Комментарии 79
Поэтому, беззащитность em-marine против многочисленных методов копирования редко кого парит.
Плюс к тому эти карты могут использоваться не только на турникетах на входе в здание, но и для перемещения по кабинетам. А к каждому кабинету охранника, который будет сверять фото с натурой, не поставишь.
Вариант «я в ООО 'РиК'» для человека способного скопировать карту — не вариант, т.к. на этот пароль охранник ответит отзывом «Ваш паспорт». А подделать паспорт несколько сложнее, чем скопировать карту,
сделать грим и т.д…
Охранник может отойти в туалет, отвлечься на какое-нибудь безобразие
Если охранник там не для галочки — на случай отлучения их как минимум двое, плюс видеонаблюдение из совсем отдельной комнаты (где тоже как минимум двое наблюдателей).
Любая система пропуска без серьёзной биометрии (причём минимум двумя методами — например отпечаток руки и скан роговицы) требует аудио-визуального контроля охранником (да, вплоть до посмотреть в глаза, задать пару вопросов и получить неодносложный ответ), так что это совсем не костыль, по крайней мере на действительно режимных объектах.
подделать паспорт несколько сложнее
Если нужен просто документ — это стоит максимум 100-200 баксов, со всеми защитными атрибутами настоящего и он даже будет читаться ридерами — никакой охранник, не обладающий возможностями и оборудованием пограничной службы или МВД не отличит его от оригинала, да и те не отличат без ридера или пробивания по базе.
Если охранник там не для галочки
Это уже какой-то монетный двор нужно пентестить, чтобы охранник был «не для галочки». В реальной жизни 90%+ даже вакансий охранников для галочки, не то что отношение к работе самих охранителей.
документ — это стоит максимум 100-200 баксов,
А mifare-программатор, который позволит записать карту стоит 20$ (плюс 5 карт в комплекте).
При этом, покупка поддельного паспорта мало того что не законна, так еще и не всем доступна (у меня вот например таких знакомых нет).
Любая система пропуска без серьёзной биометрии
Повторю ситуацию: нужен пропускной режим не только на внешнем периметре (турникет), но и непосредственно в кабинеты(чтобы избавиться от ключей). К каждой кладовке будете по охраннику сажать? Или на каждую дверь биометрию вешать?
А если проверка только на внешнем периметре, то его можно пройти и с легальным ключом, используя копию только для дальнейшего передвижения.
покупка поддельного паспорта мало того что не законна
А подделка пропуска законна? Тот кто собирается проникнуть на охраняемый объект по чему угодно поддельному уже нарушает закон, а если учесть что (обычно) этого не делают для того чтобы выпить кофе с приятелем или стащить плохо лежащий дырокол, то и денежные затраты в 100-200 баксов — это и не затраты вовсе.
Если это пентест то всё равно платит заказчик, но если это имеет какую-то иную цель и она не окупит таких затрат — стоит ли оно того?
Это уже какой-то монетный двор нужно пентестить, чтобы охранник был «не для галочки»
Аэропорт, хранилище или ДЦ банка, опасное производство, etc — совсем не монетные дворы. Да и БЦ разные бывают — некоторые как раз специализируются на хорошей безопасности.
В моей практике (когда-то давно я этим занимался) был клиент попросивший навороченные СКУД, охранку с датчиками разрушения стен(!) и почти полное покрытие камерами (внешний периметр включая крышу, все двери, лестничные пролёты, коридоры, ДЦ, приёмная директора и хранилище документов), хотя они всего-то строительная компания, и в охране у них были исключительно бывшие силовики — я так и не понял чего они опасались, на вид совсем не бандиты.
А если проверка только на внешнем периметре, то его можно пройти и с легальным ключом
В этом случае вы оставляете след, потому что ни в одной адекватной СКУД внутри не будет работать ключ который не прошёл внешний периметр. Если же прошел (допустим, у вас копия ключа сотрудника который уже в здании) — то опять-таки, адекватая СКУД обнаружит неадекватное его использование (например, сотрудник прошёл к себе в кабинет, а вы ломитесь в это время в совсем другое помещение).
И наконец, если в здании есть помещения куда не всем можно и где что-то очень ценное/опасное, то да — там тоже будет биометрия или (как минимум) ваше лицо попадёт на камеру в момент использования ключа и попытки входа в помещение, и вам придётся объяснять своё поведение СБ не позднее чем на выходе из здания.
Я, разумеется, отдаю себе отчёт что правильно обеспечивают доступ и охрану небольшой процент организаций, но в наше время это всё не так уж и дорого, по сравнению с серединой 90х, особенно если компании есть что терять.
А несанкционированное проникновение на закрытую частную территорию тоже не нарушает законов?
Насчёт УК я в курсе, КоАП упоминает только объекты ведомственной охраны, так что ситуация действительно интересная… Получается, формально можно в наглую перешагнуть турникет и ничего за это не будет — потому что любая охрана, кроме (вне)ведомственной, не имеет никаких прав (кроме вызова полиции), более того, даже вызов полиции в теории ничего не даст — если это не нарушение, а любое применение силы со стороны охранников уже как раз будет нарушением.
1. Самовольное проникновение на охраняемый в установленном порядке объект, за исключением случаев, предусмотренных частью 2 настоящей статьи, — влечет наложение административного штрафа в размере от трех тысяч до пяти тысяч рублей с конфискацией орудия совершения административного правонарушения или без таковой.
Собственно, таблички о том, что объект охраняется ЧОПом вешают именно для этого.
2. Объективная сторона правонарушения состоит в самовольном проникновении на охраняемый в установленном порядке объект. Федеральным законом от 14 апреля 1999 г. N 77-ФЗ "О ведомственной охране" устанавливается понятие охраняемого объекта. Это здания, строения, сооружения, прилегающие к ним территории и акватории, транспортные средства, а также грузы, в том числе при их транспортировке, денежные средства и иное имущество, подлежащее защите от противоправных посягательств.
и
Под ведомственной охраной понимается совокупность создаваемых федеральными органами исполнительной власти органов управления, сил и средств, предназначенных для защиты охраняемых объектов от противоправных посягательств.
==
я не настоящий сварщик конечно, но пока чтото не видно что это распространяется на объекты охраняемые ЧОПами
Ваш комментарий скорее про вторую часть этой статьи КоАП, которая появилась около пяти лет тому назад.
КоАП РФ Статья 20.17. Нарушение пропускного режима охраняемого объекта:
1. Самовольное проникновение на охраняемый в установленном порядке объект, за исключением случаев, предусмотренных частью 2 настоящей статьи, — влечет наложение административного штрафа в размере от трех тысяч до пяти тысяч рублей с конфискацией орудия совершения административного правонарушения или без таковой.
2. Самовольное проникновение на подземный или подводный объект, охраняемый в соответствии с законодательством Российской Федерации о ведомственной или государственной охране, если это действие не содержит признаков уголовно наказуемого деяния, — влечет наложение административного штрафа в размере от семидесяти пяти тысяч до двухсот тысяч рублей с конфискацией орудия совершения административного правонарушения или без таковой либо административный арест на срок до пятнадцати суток с конфискацией орудия совершения административного правонарушения или без таковой.
Я тоже совсем не сварщик, но мне кажется что вторая часть просто про другие типы объектов — подводные или подземные, и в обоих частях речь про "охраняемые в установленном порядке", которыми (в свою очередь) могут быть только объекты определяемые в 77-ФЗ — и там ни слова про ЧОП, исключительно про ведомственную охрану, ибо нигде больше (по крайней мере я не нашёл) нет определения "установленного порядка".
Так или иначе, только ведомственная и вневедомственная охрана могут применять какие-либо действия к нарушителями с целью недопущения и всего такого, но ни первые ни вторые не являются ЧОП, а ЧОП, соответственно, не может быть первым или вторым — то есть (по букве закона) прав у них нет никаких, кроме вызова полиции.
sudact.ru/regular/doc/VqTGBNolrBNE
sudact.ru/regular/doc/n5HFt5joO6Ug
Что из этого считать правильным, судить не возьмусь.
охраняемые объекты — здания, строения, сооружения (в том числе отдельные помещения), прилегающие к ним земельные участки (водные объекты), территории (акватории), защита которых осуществляется органами государственной охраны в целях обеспечения безопасности объектов государственной охраны; здания, строения, сооружения (в том числе отдельные помещения), земельные участки и водные объекты, предоставленные органам государственной охраны в соответствии с законодательством Российской Федерации.
А в ФЗ «О частной детективной и охранной деятельности в Российской Федерации» нет такого понятия, там речь идёт об «объектах охраны»:
объекты охраны — недвижимые вещи (включая здания, строения, сооружения), движимые вещи (включая транспортные средства, грузы, денежные средства, ценные бумаги), в том числе при их транспортировке.
Получается, что статья КоАП действительно касается только объектов, находящихся под государственной или ведомственной охраной.
И да, 3-5к рублей явно меньше, чем уголовные «до года ограничения свободы, лишения свободы или принудительных работ» по 327 УК РФ.
то опять-таки, адекватая СКУД обнаружит неадекватное его использование (например, сотрудник прошёл к себе в кабинет, а вы ломитесь в это время в совсем другое помещение).
Вспомнилось.
В одной конторе внедряли учет рабочего времени сотрудников. И привязались как раз к ключам-пропускам. Идея была как бы здравая «пришел/ушел отметили». А вот в реальности выяснилось, что часть работников по 20 раз в день уходила но ни разу не приходила, а часть работников месяцами не покидала рабочее место.
Добиться чтобы работник проходил только отметившись своим пропуском, без введения турникета с вахтером, фирма не смогла или не захотела, так тема и заглохла.
1. пришел на работу;
2. ушел на обед;
3. пришел с обеда;
4. ушел домой.
Если не хватает одной отметки — из зарплаты высчитывали пол-дня, не хватает двух — целый день.
Сделали переходный период в несколько месяцев, на протяжении которого, за неделю до зарплаты выдавали на руки бумажку с «прогулами». Непосредственный начальник своей подписью мог их закрыть, но максимально забюрократизировали этот процесс. Короче, работниками стало проще завести 4 будильника на телефоне, чтобы не забывать отметиться, чем потом бегать с кучей бумажек на подпись. Короче, проблему должен быть решать тот, кто ее и создал.
Сработало на ура. Забывчивых почти не стало.
Могли запросто с проверкой прийти.
Система работала.
А мой коммент был к тому, что для того, чтобы все работало, надо, чтобы проблему решал тот, кто ее создает.
Пока проблему «забывчивых» рабочих решало руководство — они продолжали
Если не хватает одной отметки — из зарплаты высчитывали пол-дня, не хватает двух — целый день.
А если лишние?
А если пришел с обеда раньше чем ушел на обед?
Вопрос кто упрется сильнее, руководство или коллектив. И что важнее для руководства, трудовая дисциплина или нормальный рабочий процесс. как показывает практика зачастую проще коллектив обновить чем бороться с тихим саботажем.
Никакой борьбы не было.
Это и удивляет. Обычно любые нововведения принимаются негативно. С реакцией от простого игнорирования до активного саботирования.
И приживаются только если руководство стоит насмерть или работники ощущают появившуюся свою выгоду.
ЗЫ Выше прозвучало слово «рабочие» это, вероятно, все объясняет. Специфика.
«я в ООО „Ромашка“, список Ромашек в бизнес-центре можно посмотреть на яндекс-картах и выбрать себе подходящую
«вон телефон, номер Ромашки 1020, мне позвонят оттуда и пропуск закажут, с вас паспорт» (с)
И бывает даже сложнее — работал на «режимном» объекте (патентное бюро) — там и пропуска сразу с фотографией под человека изготавливались, и на лифте не на свой этаж не поедешь. А даже если доехал за кем-то — никуда дальше лифтового тамбура не пройдёшь.
На брелках EM-Marin тоже встречается часть записанного ID в DEC, те же 4 байта, что и на картах.
цифры на карте совпадают с передаваемым кодом наоборот плюсИзначально, когда только появился стандарт и когда считыватели стоили как крыло боинга — да. А сейчас, когда считыватель стоит 3 копейки, а операционная система его распознает как обычную клавиатуру — сомнительно.
guard light… может выдавать ФИО проходящегоФото — куда ни шло, а ФИО… Зачем? Если охранник знает всех по ФИО, то и турникет не нужен, а если не знает, то нужно просить документы…
В итоге возвращаемся к системе 90-х годов с пенсионеркой с «синдромом вахтера».
Но ведь важно не обеспечить безопасность, а рассказать всем что безопасность обеспечили, так?
Конкретно эти карты нельзя, телефоны не умеют работать с 125 КГц метками.
Не совсем одинаково, em-marin чуть толще и на них как правило нанесены цифры в таком виде как на фото (если это заводские read-only карты).
Я в новом офисе смонтировал домофоны BAS-IP которые умеют в NFC и все теперь используют смартфоны в качестве пропуска.
Пока делали офис, у Hikvision появился дешевый девайс который один товарищ обозвал СКУДофоном) Умеет пропускать по лицу, отпечаткам пальцев, картам, набором кода. Жаль что не ванадлозащищенный. И не умеет (но это не точно) NFC.
Но за год что я их использую (а я видимо был первый в России который их поставил) они выпустили несколько более новых моделей.
Кстати по поводу Айфонов)
Использование BLE дает свои преимущества.
Можно открыть дверь (или поднять шлагбаум) не вынимая смарт из кармана)
А 2 года назад я и не понял почему мы так быстро сдали эти карты..
Забавно что если карта не работает по привычке говорят что карта размагнитилась:)
Статья хорошая, для информации что и как работает в этих картах.
На гостевую карту нужно было подавать заявку в бумажном виде и за пару дней
:)
Копия карты не так страшна если система в целом настроена правильно. У меня был случай когда по гостевому пропуску я мог перемещаться практически по всему зданию заходя в помещения где доступ для гостей теоретически должен быть заблокирован.
Да и нет особого смысла: в большинстве случаев обычно это защита от бродячих торговцев или нужны для систем учета рабочего времени. Классика про хакера и солонку.
К тому же оттого что мифейр повесят на тот же виганд26 сильно секьюрнее объект не станет, всю систему перепиливать на езернет с шифрованием канала сильно дороже станет.
А карты/брелки копеечные, да.
24 бита данных и 2 бита четности, итого 3 байтакак-то странно звучит, нет?
По фото карта была опознана как EM-Marin, она же EM4100
Не очень раскрыт принцип определения типа карты по фото. Вывод был сделан исходя из формата числового набора и у Mifare он отличается?
На серьезных объектах, таких как банки, дата-центры и хранилища ядерных боеголовок, вместо EM-Marin применяются более защищенные форматы карт (по крайней мере, хочется в это верить). Например, это семейство MIfare, где карты разделены на сектора с индивидуальными ключами чтения и записи, а некоторые карты этого стандарта поддерживают даже алгоритм шифрования AES.
Стоит заметить, что одного только факта использования мифара не достаточно 95% бюджетных скуд тупо шлют уникальный идентификатор карты и всё. Принципиально это ничем не отличается от em-marine, разве что бумажку с паролем на монитор там не клеят.
По крайней мере так было лет 5 назад, когда я делал скул в нашей конторе. Буду рад, если сейчас ситуация изменилась.
Хотя один дешёвый вариант, который умеет хоть какую-то защиту, я тогда нашёл и в итоге он даже работал.
брелоков
что не похоже на цифры с карты
Сразу же видно, что пары местами поменяны.
Как же вы так? :)
P.S. Зачем я этот коммент написал? Не знаю… Наверно повыпендриваться…
Делаем копию карты-пропуска по фото