Комментарии 55
Не претендую на звание bug bounty.
В Грин Парке все так:
- потопы квартир во время ливней
- уничтожение имущества собственников кипятком во время морозов
- постоянно открытые ворота подземного паркинга
- открытые помещения с оборудованием.
В копилку СКУД
Проще говоря: Сейчас вашей инструкцией может воспользоваться каждый «дворник из средней азии». А без этих 4-х пунктов только небольшая часть, способная осилить чтение и понимание инструкции.
Проблема более глобальная. В статье указано, к каким ЖК это относится.
Люди платят за безопасность, которой нет.
Дворники хабр читают — это хорошо.
>дать им шанс закрыть дыры
Если шанс не был дан, то автор далеко не Дартаньян, кем себя считает
Между тем, первый блок Green Park, если верить описанию начал продаваться чуть ли не в 2017 г. Наверное, можно было за это время что-то сделать.
Это просто крик души
Если бы у автора была дыра в безопасности в домофоне на его этаже, он ведь не стал бы кричать об это всем на каждом углу? Даже наверное на своем этаже поправил бы, а не предупредив соседей раструбил что другие этажи имеют эту проблему.
Все посты такого рода никогда ни касаются безопасности автора. Публиковать подробные (обращаю внимание на слове «подробные») инструкции без предупреждения тех, кто за это отвечает это просто брать в заложники тех, чья безопасность пострадала от этой уязвимости.
Я ведь не говорю что нельзя такие вещи публиковать. Нет, наоборот. Просто перед этим целесообразно попробовать передать информацию в нужное место, а уже если там нет реакции, то тут сам бог велел. Это в лучших традициях ИБ.
Например у нас в ЖК есть межхольные двери, там был механический замок который клинит (механически). Т.е. натурально пришёл домой, сидишь — собрался выйти, а не можешь, дверь заблочилась (если особенным образом её дёрнуть — то её клинит, можно было бы по всему ЖК так же пройтись). Пожар? — Сидишь дома и горишь, зато в тепле. Мечта интроверта (на самом деле нет).
Решение проблемы заняло почти год. И всё это время в ЖК жили люди рискуя своим временем и здоровьем. При том что были жалобы в надзорные инстанции.
Вопрос не в этом. Сначала с этой уязвимостью нужно было обратиться в УК и дать им шанс закрыть дыры. И потом только выкладывать на хабрБессмыслицу говорите какую-то. Причём даже не вы это говорите, «а так все говорят», а значит так говорите и вы, но это не вы. Т.е. это даже не вы говорите, а тупо «скопировали» и разносите, а зачем?
Логически же всё прощще. УК как исполнитель этого всего должна «абзаботиться» тем, а работает ли вся эта «хрень» на самом деле? Но т.к. в этой вашей России всем пофигу даже на очевидные обязательства, то и никаких потугов к этому всему конечно же нет.
А раз нет потугов, то автор смело и выкладывает все эти дыры. И автор совершенно прав.
Для тех кто в танке с толстой лобовой бронёй талщиной с ладошьку: влезать нельзя туда, где проблемы на стадии решения, и совершенно смело можно влезать туда, где проблемы даже и не пытались решать вовсе.
а) обнесены оградой с приличным зазором снизу, прокатиться может и взрослый, и ребенок (второе важнее)
б) укомплектованы калитками с доводчиками, которые летом дозакрывают очень-очень медленно, а зимой вообще могут не закрыть.
А в остальном принципиально IP-домофоны, наверное, не сильно отличаются от вечной классики, для которой и куча админских паролей по форумам и прочая дребедень. Другое дело, что IP-домофон удобнее — можно открыть дистанционно, что иногда требуется.
Архитектурно важнее, как вся эта штука работает при отключении питания и каких-нибудь других инцидентах, потому как уже был случай, что вроде бы все работает, но только дверь почему-то не открывается.
Третий момент. Жители, которые не могут в кодинг, носят с собой шестигранник, которым снимается панель домофона, за которой все, что нужно для открытия.
Короче, всегда нужно понимать, о чем мы — об удобстве или безопасности.
На старых домофонах такая же ситуация. У меня в доме 1998 по 2018 стоял код на открытие двери с инструкции.
Тут нет зависимости от возраста и наворочености оборудования, а дело в организации работ и контроля монтажников или сервисников. Знаю, что в некоторых фирмах сервисники меняли мастер-пароль раз в три месяца, в каждом районе он был свой и тд. Начальник отдела сервиса периодически выезжал на случайный адрес и проверял состояние оборудования, настройки и тд. Стандартный пароль обычно был в период передачи объекта от монтажного отдела в отдел сервиса.
Да даже с контролем при желании школьники могут заломиться, сегодня обратил внимание что накорябали код прям над домофоном… Код поменяли, только подобрать его впринципе не сложно при наличии времени.
Более того — моё недовольство началось с системы домофонии BasIP/Рубетек, которая установлена у нас в ЖК. В ходе попыток разрешить проблемы — у меня появился контакт инженеров ПИКа по слаботочке, куда я и направил ссылку на эту статью, где мне и дали комментарий.
Запрос видео-пруфа как раз для того, чтобы ткнуть носом инженеров в то, что всё в статье правда. Если мой вопрос не соответствует аудитории хабра — то мы уплыли совсем не туда, куда следовало.
Еще хочу сказать, что «инженер ПИК по слаботочке» имеет не совсем прямое отношение к программной стороне домофонов, которую обслуживает, как мне видится, Rubetek — с которыми, наверное, и надо обсуждать настройку.
Мой контакт занимается вопросом прошивок, возможно его должность в компании называется иначе. Более того — это единственный человек в ГК ПИК чьей работой я доволен на 100%, кажется на нём вообще всё держится ))
Далее нужно ввести 6 значный системный пароль, по умолчанию — 123456.
Перемещение по меню происходит кнопками 2 и 8.
Системы безопасности всегда строятся из многих компонентов. Домофон — один из них.
Не ясно к чему ваш комментарий. Не считаете необходимым проводить аудит безопасности домофонии?
Ладно. Встречный пример: "условный" пароль (например на вашем компьютере), сам по себе, ни от чего не защищает: он легко снимается физическим доступом. Давайте отметим политики безопасности паролей, и вообще — пусть у всех будет пароль 1234. Везде.
Системы безопасности всегда строятся из многих компонентов. Домофон — один из них.
Верно. И его задача не пустить в подъезд бомжей и алкашей. Всё. И надо это хорошо осознавать, иначе у вас возникает ложное чувство защищённости в вы, гипотетически, перестаёте записать дверь в собственную квартиру и оставлять в подъезде дорогой велосипед.
Не считаете необходимым проводить аудит безопасности домофонии?
Я не считаю необходимым делать из конкретно этой ситуации трагедию. А судя по отклику на пост у некоторых людей мир перевернулся когда они узнали, что любой домофон имеет дефолтный код и его никто не меняет. Я не спорю, что это плохо, но это жизнь. И она не идеальна.
А ваш пример с паролем это ложная аналогия. Если хотите, то пароль на моём компьютере это хороший замок в двери моей квартиры. А пароль на домофон можно сравнить с паролем на общую папку к которой имеют доступ 100+ человек. При условии, что к этой папке нет доступа из Интернета (так же как в подъезд нельзя зайти удалённо), то пусть там везде будет пароль 1234, потому что смысла ставить более сложный нет вообще никакого в этом случае.
Я понимаю, что у IT'шников есть профдеформация и новость о дефолтном пароле вызывает нездоровый зуд (сам такой). Но не надо забывать, что IT-системы и объекты в реальном мире это всё таки разные вещи. Знаете, есть такая фраза «замки от честных людей». И домофон как раз хороший пример. Это значит, что злоумышленник при желании имеет много разных (причём очень простых) способов зайти в подъезд и без знания пароля от домофона. Один из них уже написали ниже — просто дёрнуть дверь посильнее.
Я снова обращаю внимание на то, что я не говорю что это всё хорошо. Я говорю, что трагедии никакой не случилось. Жить в подъезде с таким домофоном опаснее не стало.
В целом если мы говорим о домофоне с возможностью подключения к Интернету, то тут ситуация как и с любым IoT-устройсвом — дефолтные пароли это несомненное зло. Но надо понимать, что если у вас роутер с дефолтным паролем торчит в Интернет, то у вас могут украсть какие-то критичные данные. А если взломали ваш домофон, то скачать все велики из подъезда не получится. В то же время среднестатистический вор велосипедов или сумочек, лежащих рядом с незапертой дверью в квартиру, не обладает знаниями для взлома IT-систем. Ему проще и быстрее дернуть дверь/зайти с кем-то/позвонить в первую попавшуюся квартиру и сказать «доставка» (не в первой, так во второй-третей откроют).
трагедии никакой не случилось
Разве кто-то говорил что это трагедия? Вопрос изначально в том, что даже в отношении таких мелочей не лишним применять подход принятый в ИБ. Это просто правила хорошего тона. Да хотя бы просто уведомить. Это ведь похоже в результате на: «Кинуть еще один фантик в грязном подъезде, чтобы плохому дворнику было больше убирать».
Разве кто-то говорил что это трагедия?
Сложилось такое впечатление по бурной реакции на пост.
Вопрос изначально в том, что даже в отношении таких мелочей не лишним применять подход принятый в ИБ. Это просто правила хорошего тона.
Да кто бы спорил. Но в реальной жизни этого не будет никогда. Даже многие айтишники не понимают основ инфобеза. Искренне причём, а не из-за лени. Вы хотите требовать этого от рядовых слаботочников и от работников УК? Пустое. Требовать от подрядчиков-установщиков, что бы они меняли за собой дефолтные пароли? Но после десятого звонка из УК с воплями, что все заблокировалось, а Вася, который знал пароль, забухал и был уволен месяц назад они это перестанут делать с мыслями «вот вам мануал, там написано как сменить пароль, дальше епитесь сами как хотите» (простите меня за мой французский).
Я реально смотрю на вещи, жизнь научила. Или только у меня такой негативный опыт?
Так что теоретически что-то поиметь со взлома можно, но практически это сомнительно. Больше вероятно, что устроят классическую DOS-атаку из чисто хулиганских побуждений, т.е. просто выключат/заблокируют домофон.
Спасибо за статью, отправили инициативным группам.
Сейчас буду думать, как связаться с инженерами.
А где на скрине мануала пароль админа?
Вроде бы только продублирован тот же самый публичный пин-код 33333333.
И на панели, и на веб-морде подходят. ЖК другой.
Как ходить к соседям без звонков в домофон