🥇Autonomo piekļuves kontroles sistēmu problēmas — tur, kur jūs tās negaidījāt

Laba diena visiem. Sākšu ar priekšvēsturi par to, kas mani pamudināja veikt šo pētījumu, bet vispirms brīdinu: visas praktiskās darbības tika veiktas ar vadošo struktūru piekrišanu. Jebkurš mēģinājums izmantot šo materiālu, lai iekļūtu ierobežotā teritorijā bez tiesībām tur atrasties, ir noziedzīgs nodarījums.

Viss sākās ar to, ka, tīrot galdu, nejauši uzliku RFID ieejas atslēgu uz ACR122 NFC lasītāja – iedomājieties manu pārsteigumu, kad Windows atskaņoja jaunas ierīces noteikšanas skaņu un LED iedegās zaļā krāsā. Līdz šim brīdim es uzskatīju, ka šīs atslēgas darbojas tikai Proximity standartā.

Bet, tā kā lasītājs to redzēja, tas nozīmē, ka atslēga atbilst vienam no protokoliem papildus ISO 14443 standartam (pazīstams arī kā tuva lauka komunikācija, 13,56 MHz). Tīrīšana uzreiz aizmirsās, jo ieraudzīju iespēju pilnībā atbrīvoties no atslēgu komplekta un ieejas atslēgu paturēt telefonā (dzīvoklis jau sen ir aprīkots ar elektronisko slēdzeni). Uzsākot studijas, uzzināju, ka zem plastmasas ir paslēpts Mifare 1k NFC tags - tāds pats modelis kā uzņēmumu nozīmītēs, transporta kartēs utt. Mēģinājumi iekļūt sektoru saturā sākumā nenesa panākumus, un, beidzot uzlaužot atslēgu, izrādījās, ka izmantots tikai 3. sektors, un tajā dublēts pašas mikroshēmas UID. Izskatījās pārāk vienkārši, un tā arī izrādījās, un nebūtu neviena raksta, ja viss notiktu tieši tā, kā plānots. Tāpēc es saņēmu atslēgas daļiņas, un nav problēmu, ja jums ir jāpārkopē atslēga uz citu tādu pašu. Bet uzdevums bija pārsūtīt atslēgu uz mobilo ierīci, ko arī izdarīju. Šeit sākās jautrība - mums ir tālrunis - iPhone SE ar uzstādītu iOS 13.4.5 Beta build 17F5044d un daži pielāgoti komponenti NFC brīvai darbībai - dažu objektīvu iemeslu dēļ es par to sīkāk nekavēšos. Ja vēlaties, viss tālāk teiktais attiecas arī uz Android sistēmu, taču ar dažiem vienkāršojumiem.

Atrisināmo uzdevumu saraksts:

Piekļūstiet atslēgas saturam.
Ieviesiet ierīcē iespēju emulēt atslēgu.

Ja ar pirmo viss bija salīdzinoši vienkārši, tad ar otro bija problēmas. Pirmā emulatora versija nedarbojās. Problēma tika atklāta diezgan ātri - mobilajās ierīcēs (iOS vai Android) emulācijas režīmā UID ir dinamisks un neatkarīgi no tā, kas attēlā ir iestrādāts, tas peld. Otrajā versijā (palaist ar superlietotāja tiesībām) izvēlētajā stingri tika fiksēts sērijas numurs - durvis atvērās. Tomēr es gribēju visu izdarīt perfekti, un galu galā es izveidoju pilnu emulatora versiju, kas varētu atvērt Mifare izgāztuves un līdzināties tām. Padodoties pēkšņam impulsam, nomainīju sektora atslēgas pret patvaļīgām un mēģināju atvērt durvis. Un viņa… ATVĒRTS! Pēc kāda laika sapratu, ka tās atveras jebkurš durvis ar šo slēdzeni, pat tās, kurām oriģinālā atslēga nederēja. Šajā sakarā es izveidoju jaunu veicamo uzdevumu sarakstu:

Uzziniet, kāda veida kontrolieris ir atbildīgs par darbu ar atslēgām
Saprotiet, vai ir tīkla savienojums un kopīga bāze
Uzziniet, kāpēc praktiski nelasāma atslēga kļūst universāla

Pēc sarunas ar pārvaldības uzņēmuma inženieri uzzināju, ka vienkāršie Iron Logic z5r kontrolleri tiek izmantoti bez savienojuma ar ārēju tīklu.

CP-Z2 MF lasītājs un IronLogic z5r kontrolieris
Man tika dots aprīkojuma komplekts eksperimentiem:

Kā redzams šeit, sistēma ir pilnīgi autonoma un ārkārtīgi primitīva. Sākumā domāju, ka kontrolieris ir mācīšanās režīmā - tas nozīmē, ka tas nolasa atslēgu, saglabā to atmiņā un atver durvis - šis režīms tiek izmantots, ja nepieciešams ierakstīt visas atslēgas, piemēram, nomainot slēdzene daudzdzīvokļu mājā. Bet šī teorija netika apstiprināta - šis režīms ir izslēgts programmatūrā, džemperis ir darba stāvoklī - un tomēr, paceļot ierīci, mēs redzam sekojošo:

Ekrānuzņēmums ar emulācijas procesu ierīcē

... un kontrolieris signalizē, ka piekļuve ir piešķirta.

Tas nozīmē, ka problēma ir vai nu kontrollera, vai lasītāja programmatūrā. Pārbaudīsim lasītāju - tas darbojas iButton režīmā, tāpēc pievienosim Bolid drošības plati - varēsim apskatīt lasītāja izvaddatus.

Plate vēlāk tiks pievienota caur RS232

Izmantojot vairāku testu metodi, mēs noskaidrojam, ka lasītājs autorizācijas kļūmes gadījumā pārraida vienu un to pašu kodu ar: 1219191919

Situācija sāk kļūt skaidrāka, bet šobrīd man nav skaidrs, kāpēc kontrolieris uz šo kodu reaģē pozitīvi. Pastāv pieņēmums, ka tad, kad datubāze tika aizpildīta - nejauši vai ar nolūku tika uzrādīta karte ar citām sektoru atslēgām - lasītājs nosūtīja šo kodu un kontrolieris to saglabāja. Diemžēl man nav patentēta programmētāja no IronLogic, kas izpētītu kontroliera atslēgu datu bāzi, taču es ceru, ka varēju pievērst uzmanību faktam, ka problēma pastāv. Ir pieejams video demonstrācija darbam ar šo ievainojamību по ссылке.

PS Nejaušas pievienošanas teorijai pretojas fakts, ka vienā biznesa centrā Krasnojarskā arī man izdevās ar tādu pašu metodi atvērt durvis.

Avots: www.habr.com

Autonomo piekļuves kontroles sistēmu problēmas – kur tās nebija gaidāmas

Pievieno komentāru Atcelt atbildi