Один из самых «вкусных» моментов в работе пентестера — red-team тестирование, позволяющее ненадолго ощутить себя эдаким Джейсоном Борном от мира кибербезопасности. Подобно героям боевиков, мы постоянно проникаем на объекты разной степени защищенности: ломаем замки, обходим системы видеонаблюдения. Разве что не спускаемся в серверную на тросе с вертолета.
Поработав на таких проектах, начинаешь смотреть на любую дверь с перспективы потенциального нарушителя и выискивать уязвимости в каждой встречной СКУД. Поэтому первое, что бросилось нам в глаза, когда Бастион переехал в новый офис, — это биометрические терминалы, установленные на дверях нескольких особо важных кабинетов. Словом, пока сисадмины распаковывали сервера и ломали голову над тем, как расставить офисную технику по правилам фэн-шуя, мы решили провести небольшой внутренний пентест…
Удержаться от знакомства с новой СКУД оказалось поистине «невыполнимой» миссией. В конце концов, кто, если не мы, протестирует безопасность компании, которая отвечает за безопасность других? «Мы» — это эксперты Бастиона по программно-аппаратному взлому: Иван Глинкин и Алексей Петренко.
Подрядчик установил в офисе довольно дорогие гаджеты: 7-дюймовый экран, широкоугольная камера, инфракрасная подсветка для работы в полной темноте. По заявлениям производителя, такие терминалы узнают человека за доли секунды с точностью 99%, запоминают тысячи лиц и способны идентифицировать людей в ковидных масках.
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Биометрический терминал крупным планом. Меня не узнал
На первый взгляд система выглядела солидно. Глянцевая черная панель с большим дисплеем внушает уважение. Чуть ниже блока, отвечающего за распознавание лиц, был закреплен считыватель смарт-карт, готовый принять в свои объятия NFC-токен.
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Казалось бы, довольно продуманная архитектура
Внутри помещения находилась кнопка для выхода, а в серверной разместился контроллер NC-8000-D, призванный вести базу смарт-карт и фиксировать каждое событие в системе по протоколу Wiegand. Прямо мечта параноика, а не СКУД.
Так как же можно попасть внутрь без ключа?
«Сезам, откройся!»
По-хорошему, все подобные системы стоит рассматривать в комплексе. Так что мы раздобыли документацию на все компоненты нашей СКУД и взялись за исследование ее архитектуры.
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Работу устройства анализировали в несколько этапов
Внедрение СКУД проходило в два этапа. На первом этапе подрядчики развернули базовую систему контроля доступа: установили контроллер в серверной и интегрировали с ним считыватель, попутно проложив километры кабелей по закоулкам офиса.
Считыватель работает по простому принципу: он забирает данные с карты и передает на контроллер NC-8000-D. Контроллер проверяет наличие карты в базе данных и принимает решение о доступе. Команда на открытие передается по отдельным проводам через бэкенд (это довольно секьюрная архитектура).
На втором этапе подрядчики дополнили СКУД модулем распознавания лиц, способным работать автономно. Мы решили внимательно изучить особенности этой интеграции и перешли к физическому осмотру оборудования.
Оказалось, что биометрический блок держится на стене на честном слове. Точнее, на прикрученной к стене рейке, на которую навешивается корпус считывателя. О защите от демонтажа речи даже не шло — видимо, разработчики посчитали, что злоумышленники будут так впечатлены ценой устройства, что побоятся к нему прикасаться.
Да, производитель предусмотрел сигнализацию с кнопкой, срабатывающей при снятии устройства, но это не считается. Любой желающий может взять тонкую металлическую линейку, просунуть ее в зазор между устройством и дверью, заблокировать кнопку при демонтаже, а затем зафиксировать сигнализацию в нажатом состоянии обычным скотчем. Впрочем, нам не пришлось заморачиваться даже с этим, так как подрядчики оставили сигнализацию неподключенной.
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Та самая неработающая сигналка и торчащие наружу провода
Мы просто аккуратно сняли устройство со стены и обнаружили пучок незащищенных проводов, которые буквально умоляли их исследовать. Посмотрели на провода, сверились с документацией, посмотрели на провода еще раз. Перемкнули контакты скрепкой — дверь и открылась.
⠀
Разоблачение магии
Хваленая биометрическая СКУД была оборудована внутренним реле, которое срабатывает при успешном распознавании лица и замыкает выходные контакты. А внутри помещения стояла стандартная кнопка выхода, такая же, как в любом подъезде районной новостройки. Интеграторы использовали это для объединения двух систем безопасности, подключив контакты реле параллельно к кнопке открытия двери.
В этой ситуации «виноваты» и производитель, и интегратор. Производитель использовал в своем продукте, пожалуй, самое примитивное решение из возможных. При этом на сайте система позиционируется как автономное решение «все-в-одном»: купил, поставил, забыл. Действительно, забыл… Про безопасность.
Интегратора же не смутило, что контакты управления замком доступны любому, кто догадается заглянуть за корпус терминала. Они добавили уязвимый модуль в состав более сложной СКУД, продублировав физическую кнопку выхода и фактически превратив систему безопасности в карточный домик: дунь, и развалится.
Для компрометации такого «продвинутого» замка даже не обязательно снимать терминал со стены.
⠀⠀⠀⠀Нужные провода можно определить не только по маркировке, но и измерив напряжение: ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀на контактах управления обычно присутствует 3–5 В
В капитальных зданиях провода хотя бы прячут внутри бетонных стен, что обеспечивает минимальную физическую защиту. Но в современных офисных центрах со стеклянными перегородками проводка идет в металлических коробах, которые открываются голыми руками. Достаточно добраться до проводов в коробе, найти и перемкнуть нужные.
В результате в кабельный короб можно спрятать простейшее реле, реагирующее на магнит, и получится удобный аппаратный бэкдор.
Результаты исследования
Сперва мы хотели эффектно раскрыть название производителя терминала, но потом поняли, что это ничего не изменит.
От бюджетных решений для малого бизнеса до премиальных систем, цена которых сравнима с зарплатой senior-разработчика, производители СКУД раз за разом наступают на одни и те же грабли в организации взаимодействия контроллеров и считывателей.
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Схема подключения рандомной СКУД с Amazon
Достаточно взглянуть на первую попавшуюся схему со страницы товара на маркетплейсе. В ней мы видим до боли знакомую картину: провода от блока управления к магнитному считывателю подключены напрямую к кнопке и замку. При этом даже беглый анализ схемы выявляет как минимум две критические уязвимости, способные перечеркнуть всю защиту одним движением отвертки.
Самая заметная уязвимость связана с кнопкой открытия. Один ее контакт заземлен (ground), другой подключен к контакту open магнитного считывателя. Чтобы открыть дверь, злоумышленнику не требуется карта доступа или код — достаточно снять крышку устройства и замкнуть контакты open и ground. Это имитирует нажатие кнопки, сигнал поступает на блок управления, и тот открывает замок.
Но и это еще не все. Когда система получает сигнал — будь то нажатие кнопки или считывание карты — она передает его через push. Это может быть сигнал PLO или простое обнуление push. Сигнал поступает на магнитный замок и открывает его.
Теоретически (а на практике наверняка так и есть) — на контакте всегда плюс. Достаточно его заземлить, и дверь гостеприимно распахнется. То есть, замыкание ground с open или ground с push приведет к открытию двери.
Проблема не в каком-то отдельном замке или конкретном биометрическом терминале. В погоне за простотой установки и низкой ценой производители массово выбирают архитектуру с прямым управлением.
Такие системы уязвимы by design — они могут защитить разве что от случайного нарушителя, который не знает принципов работы СКУД. Поэтому при выборе системы контроля доступа критически важно изучить не только функциональные возможности, но и схему подключения компонентов. Простая разводка проводов может рассказать о реальном уровне безопасности гораздо больше, чем маркетинговые материалы производителя.
Повторяем номер на бис. Уровень безопасности СКУД — как завести «шестерку» без ключа.
Вместо заключения: правильная архитектура СКУД
Даже дорогие системы контроля доступа могут оказаться уязвимыми. Красивый терминал с продвинутой биометрией не гарантирует безопасность, если монтажники оставляют неприкрытый доступ к проводам управления, а производители экономят на защищенных протоколах связи между компонентами.
При изучении современных СКУД трудно отделаться от мысли, что их надежность можно значительно повысить небольшими изменениями в архитектуре. Главное — разделить считыватель и управляющий модуль, перенеся логику принятия решений в защищенную зону.
В такой архитектуре считыватель (карточный или биометрический) только собирает данные и передает их на центральный сервер через защищенный канал. Сервер проверяет полученную информацию по базе и отправляет команду на открытие замка по отдельному защищенному каналу. Кнопка выхода тоже должна быть подключена к центральному контроллеру, а не напрямую к замку.
Технические средства защиты — это всегда компромисс между безопасностью, удобством и стоимостью. Но некоторые компромиссы (вроде прямого подключения кнопки выхода к замку) недопустимы для действительно защищенных помещений. Помните, что даже уязвимую архитектуру СКУД можно усилить. Безопасность — это всегда комплекс мер, где СКУД дополняют грамотным видеонаблюдением, анализом журналов, регулярным аудитом и квалифицированной физической охраной.
Подписывайтесь на наш Telegram-канал, чтобы первыми узнавать об интересных кейсах в сфере этичного хакинга и получать экспертную аналитику по инцидентам!
Комментарии (72)
Tavrid
21.01.2025 09:44Никто не заметил, что двери там стеклянные и сами осыпаются от одного удара "брелка-спасателя" или "стеклобоя".
А еще странно выглядит дублирование систем, на верхнем модуле есть считыватель карт? почему и зачем в таком случае оставили нижний считыватель? Раз уже понизили уровень безопасности до плинтуса.
xSVPx
21.01.2025 09:44В метре от стекла может сидеть охранник, который не сможет не заметить что его разбили. Впрочем он не даст долго копаться с проводами. Но не всегда важно вломиться, подозреваю полезнее получить доступ так, чтобы никто не знал, этож не банк, там внутри за дверью ничего нету скорее всего.
Некоторые орлы ставят механические реле открытия прям в внешний блок, что позволяет открывать замок поднося магнит вместо карты :). У локпиклоуера можно посмотреть, он их тонны распотрошил. Хуже всех те, что имеют механические дублирующие части, они примерно нулевой взломостойкости обычно
Кстати, если поднести с внешней стороны побольше магнит напротив места установки кнопки, она не замкнется ?
А если катушку большой мощности разрядить в этом месте, навести достаточное напряжение в проводах не удастся ? (впрочем тут похоже металлический конструктив, скорее всего он заэкранирует).
breakmirrors Автор
21.01.2025 09:44Кстати, если поднести с внешней стороны побольше магнит напротив места установки кнопки, она не замкнется?
Пробовали. Там реле находится посередине считывателя, 75-килограммовый магнит не дотянулся.
mysherocker
21.01.2025 09:44охранник, который не сможет не заметить что его разбили. Впрочем он не даст долго копаться с проводами
для этого пентестеру следует приходить в рабочем комбинезоне с ящиком инструментов и стремянкой. эти атрибуты, как известно, позволяют проходить в любые помещения и творить там умеренную дичь.
ковыряние в считывателе в таком амплуа прокатит. разбитие или срезание стекла -- нет.
breakmirrors Автор
21.01.2025 09:44А еще странно выглядит дублирование систем, на верхнем модуле есть считыватель карт? почему и зачем в таком случае оставили нижний считыватель?
В верхнем биометрическом терминале отдельного RFID/NFC считывателя нет. То, что вы видите внизу — единственный считыватель карт в системе.
Никто не заметил, что двери там стеклянные и сами осыпаются от одного удара
Нет смысла ставить бронированную дверь в картонную стену, но давайте не будем углубляться в вопросы вандалоустойчивости. Там, где это важно с точки зрения модели угроз, такие замки ставят на серьезные железные двери. Цель исследования была именно в анализе СКУД, а не в комплексном аудите физической безопасности помещения. Иначе можно вспомнить и про фальшпотолки, окна и прочие приключения Джона Макклейна.
Tavrid
21.01.2025 09:44Как это нет... как раз таки есть, это же Хик Про серии DS-K1T****M там во всех моделях есть считыватель RFID-карт M1 (Mifare 1 Contactless Smart card, Frequency: 13.56MHz).
Кстати, первично установленная система парсек на картах (без распознавания лица) по сути имеет такой же дефект - кнопка запроса на выход RTE это те же 2 провода, магнитное реле к которому можно внедрить аппаратно в любом месте.
Как раз в толстых железных дверях эта кнопка и является ахиллесовой пятой, сверление отверстия рядом и нажатие на кнопку специальным раскрывающимся инструментом - на все про все 60 секунд максимум.
TerekhinSergey
21.01.2025 09:44А как там у этого скуда с соблюдением законодательства в области биометрии? Нынче же все через единую биометрическую систему, госуслуги и вот это всё
Tomasina
21.01.2025 09:44Это не платежная система.
Servifed
21.01.2025 09:44При чем тут платежная система? Любая биометрия только через едс может/должна работать. Если по закону, конечно
TerekhinSergey
21.01.2025 09:44Вот тут человеческим языком написано: https://www.secuteck.ru/articles/bioskud-perezagruzka-i-novye-trebovaniya . Если кратко, то вся биометрия (за исключением безопасных городов и некоторых иных случаев), ВКЛЮЧАЯ системы контроля доступа теперь должна храниться и обрабатываться только в единой биометрической системе или специальными аккредитованными операторами (произвольная организация таким оператором стать не может - слишком много требований и слишком дорого). Так что для организаций сейчас по сути осталось два пути: вернуться на классические карточные СКУДы или покупать СКУД, который может работать через подобный сервис. Время китайских терминалов "всё в одном" прошло
Если хочется юридических тонкостей, то гуглить 572ФЗ
Там ещё и ответственность за самовольство нехилая может наступить
mlnw
21.01.2025 09:44Можно ходить по пальцу. Для этого никакие ЕБС не нужны. Плюс несколько секурнее, чем по лицу, поскольку большинство китайских фейсайди обманывается тупо фоткой с экрана телефона.
TerekhinSergey
21.01.2025 09:44Я бы сказал, что пока не нужны. Есть впечатление, что всю биометрию постепенно государство себе постарается забрать
mlnw
21.01.2025 09:44Неа, нет такого впечатления. Государство, по вашему., почему признало биометрией лишь лицо и голос? Да потому, что всё остальное им нафик не нужно! Сетчатку глаза, радужку, вены ладоней и папиллярные узоры невозможно использовать для массовой слежки за гражданами. А вот лицо (повсеместные камеры) и голос (телефонные разговоры) - сколько угодно. Стало быть, то, что нам интересно - затаскивайте к нам, и никак иначе, а вот со всем остальным можете париться сами.
little-brother
21.01.2025 09:44Поздравляю, вы "хакнули" систему для честных людей.
СКУД в офисе (без физической охраны) больше служит для того, чтобы сотрудники не шлялись там, где им не положено. При определенном желании можно попасть в любую зону, просто это может закончится разборками и увольнением любопытного.
PS Подобные терминалы стоят, например, на входе в мэрию Москвы - попробуйте там с линейкой полазить :) Правда там еще парочка росгвардейцев, но это мелочи.
vedmed007
21.01.2025 09:44Живая охрана - просто еще один фактор риска в театре безопасности.
Пришел ремонтник, сдернул блок, повозился пять минут, вернул все на место.
Сколько тестировщиков потом пройдет по магнитной карточке и будет ли вообще реакция - отдельный вопрос.
little-brother
21.01.2025 09:44Если служба безопасности сидит и плюет в потолок, то да. На нормальных объектах никакой левый ремонтник ничего не "обслужит", да и правильный не сразу доступ к телу получит. Про магнитные карточки - на объекте с нормальной СБ первый (в худшем случае второй) прошедший по такой карточке будет остановлен, не пишите ерунды.
breakmirrors Автор
21.01.2025 09:44И все же основное назначение любого замка — обеспечивать защиту от несанкционированного проникновения, а не просто висеть для красоты. Как показано в статье, ситуацию можно исправить, пересмотрев архитектуру системы. Возможно, в таком случае СКУД справлялась бы со своей задачей даже без приставленного охранника или росгвардейца :)
little-brother
21.01.2025 09:44Как показано в статье, ситуацию можно исправить, пересмотрев архитектуру системы.
Конечно можно, причем это выглядит несложно: создаем модель нарушителя, описываем потенциальные угрозы проникновения, разрабатываем комплекс мероприятий (технических и организационных), запрашиваем КП, забиваем болт так как получается все очень дорого и ставим систему "как у всех" от людей без преступных помыслов.
acsent1
21.01.2025 09:44Если все через сервер делать, то то при отказе сервера нельзя будет выйти
xxxgoes
21.01.2025 09:44Можно делать отпирание изнутри чисто механическим, можно с уведомлением сервера.
Тогда дабы его использовать снаружи потребуется просверлить дверь. А это уже абсолютно заметно.
Правда я не уверен что нормально (без питания) запертые электрозамки согласуются с пожарной безопасностью
andersong
21.01.2025 09:44По требованиям пожарной безопасности при снятии напряжения все замки должны открыться. При отказе сервера рубим электричество и выходим.
MaFrance351
21.01.2025 09:44Достаточно взглянуть на первую попавшуюся схему со страницы товара на маркетплейсе.
Самые дешёвые надо ещё на универсальные ключи проверять. В отличие от более-менее крупных, где эту проблему таки побороли, многие экземпляры вроде тех, что на картинке, с лёгкостью открываются ключом или картой с кодом из одних FF, словно древние подъездные домофоны.
Магнитный считыватель работает по простому принципу
Ну какой же он магнитный, когда это RFID. Магнитные карты в СКУД ушли в историю ещё давным-давно.
BSOZ
21.01.2025 09:44Я бы делил СКУД на категории какие-то что ли. Есть разница и в условиях использования и в том, ради какой цели установлено. Замки так-то тоже разные бывают: одни защищают сейф с драгоценностями, другие дверь в туалет блокируют от случайного доступа, когда он занят. И это совсем разные замки. Изделие из поста ближе ко второму варианту.
ubx7b8
21.01.2025 09:44Перемкнули контакты скрепкой — дверь и открылась.
т.е. когда в кино стреляют в подобный замок и дверь открывается - оказывается, что это не бред сумасшедшего...
MaFrance351
21.01.2025 09:44И когда в кино суперсекретную бронедверь открывают откручиванием четырёх винтов крепления кодовой панели (обязательно крутой и навороченной) и замыканием двух контактов проволочкой, это тоже иногда далеко не бред.
Suoriks
21.01.2025 09:44Ребят, у вас это... Дверь стеклянная. Открывается ударом молотка. А вы про какие-то провода...
И это не говоря о том, что Flipper Zero прекрасно клонирует карты от этих скуд, секунды за три. И не требует вскрытия замка и замыкания контактов.little-brother
21.01.2025 09:44Mifare SL3 тоже или HID закрытый?
crundel
21.01.2025 09:44Ну, HID iClass в России уже только если в чемоданах (но Сбер, увы как и многие модные ЖК, уйти от него конечно просто так не может, наследие - оно такое наследие). Что EV2 с SL3 конечно Flipper сможет - сомневаюсь. Более того в секторном режиме нормальный считыватель свой сектор с данными точно знает, помимо шифрования... Так что пентест с доступом к кабелям конечно странный, да и если бы не было кнопки в схеме и китайского терминала - на схеме у нас электромагнитный замок. И когда мы отключаем его питание с помощью простой советской... ;)
Dr_Faksov
21.01.2025 09:44Ребят, у вас это... Дверь стеклянная
Специалисты по замкам очень чётко отличают взлом замка от его вскрытия. Тут про вскрытие. А вы про взлом.
V4ssol
21.01.2025 09:44Флиппер не может скопировать даже ключи от пиковских калиток у своём большинстве, Mifare 1k, plus и иже с ним для этой игрушки недоступны.
mlnw
21.01.2025 09:44О защите от демонтажа речи даже не шло — видимо, разработчики посчитали, что злоумышленники будут так впечатлены ценой устройства, что побоятся к нему прикасаться.
Да, 20-30 т.р. - это та цена, которая впечатляет.
А вообще "вскрытие" ни о чем, поскольку данная система не относится к антивандальным. И вообще все подобные системы обязаны открываться в случае тупого перекусывания кусачками провода питания: таковы требования пожарной безопасности.
MaFrance351
21.01.2025 09:44Более того, в некоторых местах вообще должна стоять кнопка экстренного открытия, отключающая питание.
: 
Gekus
21.01.2025 09:44У нас такие стоят на выход изнутри. Правда, однажды один курьер, принеся заказ в офис, воспользовался ей. Но это от недогляда
BykolajOptoed
21.01.2025 09:44Был на днях интересный опыт. Ребёнок сбил комбинацию на кодовом замке, которые используют в бассейнах и школах на шкафчиках, и закрыл его. Стало интересно, 3 минуты гуглежа, скрепка и 3 минуты экспериментов - замок открыт. Второй раз, думаю, секунд за 30 подберу комбинацию, т.к. принцип уже понятен и опыт имеется.
Лично наблюдал, как за пару секунд ключом для бампинга открываются замки, стоящие в большинстве квартир.
Большинство используют двери и замки от честных людей.
pewpew
21.01.2025 09:44Круто, экспертом по замкам уже стали или только специалистом?
Dolios
21.01.2025 09:44Бггггг, ты обо$рался в теме про девайсы с вирусами со своим виктимблеймингом, нахватал минусов полную панамку и теперь будешь обиженно за ним по всему хабру бегать, пытаясь его как-то задеть? Цирк уехал, клоуны остались...
MaFrance351
21.01.2025 09:44Ещё веселее открываются кодовые замки на чемоданах - удерживаешь в оттянутом положении рычаг, крутишь колёсики, и они сами защёлкиваются в правильном положении (если замок совсем топорный, то вывести из правильного положения удаётся лишь с усилием). Тоже случайно сбил комбинацию на своём чемодане (не защёлкнул до конца при сбросе цифр, а в итоге сбросил код), открыл буквально за пару минут.
BykolajOptoed
21.01.2025 09:44У чемоданов вообще какой-то мастер ключ вроде есть, чтобы работники безопасности могли замки открывать.
MaFrance351
21.01.2025 09:44TSA тот? Это да.
Но он и без этого ключа прекрасно вскрывается очень быстро и без малейших повреждений.
qenoamej
21.01.2025 09:44Панель прикрутить винтами, провода проложить с внутренней стороны и будет нормальный замок, какая бы там ни была простая схема подключения.
Duke_nukeum
21.01.2025 09:44Offtop: А есть ли какой-то скрытый смысл в том листинге ассемблера выгравированном на стекле?)
breakmirrors Автор
21.01.2025 09:44Поздравляю, вы нашли пасхалку) Листинги взяты из семейств вредоносного ПО, которые часто используются в атаках на российские компании.
Michio-sempaiq
21.01.2025 09:44Судя по указанным моделям контроллеров NC-8000-D (Парсек) и представленным тут схемам подключения, ведится что в техническом задании на СКУД безопасность не была проставлена как отдельный критерий.
Любой СКУД построенный на Wiegand интерфейсе контроллер-считыватель и со свободным доступам к проводам DATA0-DATA1 ставит крест на любых способах защиты устройств считывания.
Представленные тут терминалы (На сколько я понял это какой-то из Хиков) действительно устройство все в одном и как любое подобное устройство не застраховано от прямого доступа к примитивным органам управления (реле, сухие контакты).
Если уже была установлена обычная карточная система, то не понятно почему не повесили Хик на контроллер Парсека, тогда бы Хик выступал только преобразователем лицо -> wiegand номер, а решение об управлении дверью принимал бы контроллер парсека находящийся в более защищенной зоне.
vvzvlad
21.01.2025 09:44Любой СКУД построенный на Wiegand интерфейсе контроллер-считыватель и со свободным доступам к проводам DATA0-DATA1 ставит крест на любых способах защиты устройств считывания.
Почему?
Michio-sempaiq
21.01.2025 09:44Wiegand это односторонний интерфейс\протокол разработанные несколько десятком лет назад. В нем нет ничего. Ни авторизации, ни шифрования, даже обратной связи от считывателя.
Следовательно возможны такие примитивные атаки:
Тупой перебор ключей, пока не откроется. Далеко не все контроллеры защищены от перебора.
Прослушивание линии Wiegand любым, даже самым дешевым логическим анализатором для сборки "работающих" ключей
У Wiegand такие тайминги срабатывания, и на столько простой интерфейс что вы можете даже микроконтроллер не использовать. Я писал Wiegand эмулятор для pi zero на python используя их стандартную либо по работе с GPIO, даже на Python все работало отлично.
vvzvlad
21.01.2025 09:44Так виганд это же не шина, чего там перехватывать, если ты к считывателю и так доступ имеешь. А если можешь перехватить пакет от считывателя, то ты уже и так внутри.
Перебор тоже странно, даже на Wiegand-26 при 500мс на попытку, займет сто дней. С учетом того, что обратной связи нет — это 100 дней сидеть рядом с дверью, чтобы не пропустить момент, когда она откроется.
Ну, т.е. в том, что он слабо защищен, я согласен, но вот с "ставит крест на любых способах защиты устройств считывания" нет.
Michio-sempaiq
21.01.2025 09:44Соглашусь с вами, что перебор это я приплел чисто для красного словца. Очень сомневаюсь что хоть кто-то так будет взламывать. Посыл тут скорей в том, что Wiegand это слабое место в связке карта - считыватель - контроллер. Какой бы защищенной и не копируемой не была карта данные c нее передают в незашифрованном виде, а провода от считывателя хорошо если в стену замурованы, а не идут в каком-нибудь кабель канале.
Да действительно wiegand это не шина. Но довольно часто считыватель устанавливается на значительном удалении от контроллера (до 150 метров). Например считыватель на калитке, а контроллер в доме или где-то в другом здании. В этом случае у вас есть доступ к проводам довольно открытый.
Обратной связи нет у протокола Wiegand, но обратная связь есть со стороны контроллера. (Считыватель же нам сигнализирует можно\нельзя) по этой связке можно понять, код подошел или нет.
500 милисекунд все таки тоже многовато. Все таки обычно контроллеры при простых логиках доступа (без хождения на сервер) обрабатывают проход в приделах 100 мс - 200 мс
Мне не известны системы СКУД, где код карты генерировался бы для каждой точки доступа свой. А это значит что получив номер карты где-то на проходной вам открыты все двери которые разрешены этой карте.
Примение OSDP как замена Wiegand в России не очень популярна. Хоть компания в которой я работаю и выпускаем считыватели с поддержкой OSDP, по общению с нашими продажниками практически все подключаются по Wiegand. Даже довольно крупные клиенты и повышают безопасность другими способами (видео наблюдение, добавление дополнительных факторов идентификации)
Arioch
21.01.2025 09:44до премиальных систем, цена которых сравнима с зарплатой senior-разработчика, производители СКУД раз за разом наступают на одни и те же грабли
а. они дураки
б. они жулики
в. они смотрят на мир шире, чем выПри чтении этого абзаца мне показалось, что у вас туннельное зрение, типичное для любых увлечённых людей. https://xkcd.com/538/
Вместо заключения: правильная архитектура СКУД
...и тут я затаил дыхание
Главное — разделить считыватель и управляющий модуль, перенеся логику принятия решений в защищенную зону.
Ну? децентрализация с избыточностью (и сложностью в поддержке) - или намернное создание уязвимости (single point of failure) ???
собирает данные и передает их на центральный сервер через защищенный канал. Сервер проверяет полученную информацию по базе и отправляет команду на открытие замка
Есть! вы выбрали уязвимость!!! Вы требуете признать правильной крайне опасную архитектуру.
Не удивительно: в туннеле вашего зрения единственная опасность, существующая в природе, это другой пентестер, который вам "поставит двойку".
А в реальности будет грубо и некрасиво, как тот ключ с XKCD
с этажа выше или с крыши проливается в серверную ведро воды, например через кондиционер
ваш "правильный" сервер дверей сгорает первым, или зависает, или...
в серверной в целом начинается пожар, и через полчаса распространяется на этаж в целом
люди, заметив пожар, пытаются выйти из кабинетов и убежать от опасности
люди не могут покинуть кабинеты, потому что СКУД правильная - то есть не открывает двери, пока кто-нибудь не привезет новый сервер
люди прыгают из окон с 10 этажа, насмерть, но это лучше чем гореть заживо
адвокаты пытаются вас в суде отмазать от убийства по неосторожности, которое вы по сути сделали навязав смертельно опасную архитектуру в качестве стандарта
Gekus
21.01.2025 09:44По пункту 5. В Парсеке контроллеры продолжают работу в штатном режиме, потому что все контроллеры хешируют информацию в "себе". Новые карты не завести - это факт. Но старые работают. И пожарную кнопку никто не отменял
Arioch
21.01.2025 09:44пожарная кнопка - это уже децентрализация, про которую я надеялся прочитать в статье, но... там её нет.
По "правильной" архитектуре ваша пожарная кнопка отправляет сигнал на One True сервер, который записывает его в журнал событий, туда же кладёт пару фотографий с камер наблюдения за этой кнопкой, и потом, если запись в журнал закончилась успехом, отправляет сигнал на открытие кнопки. И хорошо, если в промежутке ещё не бэкапит журнал в облако, ради надежности.
Всё остальное - "неправильная" СКУД, по тексту статьи если
Michio-sempaiq
21.01.2025 09:44Практически все архитектуры СКУД являются 2 уровневыми. Контроллер это управляющее устройство имеет некий уровень автономности, сервер для работы ему совершенно не нужен. Поэтому аварии на серверной в том числе долгая потеря связи с центральным сервером ни как не повлияет на работу самих контроллер.
Теперь о пожаре. СКУД, в отличии от пожарной системы не является обязательной системой. Поэтому там где СКУД ставить с огромной долью вероятности есть пожарная система. Так вот, на практически на любой замыкающей аппаратуре, будь то контроллер СКУД или обычный магнитный замок существуют контакты для подключения это самой пожарной сигнализации. Есть требование (документ не найду, но он гуглиться) который в вольном изложении звучит так: в случае возникновения пожара любые все точки доступа должны разблокироваться. Понятно что это не касается контроллеров которые управляют например сейфовыми замками, практиче везде это настраивается, но факт остается фактом. При наступлении пожара СКУД установленных хотя бы по минимальным требованиям не будет преграждать путь.
Rashak
21.01.2025 09:44Не статья а клоунада, биба и боба два дилетанта, начиная с того, что монтажная пластина обычно утоплена в корпус, чтобы умелые ручки ничего не подсунули и заканчивая тем, что проще замкнуть контакты замка напрямую просто сорвав подобное устройство. Про "бронестеклянную" дверь вообще молчу.
falcon4fun
21.01.2025 09:44Дополню от себя еще более простые приколы: порой противопожарные двери бывают установлены неправильно / или в двери есть лишний люфт. И собачку, что регулирует "засов" (тот, где нужно ли нажать на ручку, чтобы выйти или нет) можно поднять просто скрепкой. Проделывали такое в своем офисе, когда сдох скуд.
rsashka
А зачем вы так заморачивались, когда гораздо проще просто замыкать кнопку открытия двери, установленную с обратной стороны? И при этом вообще неважно, стоит на двери какой то блок распознавания лиц или нет. Правда в этом случае статья получилась бы менее интригующая.
vedmed007
Для этого надо попасть внутрь?
По фото - сдернули блок и скрепкой открыли, добавили магнит, чтобы во второй раз не возиться.
rsashka
Ну конечно сняли блок и поставили дополнительные провода, чтобы открывать скрепкой, без попадания во внутрь :-)
breakmirrors Автор
Цель эксперимента — показать архитектурные проблемы современных СКУД. Кнопку выхода можно замкнуть, это упоминается в статье как одна из проблем. Но это локальная проблема, которую можно решить грамотным монтажом.
Куда важнее то, что производители позиционируют биометрические терминалы как надежное решение "все-в-одном", при этом используя в них примитивную схему с прямым управлением замком. Нужен пересмотр подхода к разработке таких СКУД.
sp01
Обычно взлом таких "бабалаек" начинает через фото кого-то, кто может тут оказаться.
Был в нескольких учреждениях, где по фото руководителя организации или губернатора из Интернета радостно приветствовало и пускало.
Причем предупреждаешь. Говоришь: "у вас "человек" в здание не входил, а внутри ходит, не подозрительно ли?" Чаще всего всем фиолетово.