Watch Dogs в реальной жизни, или серьезные уязвимости в СКУД

[usbstor]

я как проектировщик всегда разделяю физически общую сеть и предназначенную для СКУД (ЛВС СБ).
СКС общая, но вся активка выделенная.

[Naves]

У кучи контроллеров не то, что шифрования нет, даже авторизации по паролю нет. Прописать нужные карты можно вообще без какого-либо сервера.
Серверная часть отдельная песня, или стандартные пароли, или какой-нибудь 1234567. Один СКУД меня поразил оригинальностью, MySQL база доступная из сети на нестандатном порту 3307 с пустым паролем root. Хочется надеяться, что просто забыли указать слушать только интерфейс localhost, и это не by design.

[whoch]

Мне непонятно, откуда настолько детские ошибки в проектировании? Это из-за нехватки времени/денег на разработку? Или настолько низки уровень квалификации? Но в это не хочется верить. Интересно было бы послушать людей, которые работали в подобных компаниях.

[Nosgoth]

Вопрос экономии денег скорее всего.

[pyrk2142]

От одной компании я достаточно давно получил примерно такой ответ: «Мы отказались от безопасности в пользу скорости разработки». Вероятно, это довольно частое явление, но не все готовы признаться в этом.

А второй вопрос — что получают разработчики (именно разработчики, а не безопасники) за изучение условного OWASP и десятков других более специализированных сайтов? Грамоту от начальства, непонимание от коллег («Зачем тебе это? Тратишь кучу времени, голову людям морочишь, пойдём лучше поедим, тут десерт вынесли»), критику от семьи за кучу потраченного свободного времени, либо что-то достаточно ценное в материальном плане? Сомневаюсь, что последнее.

[Shamanay]

Прописать нужные карты можно вообще без какого-либо сервера

Можно подробнее?

[Naves]

Просто нужно знать протокол от конкретной модели контроллера, либо отреверсить подключение с сервера, все идёт открытым текстом, понимать значение всех полей необязательно, достаточно найти в каких байтах пишется номер карты и пересчитать crc. В какой-то статье в комментариях про это расписывал, да видимо статьи уже нет.
Что-то похожее здесь обсуждается habr.com/en/company/intems/blog/316728

[Endimione]

К сожалению в большинстве СКУД на рынке СНГ ключевым является именно УЧЕТ доступа, а не его контроль, за более чем 15 лет установки и настройки разных систем случаи когда заказчик ограничивает доступ на объект по временному интервалу можно пересчитать по пальцам, обычно это 24/7. Т.е. задача не пустить туда куда не надо и тогда когда не надо стоит очень редко. А вот учет рабочего времени — это самый востребованный функционал СКУД. Зачастую бывает приходишь через пару лет на объект, а там твой брелок еще прошит (ну забыл после пусконаладки удалить), про пароли которые после инсталлятора никто не меняет уже и говорить нечего. Единственное что большинство заказчиков все-таки понимает, что к серверу СКД нужно ограничить доступ (как физический так и удаленный), а вот разделение ЛВС тоже встречается редко, в том же видеонаблюдении намного чаще. И вообще у нас проще проксимити карту у сотрудника скопировать чем заниматься снифингом траффика (что подразумевает доступ к сети). Потому что стандарт Mifare тоже еще внедряется маленькими шажками. Все вышеописанное чисто из личных наблюдений и справедливо для Украины.