tok720 4 мая 2020 в 19:13

Проблемы автономных СКУД — Там, откуда не ждали

3 мин

29K

IT-инфраструктура*Информационная безопасность*Реверс-инжиниринг*

Из песочницы

+47

Комментарии 36

d-stream 4 мая 2020 в 19:33

Есть предположение — что когда наполняли базу — случайно или специально поднесли карту с другими ключами сектора — считыватель отправил этот код и контроллер его сохранил.

А если махнуть картой слишком быстро?

tok720 4 мая 2020 в 20:51

Проверил — ничего не происходит (во всяком случае выходной интерфейс считывателя молчит)

kbaa 4 мая 2020 в 21:57

попробуйте в ironlogic написать, они вроде вполне идут на контакт в случае каких-то вопросов по оборудованию

tok720 5 мая 2020 в 04:34

Пока не удалось. А так я хочу с ними связаться и заодно получить SDK на этот считыватель и реализовать в нем дополнительные функции, описанные в статье https://habr.com/ru/post/347574/

ZEvS_Poisk 4 мая 2020 в 22:11

Помню, была тема, что если сделать ключ (или его эмулятор), который имеет ID FFFFFFFF, то некоторые контроллеры открывались, так как EEPROM контроллера содержал какое-то количество ключей, и остальные ячейки были заполнены «FFами». Поскольку отсутствовал счетчик количества ключей, то контроллер доходил до последнего ключа, и получал совпадающий код.
Здесь, возможно что-то подобное. Может, вышеупомянутое 1219191919 есть некий маркер ошибки, но из-за какого-то бага он ведет не по правильной ветке программы.

tok720 5 мая 2020 в 04:32

Я тоже думаю что это маркер ошибки, ибо считыватель имитирует работу таблетки, которая просто отдаёт код. Iron Logic просто не готов к таким ситуациям когда ключ может отказаться выдавать код. А mifare откажется если не аутентифицироваться на чтение сектора. Вот с завода и предусмотрена реакция в виде этого кода. Осталось только убедить их этот маркер в прошивку контроллеров добавить чтобы он определялся как «считыватель сообщил об ошибке» а не «получен ключ».

IronHead 5 мая 2020 в 11:21

Домофоны элтис этим грешили в свое время. Поэтому после установки надо было забить всю память ключей мастер ключом, о чем не опытные установщики частенько забывают.

tok720 5 мая 2020 в 13:44

У них была немного другая уязвимость, но суть мне известна, да.

b01d 5 мая 2020 в 11:17

А можете рассказать как вы заставили iPhone эмулировать карту? Это не менее интересно.
На сколько я понимаю — это же запрещено Apple. Считывать то и то только с недавнего времени можно…

tok720 5 мая 2020 в 13:47

К сожалению, по моему соглашению с Apple я не могу рассказать как я это сделал конкретно. Скажу только то, что это iPhone без jailbreak’а, но со специальным сертификатом, и реализовано это поверх NFC PassKit. Правда, очень жаль что не могу вам ответить на этот вопрос, но NDA такой NDA.

P.S. Как-нибудь напишу статью, об официальном PassKit (в том числе поверх NFC) от Apple, и о том, как научить вашу СКУД работать с этим фреймворком.

savoptik 5 мая 2020 в 16:16

Может быть это глупость, но можно же, вроде, если я ничего не путаю, делать пропуска для Лолета, можно, наверное, сделать себе самому какой-то такой пропуск с этим кодом.

tok720 5 мая 2020 в 16:59

Не путайте божий дар с яичницей. Пропуск который создаёт iOS — это проприетарное решение Apple с частично открытым исходным кодом. В моём же случае эмулируется Mifare — совершенно другой протокол и способ хранения данных. Как и было сказано официального способа эмулировать что-либо кроме EMV (Банковский стандарт контактных и бесконтактных карт, в данном случае для Apple Pay) и NFC PassKit (Студенческие, Авиабилеты, карты лояльности и т.д.) на iPhone нет. То, с чем я играюсь — продукт моих личных и не только изысканий, когда-нибудь поверхностно разберу здесь.

Вот так выглядит карта PassKit:

А так Apple Pay:

И все — другого официально нет (пока).

savoptik 6 мая 2020 в 00:34

Спасибо за ваш ответ, я вас понял, только не могу понять что на скриншотах. ну да это и не важно, наверное. надеюсь не пропустить, ваш пост про поверхностный разбор.

tok720 6 мая 2020 в 05:35

Раз эта тема привлекает людей, возможно начну писать статью ближе к концу недели. Скриншоты — чисто дополняют сказанное, показывая как разные типы NFC карт выглядят в Wallet.

BaDP1nG 5 мая 2020 в 17:35

Немного дополню автора и дам вам вот эту ссылочку

tok720 5 мая 2020 в 18:33

А я еще раз дополню и дам вот эту ссылочку, которую могут посмотреть все, а не только посвященные.

savoptik 6 мая 2020 в 00:36

Спасибо.

StephenGAm 5 мая 2020 в 16:59

А с андроидом нет такого соглашения? А то хочется все мифарки в телефон вбить

tok720 5 мая 2020 в 17:00

С Google — нет, и быть не может. Смотря какой телефон. Полностью работать с Mifare мне удалось только на Nexus 5x.

a1ien_n3t 5 мая 2020 в 19:57

Если не попадает под NDA скажите, а mifare plus в sl2 можно эмулировать?

tok720 5 мая 2020 в 20:05

Аппаратно — с большой вероятностью можно, а программно — не заморачивался пока что. Вообще для понимания таких вопросов надо читать даташит на микросхему NXP 66V10 (для iPhone 6s/SE). Для Mifare Classic пришлось описывать необходимые параметры и команды почти с нуля, поскольку в операционной системе отсутствуют какие либо фреймворки связанные с этим (в силу понятных причин).

KivApple 5 мая 2020 в 11:41

Вы же упомянули про режим обучения. Если в таком режиме поднести неправильный ключ, то он сохранится этим кодом. В свою очередь у установщика может быть много ключей от разных систем авторизации, в том числе несовместимых друг с другом и иногда тыкать нечаянно не тем ключом он вполне может. Таким образом достаточно иметь не слишком внимательного или немного ленивого установщика (что он не побежал за программатором удалять лишний ключ), не знающего о баге (он думает, что система просто запомнила его ключ, пусть и не тот, что надо, но ключ всё равно его и это не проблема и враг не пройдёт). Так что это не случайность скорее всего, но и не злой умысел.

tok720 5 мая 2020 в 13:44

Я верю что это не злой умысел, но версию с установщиком я отбросил — я отформатировал память контроллера сегодня программатором и зашил всего два ключа. Тем не менее — уязвимость все ещё работает. Жду от производителя отклика и в идеале SDK с исходным кодом для дальнейшего анализа. Беда в том, что эксплуатировать уязвимость можно банально поднеся транспортную или скидочную карту с Mifare чипом. Ключей от их 3х секторов считыватель не знает, следовательно так же отправит в контроллер 1219191919.

KivApple 5 мая 2020 в 15:02

Значит баг в прошивке. Может быть, в коде ошибки есть что-то необычное? Там контрольная сумма какая-нибудь не совпадает или ещё чего.

tok720 5 мая 2020 в 15:12

Для этого я и жду исходники с SDK.

Dimedrop 5 мая 2020 в 16:24

полезная статья, исправление этой ошибки может кому-то поможет

Germanets 5 мая 2020 в 17:51

"Попытки влезть в содержимое секторов поначалу успеха не приносили, а когда ключ таки удалось взломать — выяснилось, что используется лишь 3-й сектор, и в нем продублирован UID самого чипа."

Можно пару комментариев на тему взлома — ключ же был взломан только из-за того, что это был старый уязвимый вариант ключа, который ломается только если использовано одно поле, а при использовании хотя бы 3х полей — уже не взламывается?
Просто тут явно уже не одна проблема, а несколько, причём давно известных) Да и проблема какраз не в автономности СКУД, а в наплевательском отношении того, кто это дело настраивал...

tok720 5 мая 2020 в 18:24

Извините, не соглашусь. Как вы выразились «тот, кто это дело настраивал» монтировал готовый продукт. Его не должна заботить доработка ПО. А мной путем настройки контроллера «с нуля» было доказано что проблема кроется именно в ПО, а не базе ключей и параметров. Что до нескольких проблем, то уязвимости Mifare это настолько избитая тема, что даже останавливаться на ней особо смысла не вижу.

fouriki 6 мая 2020 в 12:23

А если этот код 1219191919 записать на «таблетку» или в качестве Em-Marine ID?
Будет ли такой ключ открывать айронлоджиковские контроллеры с iButton/Em-Marine считывателем?

tok720 6 мая 2020 в 13:12

Открывает. У меня есть стойкое чувство, что этот код — часть какого то другого механизма контроля доступа, но недореализованный. Iron Logic отказались предоставить исходный код, и ссылаются на то, что в новых версиях ПО этот баг устранён. Чуть позже прошью — напишу, что выйдет.

ZEvS_Poisk 6 мая 2020 в 16:01

А процессор в Iron Logic какой? Может продизассемблируем?

tok720 6 мая 2020 в 16:07

Да вот тоже думаю, если верить даташиту — какой-то там AVR

ZEvS_Poisk 6 мая 2020 в 16:32

У меня есть проект контроллера на AVR для таблеток с 1-wire. Написано на ASMе. Если на AVR сделано, то не проблема.

tok720 6 мая 2020 в 16:50

Тогда проверю fuse'ы а так же проверю файл прошивки — отпишусь.

ZEvS_Poisk 6 мая 2020 в 21:22

Погонял сейчас свой проект, ввел Ваши значения. Во-первых их 8 (байт), а у Вас 5, но тогда, я предположил, что если приемник 1-wire читает, а передатчик не передает (не удлиняет просадку), то читается 0xFF. Тогда я дополнил коды, добавив 3 байта FFов. И контрольная сумма не сошлась.
То есть, для того, чтобы она сошлась должно быть так: 0x1219191919FFFFC7
Во вторых, наверное при таком коде хороший контроллер СКУДа должен выдать ошибку и послать лесом, и может на это и расчитано. Но, в некоторых скудных контроллерах, CRC или совсем игнорируется или хранится вместе с ключом, заместо того, чтобы вычисляться, и вот в этом может крыться дыра…

tok720 7 мая 2020 в 04:16

Скорее всего. Я тут испытываю новое ПО, как утверждают IronLogic новая версия дыру должна была бы закрыть. Дыра закрылась, зато объём памяти уменьшился до 1000 ключей

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Проблемы автономных СКУД — Там, откуда не ждали

Комментарии 36

Публикации

Истории