Dobar dan svima. Počeću od pozadine o tome šta me je navelo da sprovedem ovo istraživanje, ali prvo ću vas upozoriti: sve praktične radnje sprovedene su uz saglasnost vladajućih struktura. Svaki pokušaj korištenja ovog materijala za ulazak u zabranjeno područje bez prava da se tamo nalazi je krivično djelo.
Sve je počelo kada sam, dok sam čistio sto, slučajno stavio RFID ulazni ključ na ACR122 NFC čitač - zamislite moje iznenađenje kada je Windows pustio zvuk detekcije novog uređaja i LED dioda se upalila zeleno. Do ovog trenutka sam vjerovao da ovi ključevi rade isključivo u Proximity standardu.
Ali pošto ga je čitalac video, to znači da ključ ispunjava jedan od protokola na vrhu ISO 14443 standarda (poznatog kao Near Field Communication, 13,56 MHz). Čišćenje je odmah zaboravljeno, jer sam vidio priliku da se komplet ključeva potpuno riješim i ključ od ulaza zadržim u svom telefonu (stan je odavno opremljen elektronskom bravom). Počevši da proučavam, otkrio sam da se ispod plastike krije Mifare 1k NFC tag - isti model kao kod bedževa preduzeća, transportnih kartica itd. Pokušaji ulaska u sadržaj sektora isprva nisu donijeli uspjeha, a kada je ključ konačno razbijen, ispostavilo se da je korišten samo 3. sektor, a u njemu je dupliran UID samog čipa. Izgledalo je prejednostavno, a ispostavilo se da je tako, i ne bi bilo članka da je sve išlo točno kako je planirano. Tako da sam dobio utrobu ključa, i nema problema ako trebaš kopirati ključ na drugi iste vrste. Ali zadatak je bio prebaciti ključ na mobilni uređaj, što sam i učinio. Ovdje je počela zabava - imamo telefon - iPhone SE sa instaliranim iOS 13.4.5 Beta verzija 17F5044d i neke prilagođene komponente za slobodan rad NFC-a - neću se detaljnije zadržavati na tome iz nekih objektivnih razloga. Po želji, sve navedeno u nastavku važi i za Android sistem, ali uz neka pojednostavljenja.
Lista zadataka za rješavanje:
- Pristupite sadržaju ključa.
- Implementirajte mogućnost emulacije ključa od strane uređaja.
Ako je s prvim sve bilo relativno jednostavno, onda je s drugim bilo problema. Prva verzija emulatora nije radila. Problem je otkriven prilično brzo - na mobilnim uređajima (bilo iOS ili Android) u režimu emulacije, UID je dinamičan i, bez obzira na to što je ugrađeno u sliku, lebdi. Druga verzija (pokrenuta s pravima superkorisnika) čvrsto je fiksirala serijski broj na odabranom - vrata su se otvorila. Međutim, htio sam sve napraviti savršeno i na kraju sam sastavio kompletnu verziju emulatora koji bi mogao otvoriti Mifare dumpove i oponašati ih. Prepustivši se iznenadnom impulsu, promijenio sam sektorske ključeve u proizvoljne i pokušao otvoriti vrata. A ona… OTVOREN! Nakon nekog vremena shvatio sam da se otvaraju bilo koji vrata sa ovom bravom, čak i ona na koja originalni ključ nije stajao. S tim u vezi, napravio sam novu listu zadataka koje treba izvršiti:
- Saznajte kakav je kontroler odgovoran za rad s ključevima
- Razumjeti postoji li mrežna veza i zajednička baza
- Saznajte zašto gotovo nečitljiv ključ postaje univerzalan
Nakon razgovora sa inženjerom u kompaniji za upravljanje, saznao sam da se jednostavni Iron Logic z5r kontroleri koriste bez povezivanja na eksternu mrežu.
CP-Z2 MF čitač i IronLogic z5r kontroler
Dobio sam komplet opreme za eksperimente:
Kao što je jasno odavde, sistem je potpuno autonoman i krajnje primitivan. Prvo sam mislio da je kontroler u modu učenja - znači da čita ključ, pohranjuje ga u memoriju i otvara vrata - ovaj način se koristi kada je potrebno snimiti sve ključeve, na primjer, prilikom zamjene brava u stambenoj zgradi. Ali ova teorija nije potvrđena - ovaj način rada je softverski isključen, kratkospojnik je u radnom položaju - a ipak, kada podignemo uređaj, vidimo sljedeće:
Snimak ekrana procesa emulacije na uređaju
... i kontroler signalizira da je pristup odobren.
To znači da problem leži u softveru bilo kontrolera ili čitača. Provjerimo čitač - radi u iButton modu, pa spojimo sigurnosnu ploču Bolid - moći ćemo vidjeti izlazne podatke iz čitača.
Ploča će se kasnije povezati preko RS232
Metodom višestrukih testova saznajemo da čitač emituje isti kod u slučaju neuspjeha autorizacije: 1219191919
Situacija počinje da postaje jasnija, ali trenutno mi nije jasno zašto kontrolor pozitivno reaguje na ovaj kod. Postoji pretpostavka da je prilikom popunjavanja baze podataka - slučajno ili namjerno prikazana kartica sa drugim sektorskim ključevima - čitač poslao ovaj kod, a kontroler ga je sačuvao. Nažalost, nemam vlasničkog programera iz IronLogic-a koji bi pregledao bazu podataka ključeva kontrolera, ali se nadam da sam uspio skrenuti pažnju na činjenicu da problem postoji. Dostupna je video demonstracija rada sa ovom ranjivošću .
PS Teoriji slučajnog sabiranja suprotstavlja se činjenica da sam u jednom poslovnom centru u Krasnojarsku takođe uspeo da otvorim vrata istom metodom.
izvor: www.habr.com