Γεια σας, με λένε Andrey και είμαι υπάλληλος μιας από τις μεγαλύτερες εταιρείες διαχείρισης στη χώρα. Φαίνεται, τι μπορεί να πει ένας υπάλληλος στο Habré; Εκμεταλλευτείτε τα κτίρια που έχτισε ο κύριος του έργου και τίποτα ενδιαφέρον, αλλά δεν είναι έτσι.
Η εταιρεία διαχείρισης έχει μια σημαντική και υπεύθυνη λειτουργία στο ρόλο της κατασκευής ενός σπιτιού - αυτή είναι η ανάπτυξη τεχνικών προδιαγραφών για την κατασκευή. Είναι η εταιρεία διαχείρισης που προτείνει τις απαιτήσεις που θα πληροί το ολοκληρωμένο, ενσωματωμένο σύστημα ελέγχου πρόσβασης.
Σε αυτό το άρθρο θα ήθελα να συζητήσω το θέμα της δημιουργίας τεχνικών συνθηκών εντός των οποίων χτίζεται ένα σπίτι με σύστημα ελέγχου πρόσβασης που χρησιμοποιεί τεχνολογία Mifare Plus σε επίπεδο ασφάλειας SL3 με κρυπτογράφηση τομέα με κλειδί ασφαλείας που ούτε ο προγραμματιστής ούτε ο ανάδοχος , ούτε ο υπεργολάβος γνωρίζει.
Και ένα από τα παγκόσμια δεν είναι καθόλου προφανές με την πρώτη ματιά - πώς να αποτρέψετε τη διαρροή του κωδικού κρυπτογράφησης που επιλέχθηκε για την κρυπτογράφηση των καρτών Mifare Plus εντός της πραγματικής ενσωματωμένης ιεραρχίας κατασκευαστών, εργολάβων, πωλητών και άλλων υπεύθυνων προσώπων που εργάζονται με τον έλεγχο πρόσβασης σύστημα μιας κατοικίας στο στάδιο από την έναρξη της κατασκευής της έως τη λειτουργία της κατά την περίοδο μετά την εγγύηση.
Οι κύριες τεχνολογίες των ανέπαφων καρτών σήμερα:
- EM Marine (StandProx, ANGstrem, SlimProx, MiniTag) 125 KHz
- Mifare από NXP (Classic, Plus, UltraLight, DESfire) (Mifare 1k, 4k) 13,56 MHz
- Κατασκευαστής HID HID Corporation (ProxCard II, ISOProx-II, ProxKey II) 125 KHz
- iCLASS και iCLASS SE (κατασκευή HID Corporation,) 13,56 MHz
- Indala (Motorolla), Nedap, Farpointe, Kantech, UHF (860-960 MHz)
Πολλά έχουν αλλάξει από την εποχή της χρήσης του Em-Marine στα συστήματα ελέγχου πρόσβασης και πρόσφατα αλλάξαμε από τη μορφή Mifare Classic SL1 στη μορφή κρυπτογράφησης Mifare Plus SL3.
Το Mifare Plus SL3 χρησιμοποιεί κρυπτογράφηση ιδιωτικού τομέα με μυστικό κλειδί 16 byte σε μορφή AES. Για τους σκοπούς αυτούς, χρησιμοποιείται ο τύπος τσιπ Mifare Plus.
Η μετάβαση έγινε λόγω της παρουσίας γνωστών τρωτών σημείων στη μορφή κρυπτογράφησης SL1. Και συγκεκριμένα:
Η κρυπτογραφία της κάρτας έχει ερευνηθεί καλά. Βρέθηκε μια ευπάθεια στην υλοποίηση της γεννήτριας ψευδοτυχαίων αριθμών της κάρτας (PRNG) και μια ευπάθεια στον αλγόριθμο CRYPTO1. Στην πράξη, αυτά τα τρωτά σημεία χρησιμοποιούνται στις ακόλουθες επιθέσεις:
- Σκοτεινή πλευρά - η επίθεση εκμεταλλεύεται την ευπάθεια PRNG. Λειτουργεί σε κάρτες MIFARE Classic γενιάς έως και EV1 (στο EV1 η ευπάθεια PRNG έχει ήδη διορθωθεί). Για να επιτεθείτε, χρειάζεστε μόνο μια κάρτα, δεν χρειάζεται να γνωρίζετε τα κλειδιά.
- Ένθετο - η επίθεση εκμεταλλεύεται την ευπάθεια CRYPTO1. Η επίθεση πραγματοποιείται σε δευτερεύουσες εξουσιοδοτήσεις, επομένως για την επίθεση πρέπει να γνωρίζετε ένα έγκυρο κλειδί κάρτας. Στην πράξη, για τον μηδενικό τομέα χρησιμοποιούν συχνά τυπικά κλειδιά για την εργασία MAD - από εκεί ξεκινούν. Λειτουργεί για όλες τις κάρτες που βασίζονται στο CRYPTO1 (MIFARE Classic και την εξομοίωση του). Η επίθεση καταδεικνύεται στο άρθρο σχετικά με την ευπάθεια της κάρτας Podorozhnik
- Επίθεση υποκλοπής επικοινωνίας – η επίθεση εκμεταλλεύεται την ευπάθεια CRYPTO1. Για να επιτεθείτε, πρέπει να κρυφακούσετε την κύρια εξουσιοδότηση μεταξύ του αναγνώστη και της κάρτας. Αυτό απαιτεί ειδικό εξοπλισμό. Λειτουργεί για όλες τις κάρτες που βασίζονται στο CRYPTO1 (MIFARE Classic και την εξομοίωση του.
Έτσι: η κρυπτογράφηση των καρτών στο εργοστάσιο είναι το πρώτο σημείο όπου χρησιμοποιείται ο κωδικός, η δεύτερη πλευρά είναι ο αναγνώστης. Και δεν εμπιστευόμαστε πλέον τους κατασκευαστές αναγνωστών με τον κωδικό κρυπτογράφησης απλώς και μόνο επειδή δεν ενδιαφέρονται για αυτόν.
Κάθε κατασκευαστής έχει εργαλεία για την εισαγωγή του κώδικα στον αναγνώστη. Όμως, αυτή τη στιγμή προκύπτει το πρόβλημα της αποτροπής διαρροής κώδικα σε τρίτους με τη μορφή εργολάβων και υπεργολάβων για την κατασκευή ενός συστήματος ελέγχου πρόσβασης. Εισαγάγετε τον κωδικό αυτοπροσώπως;
Υπάρχουν δυσκολίες εδώ, καθώς η γεωγραφία των κατοικιών που χρησιμοποιούνται αντιπροσωπεύεται σε διάφορες περιοχές της Ρωσίας, πολύ πέρα από τα σύνορα της Περιφέρειας της Μόσχας.
Και όλα αυτά τα σπίτια είναι χτισμένα με τα ίδια πρότυπα, χρησιμοποιώντας απολύτως τον ίδιο εξοπλισμό.
Αναλύοντας την αγορά για συσκευές ανάγνωσης καρτών Mifare, δεν μπόρεσα να βρω μεγάλο αριθμό εταιρειών που λειτουργούν με σύγχρονα πρότυπα που παρέχουν προστασία από την αντιγραφή καρτών.
Σήμερα, οι περισσότεροι OEM λειτουργούν σε λειτουργία ανάγνωσης UID, η οποία μπορεί να αντιγραφεί από οποιοδήποτε σύγχρονο κινητό τηλέφωνο εξοπλισμένο με NFC.
Ορισμένοι κατασκευαστές υποστηρίζουν ένα πιο σύγχρονο σύστημα ασφαλείας SL1, το οποίο είχε ήδη παραβιαστεί το 2008.
Και μόνο λίγοι κατασκευαστές επιδεικνύουν τις καλύτερες τεχνολογικές λύσεις όσον αφορά την αναλογία τιμής/ποιότητας για εργασία με την τεχνολογία Mifare σε λειτουργία SL3, η οποία διασφαλίζει την αδυναμία αντιγραφής μιας κάρτας και δημιουργίας του κλώνου της.
Το βασικό πλεονέκτημα του SL3 σε αυτήν την ιστορία είναι η αδυναμία αντιγραφής κλειδιών. Τέτοια τεχνολογία δεν υπάρχει σήμερα.
Θα σας πω ξεχωριστά για τους κινδύνους από τη χρήση αντιγραφής καρτών με κυκλοφορία άνω των 200 αντιτύπων.
- Κίνδυνοι από την πλευρά των κατοίκων - με την εμπιστοσύνη στον «κύριο» να δημιουργήσει ένα αντίγραφο του κλειδιού, η απόρριψη του κλειδιού του κατοίκου καταλήγει στη βάση δεδομένων του και ο «κύριος» έχει την ευκαιρία να πάει στην είσοδο, ακόμη και να χρησιμοποιήσει πάρκινγκ ή θέση στάθμευσης του κατοίκου.
- Εμπορικοί κίνδυνοι: με κόστος λιανικής κάρτας 300 ρούβλια, η απώλεια της αγοράς για την πώληση πρόσθετων καρτών δεν είναι μικρή απώλεια. Ακόμα κι αν ένας "κύριος" για την αντιγραφή κλειδιών εμφανιστεί σε μία οθόνη LCD, οι απώλειες της εταιρείας μπορεί να ανέλθουν σε εκατοντάδες χιλιάδες και εκατομμύρια ρούβλια.
- Τελευταίο αλλά εξίσου σημαντικό, αισθητικές ιδιότητες: απολύτως όλα τα αντίγραφα γίνονται σε κενά χαμηλής ποιότητας. Νομίζω ότι πολλοί από εσάς γνωρίζετε την ποιότητα του πρωτότυπου.
Εν κατακλείδι, θέλω να πω ότι μόνο μια βαθιά ανάλυση της αγοράς εξοπλισμού και των ανταγωνιστών μας επιτρέπει να δημιουργήσουμε σύγχρονα και ασφαλή συστήματα ACS που ανταποκρίνονται στις απαιτήσεις του 2019, επειδή το σύστημα ACS σε μια πολυκατοικία είναι το μόνο χαμηλό τρέχον σύστημα που αντιμετωπίζει ένας κάτοικος πολλές φορές την ημέρα.
Πηγή: www.habr.com