СКУД глазами хакера. Атакуем системы контроля доступа на основе RFID

Содержание статьи

• Как устроен EM4100?
• Векторы атак на СКУД с EM410X
• Копирование оригинального пропуска
• Генерация новых UID на основе существующих
• Брутфорс значений идентификаторов
• Пара слов о считывателях
• Компрометация за одно фото
• Методы защиты

Взлом элек­трон­ных тур­никетов на вхо­де в зда­ние — завет­ный хакер­ский флекс, который так любят показы­вать в кино. В этой статье я рас­ска­жу о сис­темах уда­лен­ного кон­тро­ля дос­тупа (СКУД) на осно­ве RFID, и мы вмес­те раз­берем­ся, нас­коль­ко прос­то под­делать самый рас­простра­нен­ный иден­тифика­тор EM4100.

Термины

• СКУД (англ. PACS) — ком­плекс обо­рудо­вания, пред­назна­чен­ный для огра­ниче­ния дос­тупа на охра­няемом объ­екте. Минималь­ная кон­фигура­ция такой сис­темы — это бу­хой вах­тер элек­трон­ный замок на осно­ве RFID.
• RFID — спо­соб авто­мати­чес­кой иден­тифика­ции объ­ектов с помощью ради­осиг­налов, хра­нящих­ся на тран­спон­дерах (RFID-мет­ках).
• RFID-мет­ка — сбор­ное устрой­ство для хра­нения информа­ции, сос­тоящее из интеграль­ной схе­мы (чипа) для выпол­нения опе­раций с сиг­налом и информа­цией, антенны для переда­чи и при­ема сиг­нала и, опци­ональ­но, батареи питания (не рас­простра­нено в пов­седнев­ном при­мене­нии — дорого и избы­точ­но).

Бо­лее под­робную информа­цию о RFID мож­но най­ти в Википе­дии.

EM410X — край­не популяр­ная модель­ная линей­ка иден­тифика­торов, раз­работан­ная ком­пани­ей EM Microelectronics. В пов­седнев­ной жиз­ни они при­меня­ются самыми раз­ными спо­соба­ми: от исполь­зования в СКУД государс­твен­ных (и не толь­ко) учрежде­ний до мар­киров­ки и уче­та живот­ных.

Сю­да вхо­дят чипы с иден­тифика­тора­ми EM4100, EM4102, EM4105 и EM4200, которые раз­лича­ются объ­емом памяти (от 64 до 128 бит) и областью при­мене­ния.

Фор­маль­но все эти иден­тифика­торы работа­ют на час­тоте 125 кГц, одна­ко могут исполь­зовать диапа­зон час­тот, ука­зан­ный в таб­лице выше.

На­ибо­лее широко исполь­зуют­ся (и прос­ты в понима­нии) иден­тифика­торы EM4100, поэто­му мы оста­новим­ся имен­но на них.

Как устроен EM4100?

Струк­тура дан­ных в иден­тифика­торе EM4100 выг­лядит сле­дующим обра­зом.

Са­мая важ­ная для нас в этой схе­ме груп­па из голубых и синих битов, которые вмес­те сос­тавля­ют 5 байт (40 бит) и слу­жат уни­каль­ным иден­тифика­цион­ным кодом RFID-мет­ки.

На этом теоре­тичес­кая часть окон­чена. Давай пос­мотрим, как выг­лядят ата­ки на подоб­ные сис­темы.

Векторы атак на СКУД с EM410X

Ни в одной из вари­аций у EM410X нет крип­тогра­фии или какого‑то дру­гого спо­соба защиты. Поэто­му все век­торы атак, которые мне уда­лось обна­ружить, свя­заны либо с прин­ципи­аль­ными недос­татка­ми самих иден­тифика­торов, либо с их небезо­пас­ной экс­плу­ата­цией.

В качес­тве цели ата­ки давай рас­смот­рим авто­ном­ную (не интегри­рован­ную с про­чими сис­темами) СКУД с бес­контак­тны­ми счи­тыва­теля­ми. Это самый прос­той вари­ант для понима­ния и вос­про­изве­дения ата­ки.

Итак, наша цель — получе­ние как минимум одно­го пос­тоян­ного физичес­кого дос­тупа в помеще­ние, вход в которое огра­ничен с исполь­зовани­ем этой тех­нологии.

Копирование оригинального пропуска

Пос­коль­ку EM410X не исполь­зует никакой защиты переда­ваемых дан­ных, их копиро­вание не пред­став­ляет ни малей­шей слож­ности.

Я не буду здесь рас­смат­ривать получе­ние валид­ного про­пус­ка для копиро­вания, как и сам про­цесс соз­дания кло­на. Все это может силь­но раз­личать­ся в кон­крет­ных слу­чаях. Осо­бо любопытс­тву­ющим могу пореко­мен­довать гай­ды от Lab401 и Dangerous Things.

Од­нако это слиш­ком прос­то, не прав­да ли? Как нас­чет того, что­бы нем­ного рас­ширить количес­тво дос­тупных нам валид­ных про­пус­ков без получе­ния их ори­гиналь­ных физичес­ких копий?

Генерация новых UID на основе существующих

Пред­ста­вим, что у нас есть абс­трак­тная орга­низа­ция, СКУД в которой исполь­зует иден­тифика­торы EM4100. Ста­нет ли она закупать каж­дый из них по отдель­нос­ти?

Источник: xakep.ru