🥇Autonoomsete ligipääsukontrollisüsteemide probleemid – Seal, kus neid kõige vähem ootad

Tere päevast kõigile. Alustan taustast ja selgitan, mis ajendas mind seda uurimistööd läbi viima, aga kõigepealt üks hoiatus: kõik praktilised tegevused viidi läbi juhtorganite nõusolekul. Iga katse kasutada seda materjali keelatud aladele ilma loata sisenemiseks on kriminaalkuritegu.

Kõik algas sellest, kui lauda koristades panin kogemata oma RFID-võtme ACR122 NFC-lugerile. Kujutage ette minu üllatust, kui Windows mängis uue seadme tuvastamise heli ja LED-tuli roheliseks läks. Seni olin eeldanud, et need võtmed töötavad ainult Proximity standardiga.

Kuna lugeja seda aga nägi, tähendas see, et võti vastab ühele ISO 14443 standardile järgnevatest protokollidest (ehk lähiväljaside, 13,56 MHz). Puhastamine ununes kohe ära, sest nägin võimalust võtmehoidjast täielikult lahti saada ja sissepääsuvõti telefoni salvestada (korter on juba ammu varustatud elektroonilise lukuga). Pärast selle uurimist avastasin, et plastiku all oli peidus Mifare 1k NFC-silt – sama mudel, mida leidub ettevõtte märkidel, transpordikaartidel jne. Võtme sektoritele ligipääsu katsed olid esialgu ebaõnnestunud ja kui ma lõpuks võtme lahti murdsin, selgus, et kasutati ainult kolmandat sektorit ja see dubleeris kiibi UID-d. See tundus liiga lihtne ja osutuski nii, ning kui kõik oleks läinud täpselt plaanipäraselt, poleks seda artiklit. Nüüd on mul võtme sisu olemas ja pole probleeme, kui mul on vaja võtit teise identsesse kopeerida. Aga ülesanne oli võti mobiilseadmesse üle kanda, mida ma ka tegin. Siis see lõbu algas – meil on telefon – iPhone SE koos paigaldatud iOS 13.4.5 beetaversioon 17F5044d ja mõned kohandatud komponendid sujuva NFC-toimimise jaoks – ma ei hakka mitmel põhjusel üksikasjadesse laskuma. Kui soovite, siis kõik allpool käsitletu on rakendatav ka Androidile, ehkki mõningate lihtsustustega.

Lahendatavate ülesannete loend:

Juurdepääs põhisisule.
Rakendage seadme jaoks võtit emuleeriva võime.

Kuigi esimene oli suhteliselt lihtne, tekitas teine probleeme. Emulaatori esimene versioon ei töötanud. Probleem tuvastati kiiresti: emuleerimisrežiimis olevatel mobiilseadmetel (nii iOS kui ka Android) on dünaamiline UID, mis kõigub olenemata sellest, mis on pildil salvestatud. Teine versioon (töötab root-õigustega) lukustas seerianumbri valitud numbrile ja uks avanes. Tahtsin aga kõike ideaalselt teha ja lõpuks ehitasin emulaatorist täisversiooni, mis suutis avada Mifare'i prügimägesid ja neid emuleerida. Kapriisi ajel muutsin sektorivõtmed suvalisteks ja proovisin ust avada. Ja see... AVATUD! Mõne aja pärast sain aru, et nad avavad mistahes Selle lukuga uksed, isegi need, millele originaalvõti ei sobinud. Seda silmas pidades olen loonud uue ülesannete nimekirja:

Uurige välja, milline kontroller vastutab võtmetega töötamise eest
Võrguühenduse ja ühiskasutatava andmebaasi olemasolu kontrollimine
Uurige välja, miks praktiliselt loetamatu võti muutub universaalseks

Pärast haldusfirma inseneriga rääkimist sain teada, et nad kasutavad lihtsaid Iron Logic z5r kontrollereid ilma välise võrguühenduseta.

CP-Z2 MF lugeja ja IronLogic z5r kontroller
Mulle anti katseteks komplekt varustust:

Nagu sellest näha, on süsteem täiesti autonoomne ja äärmiselt primitiivne. Alguses arvasin, et kontroller on õppimisrežiimis – see tähendab, et see loeb võtit, salvestab selle mällu ja avab ukse. Seda režiimi kasutatakse siis, kui kõik võtmed on vaja salvestada, näiteks kortermaja luku vahetamisel. Kuid see teooria ei leidnud kinnitust – see režiim on tarkvara poolt keelatud, jumper on aktiivses asendis – ja ometi näeme seadet esitledes järgmist:

Seadme emuleerimisprotsessi ekraanipilt

...ja kontroller annab märku, et juurdepääs on lubatud.

Seega peitub probleem kas kontrolleri või lugeja tarkvaras. Kontrollime lugejat – see töötab iButton režiimis, seega ühendame Bolidi turvaplaadi – saame lugeja väljundit vaadata.

Hiljem ühendatakse plaat RS232 kaudu.

Mitme katse abil saame teada, et lugeja edastab autoriseerimise ebaõnnestumise korral sama koodi: 1219191919

Olukord hakkab selginema, aga ma ei saa praegu aru, miks kontroller sellele koodile positiivselt reageerib. Ma kahtlustan, et andmebaasi täitmisel – kas kogemata või tahtlikult – esitati kaardi abil erinevad sektorivõtmed, saatis lugeja selle koodi ja kontroller salvestas selle. Kahjuks pole mul kontrolleri võtmeandmebaasile juurdepääsuks spetsiaalset IronLogicu programmeerijat, aga loodan, et suutsin probleemile tähelepanu juhtida. Saadaval on videodemonstratsioon selle kohta, kuidas sellest haavatavusest mööda hiilida. по ссылке.

J.L. See, et ma suutsin sama meetodi abil Krasnojarski ärikeskuses ukse avada, räägib juhusliku liitmise teooria vastu.

Allikas: www.habr.com

Autonoomsete juurdepääsukontrollisüsteemide probleemid – seal, kus neid ei oodatud