Masalah sistem kontrol akses otonom - Di mana mereka tidak mengharapkan

Hari baik untuk semua Saya akan mulai dengan latar belakang tentang apa yang mendorong saya untuk melakukan penelitian ini, tetapi pertama-tama saya akan memperingatkan Anda: semua tindakan praktis dilakukan dengan persetujuan dari struktur pemerintahan. Setiap upaya untuk menggunakan materi ini untuk memasuki wilayah tertutup tanpa hak untuk ada pelanggaran pidana.

Semuanya dimulai dengan fakta bahwa ketika saya sedang membersihkan meja, saya tidak sengaja meletakkan kunci RFID ke pintu masuk ke pembaca NFC-ACR122 - apa yang mengejutkan saya ketika Windows mereproduksi suara mendeteksi perangkat baru, dan LED berubah hijau. Sampai sekarang, saya percaya bahwa kunci-kunci ini bekerja secara eksklusif dalam standar Proximity.

Tetapi begitu pembaca melihatnya, itu berarti kunci memenuhi salah satu protokol di atas standar ISO 14443 (Ini adalah Near Field Communication, 13,56 MHz). Pembersihan segera dilupakan, karena saya melihat kesempatan untuk benar-benar menyingkirkan gantungan kunci, dan menyimpan kunci ke pintu masuk ke telepon (apartemen telah lama dilengkapi dengan kunci elektronik). Menabur untuk belajar, saya menemukan bahwa di bawah plastik adalah tag NFC Mifare 1k - model yang sama seperti pada lencana, lencana perusahaan, kartu transportasi, dll. Upaya untuk masuk ke konten sektor pada awalnya tidak membawa kesuksesan, tetapi ketika kunci masih bisa di-crack, ternyata hanya sektor ke-3 yang digunakan, dan UID chip itu sendiri digandakan di dalamnya. Itu terlihat terlalu sederhana, dan ternyata dan tidak akan ada artikel jika semuanya berjalan persis seperti yang dimaksudkan. Jadi saya mendapat jeroan kunci, dan tidak ada masalah,jika Anda perlu menyalin kunci ke yang lain. Tetapi tugasnya adalah mentransfer kunci ke perangkat seluler, yang saya lakukan. Di sinilah kesenangan dimulai - kami memiliki telepon -iPhone SE dengan iOS 13.4.5 Beta build 17F5044d diinstal dan beberapa komponen khusus untuk kerja NFC gratis - saya tidak akan memikirkan ini karena beberapa alasan obyektif. Jika diinginkan, semua hal berikut ini berlaku untuk sistem Android, tetapi dengan beberapa penyederhanaan.

Daftar tugas yang harus diselesaikan:

• Dapatkan akses ke konten kunci.
• Menerapkan kemampuan untuk meniru perangkat utama.

Jika yang pertama relatif sederhana, maka yang kedua memiliki masalah. Versi pertama dari emulator tidak berfungsi. Masalahnya dengan cepat terdeteksi - untuk perangkat seluler (iOS, Android) dalam mode emulasi - UID dinamis dan terlepas dari apa yang ditransfer dalam gambar, itu mengapung. Versi kedua (dijalankan sebagai superuser) dengan kaku memperbaiki nomor seri pada yang dipilih - pintu terbuka. Namun, saya ingin melakukan semuanya dengan sempurna, dan pada akhirnya saya mengumpulkan versi lengkap dari emulator yang dapat membuka dump Mifare dan meniru mereka. Menghasilkan dorongan tiba-tiba, saya mengubah kunci sektor menjadi sewenang-wenang, dan mencoba membuka pintu. Dan dia ... DIBUKA! Setelah beberapa saat, aku menyadari bahwa setiappintu dengan kunci ini, bahkan yang tidak cocok dengan kunci aslinya. Dalam hal ini, saya membentuk daftar tugas baru untuk dilakukan:

• Cari tahu pengendali apa yang bertanggung jawab untuk bekerja dengan kunci
• Pahami jika ada koneksi jaringan dan pangkalan bersama
• Cari tahu mengapa kunci yang hampir tidak terbaca menjadi universal

Setelah berbicara dengan insinyur dari perusahaan manajemen, saya menemukan bahwa pengontrol Z5R Iron Logic sederhana digunakan tanpa menghubungkan ke jaringan eksternal.

Pembaca CP-Z2 MF dan pengontrol IronLogic z5r

:

Seperti yang jelas dari sini - sistem ini sepenuhnya otonom dan sangat primitif. Pada awalnya saya berpikir bahwa controller dalam mode pembelajaran - artinya adalah membaca kunci, menyimpannya di memori dan membuka pintu - mode ini digunakan ketika Anda perlu merekam semua kunci, misalnya, ketika mengganti kunci di gedung apartemen. Tetapi teori ini belum dikonfirmasi - mode ini dimatikan oleh perangkat lunak, jumper berada dalam posisi bekerja - dan meskipun demikian, ketika kita membawa perangkat ke atas, kita melihat yang berikut:

Cuplikan layar dari proses emulasi pada perangkat

… .

Jadi masalahnya terletak pada perangkat lunak pengendali atau pembaca. Mari kita periksa pembaca - berfungsi dalam mode iButton, jadi kita akan menghubungkan papan keamanan Bolid - kita akan memiliki kesempatan untuk melihat output dari pembaca.

Papan nantinya akan terhubung melalui RS232

Menggunakan metode beberapa tes, kami menemukan bahwa pembaca menyiarkan kode yang sama dengan dalam kasus kegagalan otorisasi: 1219191919

Situasi mulai membaik , tetapi saat ini saya tidak mengerti mengapa controller merespons positif kode ini. Ada asumsi - bahwa ketika mereka mengisi pangkalan - secara tidak sengaja atau secara khusus membawa kartu dengan kunci sektor lainnya - pembaca mengirim kode ini dan pengontrol menyimpannya. Sayangnya, saya tidak memiliki programmer berpemilik dari IronLogic untuk melihat ke dalam database kunci controller, tapi saya harap saya berhasil menarik perhatian pada kenyataan bahwa masalahnya ada. Demonstrasi video untuk bekerja dengan kerentanan ini tersedia di sini .

PS Melawan teori dengan penambahan acak adalah kenyataan bahwa di pusat bisnis yang sama di Krasnoyarsk saya juga berhasil membuka pintu dengan metode yang sama.