Bonan tagon al ĉiuj. Mi komencos per la fono pri tio, kio instigis min fari ĉi tiun esploradon, sed unue mi avertos vin: ĉiuj praktikaj agoj estis faritaj kun la konsento de la regantaj strukturoj. Ĉiu provo uzi ĉi tiun materialon por eniri restriktitan areon sen la rajto esti tie estas krima delikto.
Ĉio komenciĝis kiam, purigante la tablon, mi hazarde metis la RFID-enirŝlosilon sur la ACR122 NFC-legilon - imagu mian surprizon kiam Vindozo ludis la sonon de detektado de nova aparato kaj la LED fariĝis verda. Ĝis ĉi tiu momento, mi kredis, ke ĉi tiuj klavoj funkcias ekskluzive en la Proksimeca normo.
Sed ĉar la leganto vidis ĝin, tio signifas, ke la ŝlosilo renkontas unu el la protokoloj aldone al la normo ISO 14443 (alinome Near Field Communication, 13,56 MHz). Tuj oni forgesis purigadon, ĉar mi vidis okazon tute forigi la ŝlosilon kaj konservi la ŝlosilon de la enirejo en mia telefono (la apartamento estas delonge ekipita per elektronika seruro). Komencinte studi, mi eksciis, ke kaŝita sub la plasto estas etikedo Mifare 1k NFC - la sama modelo kiel en entreprenaj insignoj, transportkartoj ktp. Provoj eniri la enhavon de la sektoroj unue ne alportis sukceson, kaj kiam la ŝlosilo estis finfine fendita, montriĝis, ke nur la 3-a sektoro estis uzata, kaj la UID de la blato mem estis duobligita en ĝi. Ĝi aspektis tro simpla, kaj montriĝis tiel, kaj ne estus artikolo, se ĉio iros ĝuste kiel planite. Do mi ricevis la gibelojn de la ŝlosilo, kaj ne estas problemoj se vi bezonas kopii la ŝlosilon al alia samspeca. Sed la tasko estis transdoni la ŝlosilon al poŝtelefono, kion mi faris. Ĉi tie komenciĝis la amuzo - ni havas telefonon - iPhone SE kun establita iOS 13.4.5 Beta-konstruo 17F5044d kaj iuj kutimaj komponantoj por libera funkciado de NFC - mi ne detale detale pri tio pro iuj objektivaj kialoj. Se vi deziras, ĉio dirita sube validas ankaŭ por la Android-sistemo, sed kun iuj simpligoj.
Listo de taskoj por solvi:
- Aliru la enhavon de la ŝlosilo.
- Efektivigu la kapablon imiti ŝlosilon per la aparato.
Se ĉe la unua ĉio estis relative simpla, tiam ĉe la dua estis problemoj. La unua versio de la emulilo ne funkciis. La problemo estis malkovrita sufiĉe rapide - sur porteblaj aparatoj (ĉu iOS aŭ Android) en emula reĝimo, la UID estas dinamika kaj, sendepende de tio, kio estas fiksita en la bildo, ĝi flosas. La dua versio (kurita kun superuzantrajtoj) rigide fiksis la serian numeron sur la elektita - la pordo malfermiĝis. Tamen, mi volis fari ĉion perfekte, kaj finis kunmeti kompletan version de la emulilo, kiu povus malfermi Mifare-rubejojn kaj kopii ilin. Cedante al subita impulso, mi ŝanĝis la sektorajn ŝlosilojn al arbitraj kaj provis malfermi la pordon. Kaj ŝi… Malfermite! Post iom da tempo mi konstatis, ke ili malfermiĝas ajna pordoj kun ĉi tiu seruro, eĉ tiuj, al kiuj la originala ŝlosilo ne konvenis. Ĉi-rilate, mi kreis novan liston de taskoj por plenumi:
- Eksciu kia regilo respondecas pri laboro kun ŝlosiloj
- Komprenu ĉu ekzistas retkonekto kaj komuna bazo
- Eksciu kial preskaŭ nelegebla ŝlosilo fariĝas universala
Parolinte kun inĝeniero ĉe la administra kompanio, mi eksciis, ke simplaj regiloj Iron Logic z5r estas uzataj sen konektiĝi al ekstera reto.
CP-Z2 MF-legilo kaj IronLogic z5r-regilo
Mi ricevis aron da ekipaĵo por la eksperimentoj:
Kiel estas klare de ĉi tie, la sistemo estas tute aŭtonoma kaj ekstreme primitiva. Komence mi pensis, ke la regilo estas en lerna reĝimo - la signifo estas, ke ĝi legas la ŝlosilon, konservas ĝin en memoro kaj malfermas la pordon - ĉi tiu reĝimo estas uzata kiam necesas registri ĉiujn ŝlosilojn, ekzemple, kiam oni anstataŭigas la ŝlosilojn. ŝlosi en etaĝkonstruaĵo. Sed ĉi tiu teorio ne estis konfirmita - ĉi tiu reĝimo estas malŝaltita en programaro, la jumper estas en la laborpozicio - kaj tamen, kiam ni alportas la aparaton, ni vidas la jenon:
Ekrankopio de la emuladprocezo sur la aparato
... kaj la regilo signalas ke aliro estis koncedita.
Ĉi tio signifas, ke la problemo kuŝas en la programaro de aŭ la regilo aŭ la leganto. Ni kontrolu la leganton - ĝi funkcias en iButton-reĝimo, do ni konektu la sekurectabulo Bolid - ni povos vidi la eligajn datumojn de la leganto.
La tabulo poste estos konektita per RS232
Uzante la metodon de multoblaj testoj, ni ekscias, ke la leganto dissendas la saman kodon kun en kazo de malsukceso de rajtigo: 1219191919
La situacio komencas fariĝi pli klara, sed nuntempe ne estas klare al mi kial la regilo respondas pozitive al ĉi tiu kodo. Estas supozo, ke kiam la datumbazo estis plenigita - hazarde aŭ intence estis prezentita karto kun aliaj sektoraj ŝlosiloj - la leganto sendis ĉi tiun kodon kaj la regilo konservis ĝin. Bedaŭrinde, mi ne havas proprietan programiston de IronLogic por rigardi en la regilo-ŝlosildatumbazon, sed mi esperas, ke mi povis atentigi la fakton, ke la problemo ekzistas. Filma pruvo pri laboro kun ĉi tiu vundebleco estas disponebla .
PS Al la hazarda aldona teorio kontraŭas la fakto, ke en unu komerca centro en Krasnojarsk mi ankaŭ sukcesis malfermi la pordon per la sama metodo.
fonto: www.habr.com