[Информационная безопасность] Как ходить к соседям без звонков в домофон
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В одном из новых районов Москвы в домах установлены IP домофоны от Rubetek с возможностью открывать двери из приложения.
3 февраля в своем телеграмм канале @blog_ruporsecurite Валерий Комаров опубликовал опрос, является ли IP телефония АСУ. Опрос был достаточно жарким и касался больше пробелов в законодательстве.24 февраля в своем же блоке Валерий поднял вопрос, является ли IP телефония объектом КИИ. Слежу за его лентой, но этот вопрос меня поставил в тупик, поэтому без комментариев. Думал, это мало кого касается.В Москве у каждого нового жилого комплекса имеется закрытый чат, где присутствуют только собственники. Ну, так принято считать. Так произошло и в этом ЖК Грин Парк. Не буду говорить про его прелести, но собственниками являются театралы, судьи, телевизионщики, ИТишники из различных сфер, предприниматели и целые семьи тех, кто хоть как-то причастен к застройщику. Думаю, выбор очевиден - здесь красиво, безопасно. У каждого блока (несколько объединенных корпусов) имеется свой собственный закрытый двор, где дети могут свободно играть, а главное безопасно.Я тоже так думал до того времени, пока в чате блока не решили свергнуть управляющую организацию и не на шутку стали всячески пытаться очернить одних, но при этом выставить в свете других. Но это статья не про политику, но именно она подтолкнула меня на написание данной статьи.Один из собственников написал, а как же действующая УК отдаст рабочие системы и сможем ли самостоятельно на время перехода обслуживать? Этот вопрос остро встает в момент смены УК или самостоятельного управления (ТСЖ).А все ли так безопасно, как кажется? С этой мыслью я пошел на сайт производителя за инструкцией к домофону. В Грин Парке стоят вот такие панели:
Rubetek-3438На сайте производителя имеетсяРуководство по эксплуатации.В первую очередь интересует аутсайдер, во вторую - инсайдер.Pin-код для открытия двери2.5.3. Открытие двери
Открытие с помощью PIN-кода. Пользователь может набрать публичный 8-значный
PIN-код #PIN-код#, по умолчанию PIN-код 33333333. Он может быть изменен в
пользовательском или Web интерфейсе панели. Также пользователь может воспользоваться
личным PIN-кодом установленным в пользовательском или Web интерфейсе панели. Для
этого необходимо набрать на клавиатуре #PIN-код#. Если PIN-код был введен не правильно,
на дисплее панели отображается сообщение “Доступ запрещен”. В случае успешного ввода
PIN-кода, на дисплее появиться сообщение “Дверь открыта”.Но стандартный пароль изменен застройщиком и несколько раз менялся после сдачи дома, хотя собственники любезно раздавали коды своим рабочим. Считаем, что коды для аутсайдера не известны. Читаем раздел 3 Настройка панели:
Проверил, работает, но без пароля администратора настройки сменить не получится, а внутренний IP мало кому интересен. Тем более на коммутаторах могут быть закрыты порты и включен port security.Спускаемся ниже по инструкции и находим пароль администратора по умолчанию:
Но где вероятность, что подрядчик от застройщика не сменил этот важный пароль на свой? НИГДЕ!!Они ничего не меняли. Просто установили панели и все. Если изучить всю инструкцию, то станет понятно, как с нее снять логи и ключи домофонов, которые лежат в панели.И так, что имеет злоумышленник / аутсайдер:
- полный доступ к добавлению своего собственного пин-кода
- полный доступ к смене пароля администратора
- полный доступ к сетевым настройкам
- полный доступ добавления своей собственной RF карты
Кстати, это распространяется на все ЖК данного застройщика, где используются вызывные панели Rubetek. В рамках Грин Парка это 4 блока по ~ 800 квартир + башня на 200 квартир. Это почти 3500 квартир. В данный момент идет застройка 6 и 7 блоков. Будет всего 8.А что же наш аутсайдер? Да, все верно. Он прошелся по всем панелям и оставил пасхалки (ну, или свой пароль для входа). Эти добавленные коды не видны оператором.У панели есть WEB интерфейс. Но предполагаю, что и здесь Великий default.Если же не очень понятно, то вот порядок действия для установки своего личного кода:
- Согласно пункту 3.2 набираем *3888#
- Выбираем пункт 3 Add Private Pin
- Вводим пароль администратора из пункта 3.1 - 2396 и завершаем ввод кнопкой "трубка"
- Вводим свой пароль. Завершаем ввод кнопкой "трубка"
Все, пароль установлен и можно пройти по этому паролю дальше туда, где свободно и безопасно играют дети беззаботных родителей. Ведь двор закрыт и чужие в него не могут попасть.Тоже самое можно проделать на этажах и попасть из лифтового холла к квартирам и открытым коммуникациям квартир.Совсем недавно в приложении от этого домофона появилась возможность Face ID. Камера распознает лицо и если в базе есть снимок, сравнивает. При совпадении - открывается дверь. Удобно? - да.
Безопасно?....Тот самый случай, когда Информационная безопасность граничит с Физической безопасностью.Недавно на HABR была статья, затрагивающая Великого default'a . Данная тема все чаще проявляется на HABR. К чему это все приведет в итоге, пока не понятно.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, IT-инфраструктура, История IT, Софт] История программ для удалённого доступа (перевод)
- [Информационная безопасность] (не)Безопасный дайджест: потерянные миллионы и телефонные мошенники
- [Информационная безопасность, Google Chrome, Контекстная реклама, Повышение конверсии] Google больше не будет отслеживать пользователей для показа персонализированной рекламы
- [Настройка Linux, Информационная безопасность, Исследования и прогнозы в IT] Уязвимости неуязвимого Linux
- [Информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисов] Пентест-лаборатория Test lab 15 — ху из н0в1ч0к?
- [Информационная безопасность, Криптография, Open source] Релиз OpenSSH 8.5
- [Информационная безопасность, IT-стандарты, Законодательство в IT] Камбоджа направит весь интернет-трафик через национальный интернет-шлюз
- [Информационная безопасность] Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021
- [Информационная безопасность, C] PKCS#11 для самых маленьких
- [Информационная безопасность] Удобный вид для проверки результатов сканирования Nmap
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_rubetek, #_kody (коды), #_ip_telefonija (IP телефония), #_grinpark (ГринПарк), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 В одном из новых районов Москвы в домах установлены IP домофоны от Rubetek с возможностью открывать двери из приложения. 3 февраля в своем телеграмм канале @blog_ruporsecurite Валерий Комаров опубликовал опрос, является ли IP телефония АСУ. Опрос был достаточно жарким и касался больше пробелов в законодательстве.24 февраля в своем же блоке Валерий поднял вопрос, является ли IP телефония объектом КИИ. Слежу за его лентой, но этот вопрос меня поставил в тупик, поэтому без комментариев. Думал, это мало кого касается.В Москве у каждого нового жилого комплекса имеется закрытый чат, где присутствуют только собственники. Ну, так принято считать. Так произошло и в этом ЖК Грин Парк. Не буду говорить про его прелести, но собственниками являются театралы, судьи, телевизионщики, ИТишники из различных сфер, предприниматели и целые семьи тех, кто хоть как-то причастен к застройщику. Думаю, выбор очевиден - здесь красиво, безопасно. У каждого блока (несколько объединенных корпусов) имеется свой собственный закрытый двор, где дети могут свободно играть, а главное безопасно.Я тоже так думал до того времени, пока в чате блока не решили свергнуть управляющую организацию и не на шутку стали всячески пытаться очернить одних, но при этом выставить в свете других. Но это статья не про политику, но именно она подтолкнула меня на написание данной статьи.Один из собственников написал, а как же действующая УК отдаст рабочие системы и сможем ли самостоятельно на время перехода обслуживать? Этот вопрос остро встает в момент смены УК или самостоятельного управления (ТСЖ).А все ли так безопасно, как кажется? С этой мыслью я пошел на сайт производителя за инструкцией к домофону. В Грин Парке стоят вот такие панели:  Rubetek-3438На сайте производителя имеетсяРуководство по эксплуатации.В первую очередь интересует аутсайдер, во вторую - инсайдер.Pin-код для открытия двери2.5.3. Открытие двери Открытие с помощью PIN-кода. Пользователь может набрать публичный 8-значный PIN-код #PIN-код#, по умолчанию PIN-код 33333333. Он может быть изменен в пользовательском или Web интерфейсе панели. Также пользователь может воспользоваться личным PIN-кодом установленным в пользовательском или Web интерфейсе панели. Для этого необходимо набрать на клавиатуре #PIN-код#. Если PIN-код был введен не правильно, на дисплее панели отображается сообщение “Доступ запрещен”. В случае успешного ввода PIN-кода, на дисплее появиться сообщение “Дверь открыта”.Но стандартный пароль изменен застройщиком и несколько раз менялся после сдачи дома, хотя собственники любезно раздавали коды своим рабочим. Считаем, что коды для аутсайдера не известны. Читаем раздел 3 Настройка панели:  Проверил, работает, но без пароля администратора настройки сменить не получится, а внутренний IP мало кому интересен. Тем более на коммутаторах могут быть закрыты порты и включен port security.Спускаемся ниже по инструкции и находим пароль администратора по умолчанию:  Но где вероятность, что подрядчик от застройщика не сменил этот важный пароль на свой? НИГДЕ!!Они ничего не меняли. Просто установили панели и все. Если изучить всю инструкцию, то станет понятно, как с нее снять логи и ключи домофонов, которые лежат в панели.И так, что имеет злоумышленник / аутсайдер:
Безопасно?....Тот самый случай, когда Информационная безопасность граничит с Физической безопасностью.Недавно на HABR была статья, затрагивающая Великого default'a . Данная тема все чаще проявляется на HABR. К чему это все приведет в итоге, пока не понятно. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:18
Часовой пояс: UTC + 5