21.01.2025 09:36
breakmirrors 13 1900 Источник

Один из самых «вкусных» моментов в работе пентестера — red-team тестирование, позволяющее ненадолго ощутить себя эдаким Джейсоном Борном от мира кибербезопасности. Подобно героям боевиков, мы постоянно проникаем на объекты разной степени защищенности: ломаем замки, обходим системы видеонаблюдения — разве что не спускаемся в серверную на тросе с вертолета.


Поработав на таких проектах, начинаешь смотреть на любую дверь с перспективы потенциального нарушителя и выискивать уязвимости в каждой встречной СКУД. Поэтому первое, что бросилось нам в глаза, когда Бастион переехал в новый офис — это биометрические терминалы, установленные на дверях нескольких особо важных кабинетов. Словом, пока сисадмины распаковывали сервера и ломали голову над тем, как расставить офисную технику по правилам фэн-шуя, мы решили провести небольшой внутренний пентест…



Устоять от знакомства с новой СКУД оказалось поистине «невыполнимой» миссией. В конце концов, кто, если не мы, протестирует безопасность компании, которая отвечает за безопасность других? «Мы» — это эксперты Бастиона по программно-аппаратному взлому: Иван Глинкин и Алексей Петренко.


Подрядчик установил в офисе довольно дорогие гаджеты: 7-дюймовый экран, широкоугольная камера, инфракрасная подсветка для работы в полной темноте. По заявлениям производителя, такие терминалы узнают человека за доли секунды с точностью 99%, запоминают тысячи лиц и способны идентифицировать людей в ковидных масках.



⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Биометрический терминал крупным планом. Меня не узнал


На первый взгляд система выглядела солидно — глянцевая черная панель с большим дисплеем внушает уважение. Чуть ниже блока, отвечающего за распознавание лиц, был закреплен считыватель смарт-карт, готовый принять в свои объятия NFC-токен.



⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Казалось бы, довольно продуманная архитектура


Внутри помещения находилась кнопка для выхода, а в серверной разместился контроллер NC-8000-D, призванный вести базу смарт-карт и фиксировать каждое событие в системе по протоколу Wiegand. Прямо мечта параноика, а не СКУД.



Так как же можно попасть внутрь без ключа?


«Сезам, откройся!»


По-хорошему, все подобные системы стоит рассматривать в комплексе. Так что мы раздобыли документацию на все компоненты нашей СКУД и взялись за исследование ее архитектуры.



⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Работу устройства анализировали в несколько этапов


Внедрение СКУД проходило в два этапа. На первом этапе подрядчики развернули базовую систему контроля доступа: установили контроллер в серверной и интегрировали с ним считыватель, попутно проложив километры кабелей по закоулкам офиса.



Магнитный считыватель работает по простому принципу: он забирает данные с карты и передает на контроллер NC-8000-D. Контроллер проверяет наличие карты в базе данных и принимает решение о доступе. Команда на открытие передается по отдельным проводам через бэкенд — это довольно секьюрная архитектура.


На втором этапе подрядчики дополнили СКУД модулем распознавания лиц, способным работать автономно. Мы решили внимательно изучить особенности этой интеграции и перешли к физическому осмотру оборудования.



Оказалось, что биометрический блок держится на стене на честном слове. Точнее, на прикрученной к стене рейке, на которую навешивается корпус считывателя. О защите от демонтажа речи даже не шло — видимо, разработчики посчитали, что злоумышленники будут так впечатлены ценой устройства, что побоятся к нему прикасаться.



Да, производитель предусмотрел сигнализацию с кнопкой, срабатывающей при снятии устройства, но это не считается. Любой желающий может взять тонкую металлическую линейку, просунуть ее в зазор между устройством и дверью, заблокировать кнопку при демонтаже, а затем зафиксировать сигнализацию в нажатом состоянии обычным скотчем. Впрочем, нам не пришлось заморачиваться даже с этим, так как подрядчики оставили сигнализацию неподключенной.



⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Та самая неработающая сигналка и торчащие наружу провода


Мы просто аккуратно сняли устройство со стены и обнаружили пучок незащищенных проводов, которые буквально умоляли их исследовать. Посмотрели на провода, сверились с документацией, посмотрели на провода еще раз. Перемкнули контакты скрепкой — дверь и открылась.




Разоблачение магии


Хваленая биометрическая СКУД была оборудована внутренним реле, которое срабатывает при успешном распознавании лица и замыкает выходные контакты. А внутри помещения стояла стандартная кнопка выхода — такая же, как в любом подъезде районной новостройки. Интеграторы использовали это для объединения двух систем безопасности, подключив контакты реле параллельно к кнопке открытия двери.


В этой ситуации «виноваты» и производитель, и интегратор. Производитель использовал в своем продукте, пожалуй, самое примитивное решение из возможных. При этом на сайте система позиционируется как автономное решение «все-в-одном»: купил, поставил, забыл. Действительно, забыл — про безопасность.


Интегратора же не смутило, что контакты управления замком доступны любому, кто догадается заглянуть за корпус терминала. Они добавили уязвимый модуль в состав более сложной СКУД, продублировав физическую кнопку выхода и фактически превратив систему безопасности в карточный домик — дунь, и развалится.


Для компрометации такого «продвинутого» замка даже не обязательно снимать терминал со стены.



⠀⠀⠀⠀Нужные провода можно определить не только по маркировке, но и измерив напряжение: ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀на контактах управления обычно присутствует 3–5 В


В капитальных зданиях провода хотя бы прячут внутри бетонных стен, что обеспечивает минимальную физическую защиту. Но в современных офисных центрах со стеклянными перегородками проводка идет в металлических коробах, которые открываются голыми руками. Достаточно добраться до проводов в коробе, найти и перемкнуть нужные.



В результате в кабельный короб можно спрятать простейшее реле, реагирующее на магнит, и получится удобный аппаратный бэкдор.


Результаты исследования


Сперва мы хотели эффектно раскрыть название производителя терминала, но потом поняли, что это ничего не изменит.


От бюджетных решений для малого бизнеса до премиальных систем, цена которых сравнима с зарплатой senior-разработчика, производители СКУД раз за разом наступают на одни и те же грабли в организации взаимодействия контроллеров и считывателей.



⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Схема подключения рандомной СКУД с Amazon


Достаточно взглянуть на первую попавшуюся схему со страницы товара на маркетплейсе. В ней мы видим до боли знакомую картину: провода от блока управления к магнитному считывателю подключены напрямую к кнопке и замку. При этом даже беглый анализ схемы выявляет как минимум две критические уязвимости, способные перечеркнуть всю защиту одним движением отвертки.


Самая заметная уязвимость связана с кнопкой открытия. Один ее контакт заземлен (ground), другой подключен к контакту open магнитного считывателя. Чтобы открыть дверь, злоумышленнику не требуется карта доступа или код — достаточно снять крышку устройства и замкнуть контакты open и ground. Это имитирует нажатие кнопки, сигнал поступает на блок управления, и тот открывает замок.


Но и это еще не все. Когда система получает сигнал — будь то нажатие кнопки или считывание карты — она передает его через push. Это может быть сигнал PLO или простое обнуление push. Сигнал поступает на магнитный замок и открывает его.


Теоретически (а на практике наверняка так и есть) на контакте всегда плюс. Достаточно его заземлить, и дверь гостеприимно распахнется. То есть, замыкание ground с open или ground с push приведет к открытию двери.


Проблема не в каком-то отдельном замке или биометрическом терминале. В погоне за простотой установки и низкой ценой производители массово выбирают архитектуру с прямым управлением.


Такие системы уязвимы by design — они могут защитить разве что от случайного нарушителя, который не знает принципов работы СКУД. Поэтому при выборе системы контроля доступа критически важно изучить не только функциональные возможности, но и схему подключения компонентов. Простая разводка проводов может рассказать о реальном уровне безопасности гораздо больше, чем маркетинговые материалы производителя.


Повторяем номер на бис. Уровень безопасности СКУД — как завести «шестерку» без ключа.



Вместо заключения: правильная архитектура СКУД


Даже дорогие системы контроля доступа могут оказаться уязвимыми. Красивый терминал с продвинутой биометрией не гарантирует безопасность, если монтажники оставляют неприкрытый доступ к проводам управления, а производители экономят на защищенных протоколах связи между компонентами.


При изучении современных СКУД трудно отделаться от мысли, что их надежность можно значительно повысить небольшими изменениями в архитектуре. Главное — разделить считыватель и управляющий модуль, перенеся логику принятия решений в защищенную зону.



В такой архитектуре считыватель (карточный или биометрический) только собирает данные и передает их на центральный сервер через защищенный канал. Сервер проверяет полученную информацию по базе и отправляет команду на открытие замка по отдельному защищенному каналу. Кнопка выхода тоже должна быть подключена к центральному контроллеру, а не напрямую к замку.


Технические средства защиты — это всегда компромисс между безопасностью, удобством и стоимостью. Но некоторые компромиссы, вроде прямого подключения кнопки выхода к замку, недопустимы для действительно защищенных помещений. Помните, что даже уязвимую архитектуру СКУД можно усилить. Безопасность — это всегда комплекс мер, где СКУД дополняют грамотным видеонаблюдением, анализом журналов, регулярным аудитом и квалифицированной физической охраной.


Подписывайтесь на наш Telegram-канал, чтобы первыми узнавать об интересных кейсах в сфере этичного хакинга и получать экспертную аналитику по инцидентам!

Комментарии (13)