не встречал компанию, которая бы строила ИБ- стратегию на много лет вперед
Тут вы правы, это скорее энтерпрайзу свойственно. Но стратегия — это же не обязательно 200-страничный документ на десятилетия. Её можно воспринимать как набор ориентиров, которые со временем будут корректироваться. И выбирать метод, исходя из текущего горизонта планирования и масштаба хотелок. Тот же SMART, например, больше подходит тем, кто хочет зафиксировать понятные цели на ближайший этап, не пытаясь предсказать 2035 год.
Мы наслышаны о проблемах MIFARE Classic :) В этой статье разбирали и нюансы аутентификации через Crypto1, и то, какие сценарии реально работают «за секунды». Правда вектор атаки там другой — через бэкдор (скрытый мастер-ключ в карте FM11RF08S).
Спасибо за интерес к теме! В рамках этой статьи мы сознательно сосредоточились на том, как устроен теневой рынок данных после утечки. Возврат контроля над данными — это уже следующий пласт, который вполне заслуживает отдельной публикации. Обязательно рассмотрим эту идею)
ISO-стандарта по Wiegand нет. В США принята спецификация SIA AC-01-1996.10, на нее обычно и ссылаются. Правда, стоит учитывать, что даже в самих Штатах она используется как рекомендательный стандарт — де-юре это не то же самое, что ISO или ГОСТ. В России, уж тем более, никто формально не обязан ей следовать.
Ценное наблюдение, спасибо! Прямо весь зоопарк «надежды на физическую изоляцию» в одном списке — I2C, UART, CAN… Раньше все, что внутри корпуса, считалось безопасным по умолчанию — никто не подберется. Теперь это слабое звено, потому что меняется модель угроз, а железо так и проектируется «по старинке».
Век живи — век учись. Спасибо большое за библиотеку: их столько, что за всеми не угонишься)
Мы в статье преследовали цель не просто пройтись галопом в духе «кликни сюда, потом сюда, и будет тебе счастье», а показать, как все работает под капотом и почему именно так работает.
Да, пульты от кондиционеров в этом плане достаточно уникальны. В моделях Funai, например, для каждого состояния используется отдельный код, зависящий от «начальной» точки. Постарались по максимуму собрать эти коды, насколько хватило сил. Результаты можно найти ветке Funai на Git.
Здесь можно посмотреть статистику за первую половину 2024 года с разбивкой по видам приговоров (см. первую табличку, строчка про статьи 272–274.2 УК). Вот такая же статистика за первую половину 2023 года. Выводы делайте сами)
И все же основное назначение любого замка — обеспечивать защиту от несанкционированного проникновения, а не просто висеть для красоты. Как показано в статье, ситуацию можно исправить, пересмотрев архитектуру системы. Возможно, в таком случае СКУД справлялась бы со своей задачей даже без приставленного охранника или росгвардейца :)
А еще странно выглядит дублирование систем, на верхнем модуле есть считыватель карт? почему и зачем в таком случае оставили нижний считыватель?
В верхнем биометрическом терминале отдельного RFID/NFC считывателя нет. То, что вы видите внизу — единственный считыватель карт в системе.
Никто не заметил, что двери там стеклянные и сами осыпаются от одного удара
Нет смысла ставить бронированную дверь в картонную стену, но давайте не будем углубляться в вопросы вандалоустойчивости. Там, где это важно с точки зрения модели угроз, такие замки ставят на серьезные железные двери. Цель исследования была именно в анализе СКУД, а не в комплексном аудите физической безопасности помещения. Иначе можно вспомнить и про фальшпотолки, окна и прочие приключения Джона Макклейна.
Цель эксперимента — показать архитектурные проблемы современных СКУД. Кнопку выхода можно замкнуть, это упоминается в статье как одна из проблем. Но это локальная проблема, которую можно решить грамотным монтажом.
Куда важнее то, что производители позиционируют биометрические терминалы как надежное решение "все-в-одном", при этом используя в них примитивную схему с прямым управлением замком. Нужен пересмотр подхода к разработке таких СКУД.
Выше все верно расписали. Первоначальный доступ получают через фишинг, уязвимости в веб-приложениях, или через злоупотребление доверием. Затем повышают привилегии и получают учетные данные, чтобы свободно перемещаться внутри сети. В результате атакующий получает возможность устанавливать различное ПО для дополнительного закрепления в инфраструктуре.
По поводу firewall: обычно при закреплении атакующие используют ПО, которое само инициирует соединение с управляющим сервером. Полная блокировка всех исходящих соединений встречается редко, плюс атакующие могут использовать, например, сервера за Cloudflare в качестве управляющих. Чтобы полностью исключить любые сценарии подключения, придется очень сильно жертвовать удобством пользователей.
Тут вы правы, это скорее энтерпрайзу свойственно. Но стратегия — это же не обязательно 200-страничный документ на десятилетия. Её можно воспринимать как набор ориентиров, которые со временем будут корректироваться. И выбирать метод, исходя из текущего горизонта планирования и масштаба хотелок. Тот же SMART, например, больше подходит тем, кто хочет зафиксировать понятные цели на ближайший этап, не пытаясь предсказать 2035 год.
Мы наслышаны о проблемах MIFARE Classic :) В этой статье разбирали и нюансы аутентификации через Crypto1, и то, какие сценарии реально работают «за секунды». Правда вектор атаки там другой — через бэкдор (скрытый мастер-ключ в карте FM11RF08S).
Это вторая часть, продолжение той истории. В начале текста об этом упоминается.
Да, есть похожая UAF-уязвимость для Андроид, вот статья
Спасибо за интерес к теме! В рамках этой статьи мы сознательно сосредоточились на том, как устроен теневой рынок данных после утечки. Возврат контроля над данными — это уже следующий пласт, который вполне заслуживает отдельной публикации. Обязательно рассмотрим эту идею)
А что неоднозначно? Ответ ведь отрицательный при любой интерпретации
ISO-стандарта по Wiegand нет. В США принята спецификация SIA AC-01-1996.10, на нее обычно и ссылаются. Правда, стоит учитывать, что даже в самих Штатах она используется как рекомендательный стандарт — де-юре это не то же самое, что ISO или ГОСТ. В России, уж тем более, никто формально не обязан ей следовать.
Ценное наблюдение, спасибо! Прямо весь зоопарк «надежды на физическую изоляцию» в одном списке — I2C, UART, CAN… Раньше все, что внутри корпуса, считалось безопасным по умолчанию — никто не подберется. Теперь это слабое звено, потому что меняется модель угроз, а железо так и проектируется «по старинке».
О да, Wiegand — это прям привет из аналоговой эры. И что поразительно — до сих пор в ходу, даже на объектах с серьезными требованиями к ИБ.
Век живи — век учись. Спасибо большое за библиотеку: их столько, что за всеми не угонишься)
Мы в статье преследовали цель не просто пройтись галопом в духе «кликни сюда, потом сюда, и будет тебе счастье», а показать, как все работает под капотом и почему именно так работает.
Да, пульты от кондиционеров в этом плане достаточно уникальны. В моделях Funai, например, для каждого состояния используется отдельный код, зависящий от «начальной» точки. Постарались по максимуму собрать эти коды, насколько хватило сил. Результаты можно найти ветке Funai на Git.
Здесь можно посмотреть статистику за первую половину 2024 года с разбивкой по видам приговоров (см. первую табличку, строчка про статьи 272–274.2 УК). Вот такая же статистика за первую половину 2023 года. Выводы делайте сами)
Поздравляю, вы нашли пасхалку) Листинги взяты из семейств вредоносного ПО, которые часто используются в атаках на российские компании.
И все же основное назначение любого замка — обеспечивать защиту от несанкционированного проникновения, а не просто висеть для красоты. Как показано в статье, ситуацию можно исправить, пересмотрев архитектуру системы. Возможно, в таком случае СКУД справлялась бы со своей задачей даже без приставленного охранника или росгвардейца :)
В верхнем биометрическом терминале отдельного RFID/NFC считывателя нет. То, что вы видите внизу — единственный считыватель карт в системе.
Нет смысла ставить бронированную дверь в картонную стену, но давайте не будем углубляться в вопросы вандалоустойчивости. Там, где это важно с точки зрения модели угроз, такие замки ставят на серьезные железные двери. Цель исследования была именно в анализе СКУД, а не в комплексном аудите физической безопасности помещения. Иначе можно вспомнить и про фальшпотолки, окна и прочие приключения Джона Макклейна.
Пробовали. Там реле находится посередине считывателя, 75-килограммовый магнит не дотянулся.
Цель эксперимента — показать архитектурные проблемы современных СКУД. Кнопку выхода можно замкнуть, это упоминается в статье как одна из проблем. Но это локальная проблема, которую можно решить грамотным монтажом.
Куда важнее то, что производители позиционируют биометрические терминалы как надежное решение "все-в-одном", при этом используя в них примитивную схему с прямым управлением замком. Нужен пересмотр подхода к разработке таких СКУД.
Выше все верно расписали. Первоначальный доступ получают через фишинг, уязвимости в веб-приложениях, или через злоупотребление доверием. Затем повышают привилегии и получают учетные данные, чтобы свободно перемещаться внутри сети. В результате атакующий получает возможность устанавливать различное ПО для дополнительного закрепления в инфраструктуре.
По поводу firewall: обычно при закреплении атакующие используют ПО, которое само инициирует соединение с управляющим сервером. Полная блокировка всех исходящих соединений встречается редко, плюс атакующие могут использовать, например, сервера за Cloudflare в качестве управляющих. Чтобы полностью исключить любые сценарии подключения, придется очень сильно жертвовать удобством пользователей.
Кажется, у таких админов появился еще один веский аргумент в пользу расширения штата...