс закрыть дыры
Если шанс не был дан, то автор далеко не Дартаньян, кем себя считает
>дать им шанс закрыть дыры
Если шанс не был дан, то автор далеко не Дартаньян, кем себя считает
Не-не-не, мы все понимаем. Это просто крик души. Почему? Потому что то, о чем пишет автор — это вообще не дыра. Это неправильно выполненные пуско-наладочные работы. И об этом все ответственные, скорее всего, знают.
Между тем, первый блок Green Park, если верить описанию начал продаваться чуть ли не в 2017 г. Наверное, можно было за это время что-то сделать.
Между тем, первый блок Green Park, если верить описанию начал продаваться чуть ли не в 2017 г. Наверное, можно было за это время что-то сделать.
У них есть проверка стандартных кодов в регламенте приёмки. Проблемы на местах, как говорится ))
Это просто крик души
Если бы у автора была дыра в безопасности в домофоне на его этаже, он ведь не стал бы кричать об это всем на каждом углу? Даже наверное на своем этаже поправил бы, а не предупредив соседей раструбил что другие этажи имеют эту проблему.
Все посты такого рода никогда ни касаются безопасности автора. Публиковать подробные (обращаю внимание на слове «подробные») инструкции без предупреждения тех, кто за это отвечает это просто брать в заложники тех, чья безопасность пострадала от этой уязвимости.
По моей информации — инженеры оказались на объекте примерно через 2 часа после статьи. Очень эффективно. Если бы все проблемы с ПИК можно было так решать — то Хабр превратился бы в жалобную книгу =)
Ну так для этого публикация наверное не обязательна? Думаю что в большинстве случаем обещание опубликовать такие вещи будет иметь такой же эффект. Ну а если не будет, то сами виноваты.
Я ведь не говорю что нельзя такие вещи публиковать. Нет, наоборот. Просто перед этим целесообразно попробовать передать информацию в нужное место, а уже если там нет реакции, то тут сам бог велел. Это в лучших традициях ИБ.
Я ведь не говорю что нельзя такие вещи публиковать. Нет, наоборот. Просто перед этим целесообразно попробовать передать информацию в нужное место, а уже если там нет реакции, то тут сам бог велел. Это в лучших традициях ИБ.
Не знаю насколько необязательна публикация. Проблемы которые я пытался решить с ПИК-Комфорт — решались годами, а многие не решены до сих пор.
Например у нас в ЖК есть межхольные двери, там был механический замок который клинит (механически). Т.е. натурально пришёл домой, сидишь — собрался выйти, а не можешь, дверь заблочилась (если особенным образом её дёрнуть — то её клинит, можно было бы по всему ЖК так же пройтись). Пожар? — Сидишь дома и горишь, зато в тепле. Мечта интроверта (на самом деле нет).
Решение проблемы заняло почти год. И всё это время в ЖК жили люди рискуя своим временем и здоровьем. При том что были жалобы в надзорные инстанции.
Например у нас в ЖК есть межхольные двери, там был механический замок который клинит (механически). Т.е. натурально пришёл домой, сидишь — собрался выйти, а не можешь, дверь заблочилась (если особенным образом её дёрнуть — то её клинит, можно было бы по всему ЖК так же пройтись). Пожар? — Сидишь дома и горишь, зато в тепле. Мечта интроверта (на самом деле нет).
Решение проблемы заняло почти год. И всё это время в ЖК жили люди рискуя своим временем и здоровьем. При том что были жалобы в надзорные инстанции.
Понимаю вашу позицию. В целом я тоже за то, чтобы сначала пообщаться с техподдержкой. Но люди разные, не все верят в добрую УК и талантливых инженеров.
Вопрос не в этом. Сначала с этой уязвимостью нужно было обратиться в УК и дать им шанс закрыть дыры. И потом только выкладывать на хабрБессмыслицу говорите какую-то. Причём даже не вы это говорите, «а так все говорят», а значит так говорите и вы, но это не вы. Т.е. это даже не вы говорите, а тупо «скопировали» и разносите, а зачем?
Логически же всё прощще. УК как исполнитель этого всего должна «абзаботиться» тем, а работает ли вся эта «хрень» на самом деле? Но т.к. в этой вашей России всем пофигу даже на очевидные обязательства, то и никаких потугов к этому всему конечно же нет.
А раз нет потугов, то автор смело и выкладывает все эти дыры. И автор совершенно прав.
Для тех кто в танке с толстой лобовой бронёй талщиной с ладошьку: влезать нельзя туда, где проблемы на стадии решения, и совершенно смело можно влезать туда, где проблемы даже и не пытались решать вовсе.
У вас хотя бы кладовки из канализации не заливает :-)
Привет из GreenPark!
Не знаю, как там в Грин Парке, но в экономе ПИКа дворы бывают:
а) обнесены оградой с приличным зазором снизу, прокатиться может и взрослый, и ребенок (второе важнее)
б) укомплектованы калитками с доводчиками, которые летом дозакрывают очень-очень медленно, а зимой вообще могут не закрыть.
А в остальном принципиально IP-домофоны, наверное, не сильно отличаются от вечной классики, для которой и куча админских паролей по форумам и прочая дребедень. Другое дело, что IP-домофон удобнее — можно открыть дистанционно, что иногда требуется.
Архитектурно важнее, как вся эта штука работает при отключении питания и каких-нибудь других инцидентах, потому как уже был случай, что вроде бы все работает, но только дверь почему-то не открывается.
Третий момент. Жители, которые не могут в кодинг, носят с собой шестигранник, которым снимается панель домофона, за которой все, что нужно для открытия.
Короче, всегда нужно понимать, о чем мы — об удобстве или безопасности.
а) обнесены оградой с приличным зазором снизу, прокатиться может и взрослый, и ребенок (второе важнее)
б) укомплектованы калитками с доводчиками, которые летом дозакрывают очень-очень медленно, а зимой вообще могут не закрыть.
А в остальном принципиально IP-домофоны, наверное, не сильно отличаются от вечной классики, для которой и куча админских паролей по форумам и прочая дребедень. Другое дело, что IP-домофон удобнее — можно открыть дистанционно, что иногда требуется.
Архитектурно важнее, как вся эта штука работает при отключении питания и каких-нибудь других инцидентах, потому как уже был случай, что вроде бы все работает, но только дверь почему-то не открывается.
Третий момент. Жители, которые не могут в кодинг, носят с собой шестигранник, которым снимается панель домофона, за которой все, что нужно для открытия.
Короче, всегда нужно понимать, о чем мы — об удобстве или безопасности.
На старых домофонах такая же ситуация. У меня в доме 1998 по 2018 стоял код на открытие двери с инструкции.
Тут нет зависимости от возраста и наворочености оборудования, а дело в организации работ и контроля монтажников или сервисников. Знаю, что в некоторых фирмах сервисники меняли мастер-пароль раз в три месяца, в каждом районе он был свой и тд. Начальник отдела сервиса периодически выезжал на случайный адрес и проверял состояние оборудования, настройки и тд. Стандартный пароль обычно был в период передачи объекта от монтажного отдела в отдел сервиса.
Есть видео-пруф? — Источники в ПИК-К отрицают проблему.
Просьба пояснить за минусы. Я сам так же живу в ПИКовском доме и сильно недоволен ПИКом (в своём ЖК я был инициатором ОСС по смене УК ПИК-Комфорт на нормальную, и это собрание поддержало больше 600 соседей — могу предоставить пруфы, я не ПИКовский засланец).
Более того — моё недовольство началось с системы домофонии BasIP/Рубетек, которая установлена у нас в ЖК. В ходе попыток разрешить проблемы — у меня появился контакт инженеров ПИКа по слаботочке, куда я и направил ссылку на эту статью, где мне и дали комментарий.
Запрос видео-пруфа как раз для того, чтобы ткнуть носом инженеров в то, что всё в статье правда. Если мой вопрос не соответствует аудитории хабра — то мы уплыли совсем не туда, куда следовало.
Более того — моё недовольство началось с системы домофонии BasIP/Рубетек, которая установлена у нас в ЖК. В ходе попыток разрешить проблемы — у меня появился контакт инженеров ПИКа по слаботочке, куда я и направил ссылку на эту статью, где мне и дали комментарий.
Запрос видео-пруфа как раз для того, чтобы ткнуть носом инженеров в то, что всё в статье правда. Если мой вопрос не соответствует аудитории хабра — то мы уплыли совсем не туда, куда следовало.
Осторожнее с этим. Предоставите видео, а они на вас уголовное дело выкатят, как на медвежатника.
Если вы живете в комплексе ПИК с такими домофонами то, вероятно, вам не составит труда спуститься (подойти) к панели и провести эксперимент. Это полезно, потому что в разных комплексах (и даже на разных панелях) могут быть разные настройки.
Еще хочу сказать, что «инженер ПИК по слаботочке» имеет не совсем прямое отношение к программной стороне домофонов, которую обслуживает, как мне видится, Rubetek — с которыми, наверное, и надо обсуждать настройку.
Еще хочу сказать, что «инженер ПИК по слаботочке» имеет не совсем прямое отношение к программной стороне домофонов, которую обслуживает, как мне видится, Rubetek — с которыми, наверное, и надо обсуждать настройку.
У нас BasIP с надстройкой Рубетек. Немного другая система, но болячки скорее всего те же самые.
Мой контакт занимается вопросом прошивок, возможно его должность в компании называется иначе. Более того — это единственный человек в ГК ПИК чьей работой я доволен на 100%, кажется на нём вообще всё держится ))
Мой контакт занимается вопросом прошивок, возможно его должность в компании называется иначе. Более того — это единственный человек в ГК ПИК чьей работой я доволен на 100%, кажется на нём вообще всё держится ))
У вас — это в вашем доме или во всем комплексе? У ПИКа довольно своеобразные понятия про унификацию. В одном комплексе может быть и BasIP и Рубетек. Вот и живи с таким зоопарком — это я к тому, что всегда найдутся причины, по которым что-то не было сделано, или что-то было сделано не так.
В панелях BasIP AA-05E вход в сервисное меню происходит двукратным нажатием #.
Далее нужно ввести 6 значный системный пароль, по умолчанию — 123456.
Перемещение по меню происходит кнопками 2 и 8.
Далее нужно ввести 6 значный системный пароль, по умолчанию — 123456.
Перемещение по меню происходит кнопками 2 и 8.
Эмм… Я почитал комментарии и у меня вопрос: кто-то серьёзно считает, что домофон на двери подъезда защищает от чего-то большего чем ночующие бомжи и пьяная гопота писающая в мусоропровод? Если да, то у меня для вас плохие новости.
Системы безопасности всегда строятся из многих компонентов. Домофон — один из них.
Не ясно к чему ваш комментарий. Не считаете необходимым проводить аудит безопасности домофонии?
Ладно. Встречный пример: "условный" пароль (например на вашем компьютере), сам по себе, ни от чего не защищает: он легко снимается физическим доступом. Давайте отметим политики безопасности паролей, и вообще — пусть у всех будет пароль 1234. Везде.
Системы безопасности всегда строятся из многих компонентов. Домофон — один из них.
Верно. И его задача не пустить в подъезд бомжей и алкашей. Всё. И надо это хорошо осознавать, иначе у вас возникает ложное чувство защищённости в вы, гипотетически, перестаёте записать дверь в собственную квартиру и оставлять в подъезде дорогой велосипед.
Не считаете необходимым проводить аудит безопасности домофонии?
Я не считаю необходимым делать из конкретно этой ситуации трагедию. А судя по отклику на пост у некоторых людей мир перевернулся когда они узнали, что любой домофон имеет дефолтный код и его никто не меняет. Я не спорю, что это плохо, но это жизнь. И она не идеальна.
А ваш пример с паролем это ложная аналогия. Если хотите, то пароль на моём компьютере это хороший замок в двери моей квартиры. А пароль на домофон можно сравнить с паролем на общую папку к которой имеют доступ 100+ человек. При условии, что к этой папке нет доступа из Интернета (так же как в подъезд нельзя зайти удалённо), то пусть там везде будет пароль 1234, потому что смысла ставить более сложный нет вообще никакого в этом случае.
Я понимаю, что у IT'шников есть профдеформация и новость о дефолтном пароле вызывает нездоровый зуд (сам такой). Но не надо забывать, что IT-системы и объекты в реальном мире это всё таки разные вещи. Знаете, есть такая фраза «замки от честных людей». И домофон как раз хороший пример. Это значит, что злоумышленник при желании имеет много разных (причём очень простых) способов зайти в подъезд и без знания пароля от домофона. Один из них уже написали ниже — просто дёрнуть дверь посильнее.
Система домофонии ПИКа имеет доступ через интернет. В случае взлома инфраструктуры ПИКа — наличие дефолтных паролей может привести к взлому панелей домофона.
Ну а дальше-то что? Дальнейшее развитие атаки какое? Разве что сделать из панелей ботнет и начать майнить крипту (в духе времени). Для вас, как для жильца подъезда с этим домофоном, ничего не поменялось. Модель угроз от которой защищает домофон не предполагает удалённую атаку через Интернет.
Я снова обращаю внимание на то, что я не говорю что это всё хорошо. Я говорю, что трагедии никакой не случилось. Жить в подъезде с таким домофоном опаснее не стало.
В целом если мы говорим о домофоне с возможностью подключения к Интернету, то тут ситуация как и с любым IoT-устройсвом — дефолтные пароли это несомненное зло. Но надо понимать, что если у вас роутер с дефолтным паролем торчит в Интернет, то у вас могут украсть какие-то критичные данные. А если взломали ваш домофон, то скачать все велики из подъезда не получится. В то же время среднестатистический вор велосипедов или сумочек, лежащих рядом с незапертой дверью в квартиру, не обладает знаниями для взлома IT-систем. Ему проще и быстрее дернуть дверь/зайти с кем-то/позвонить в первую попавшуюся квартиру и сказать «доставка» (не в первой, так во второй-третей откроют).
Я снова обращаю внимание на то, что я не говорю что это всё хорошо. Я говорю, что трагедии никакой не случилось. Жить в подъезде с таким домофоном опаснее не стало.
В целом если мы говорим о домофоне с возможностью подключения к Интернету, то тут ситуация как и с любым IoT-устройсвом — дефолтные пароли это несомненное зло. Но надо понимать, что если у вас роутер с дефолтным паролем торчит в Интернет, то у вас могут украсть какие-то критичные данные. А если взломали ваш домофон, то скачать все велики из подъезда не получится. В то же время среднестатистический вор велосипедов или сумочек, лежащих рядом с незапертой дверью в квартиру, не обладает знаниями для взлома IT-систем. Ему проще и быстрее дернуть дверь/зайти с кем-то/позвонить в первую попавшуюся квартиру и сказать «доставка» (не в первой, так во второй-третей откроют).
трагедии никакой не случилось
Разве кто-то говорил что это трагедия? Вопрос изначально в том, что даже в отношении таких мелочей не лишним применять подход принятый в ИБ. Это просто правила хорошего тона. Да хотя бы просто уведомить. Это ведь похоже в результате на: «Кинуть еще один фантик в грязном подъезде, чтобы плохому дворнику было больше убирать».
Разве кто-то говорил что это трагедия?
Сложилось такое впечатление по бурной реакции на пост.
Вопрос изначально в том, что даже в отношении таких мелочей не лишним применять подход принятый в ИБ. Это просто правила хорошего тона.
Да кто бы спорил. Но в реальной жизни этого не будет никогда. Даже многие айтишники не понимают основ инфобеза. Искренне причём, а не из-за лени. Вы хотите требовать этого от рядовых слаботочников и от работников УК? Пустое. Требовать от подрядчиков-установщиков, что бы они меняли за собой дефолтные пароли? Но после десятого звонка из УК с воплями, что все заблокировалось, а Вася, который знал пароль, забухал и был уволен месяц назад они это перестанут делать с мыслями «вот вам мануал, там написано как сменить пароль, дальше епитесь сами как хотите» (простите меня за мой французский).
Я реально смотрю на вещи, жизнь научила. Или только у меня такой негативный опыт?
Дальше злоумышленник узнает кто во сколько приходит, уходит. Кто к кому в гости ходит. У кого когда в квартире никого нет. Очень удобно.
Хорошо, засчитано. Но насчёт большого удобства это вряд ли. Что бы такую инфу вытащить с домофона нужно, что бы сложилось много факторов. Это должен быть домофон которым можно управлять из приложения (вроде в посте о таком речь), при этом «клиент» должен открывать его с приложения когда заходит и когда (!) выходит, а не делать это безликим ключом и кнопкой. Подключение с приложения должно быть «именным». В домофоне должен вестись лог входа/выхода или интерфейс должен позволять получить такую инфу в реальном времени, но тогда надо беспрерывно мониторить. Или домофон должен уметь распознавать биометрию (опять же упоминалось в посте), причём как на входе, так и на (!) выходе. Конечно биометрия «клиента» должны быть туда внесена, что само по себе уже глупо для человека так переживающего за безопасность. Да, и ещё нужно что бы «клиент» не зашёл и не вышел с кем-то вместе, не открыв дверь самостоятельно (а в больших домах это не редкость).
Так что теоретически что-то поиметь со взлома можно, но практически это сомнительно. Больше вероятно, что устроят классическую DOS-атаку из чисто хулиганских побуждений, т.е. просто выключат/заблокируют домофон.
Так что теоретически что-то поиметь со взлома можно, но практически это сомнительно. Больше вероятно, что устроят классическую DOS-атаку из чисто хулиганских побуждений, т.е. просто выключат/заблокируют домофон.
Согласен, о какой безопасности идет речь если открыть дверь можно сильно дернув за ручку.
Работает в другом пик жк, проверено.
Спасибо за статью, отправили инициативным группам.
Спасибо за статью, отправили инициативным группам.
Проверил. Проблема есть, только нет пунктов про private пин, но можно изменить public.
Сейчас буду думать, как связаться с инженерами.
Сейчас буду думать, как связаться с инженерами.
UFO just landed and posted this here
А где на скрине мануала пароль админа?
Вроде бы только продублирован тот же самый публичный пин-код 33333333.
И на панели, и на веб-морде подходят. ЖК другой.
Sign up to leave a comment.
Как ходить к соседям без звонков в домофон