Будни домофонщика часть 0. Вступление (V2, перезалив)⁠⁠

Release note:
-Текст переведен на русский язык.
-Добавлены незначительные пояснения по тексту
-Добавлено описание нового типа ключа

Огромное спасибо @Rones за подготовку нового текста с нуля.
http://rones.su/ все о слаботочке и скуд на русском и с картинками.

Виды ключей

• Контактные ключи.

В домофонах с контактными считывателями используется ключ Touch memory. Это так называемая «таблетка» Dallas DS1990A — самая простая, не защищённая от копирования модель.

Контактные ключи Dallas — прошлый век в прямом и переносном смысле. Но в 90-х считалось, что их невозможно подделать. О копировании даже мысли не было. 


• Бесконтактные ключи (RFID) — «капельки» — более разнообразны. 

Есть незащищённый формат EM-Marin, есть типа защищённый Mifare. 

Mifare любой модификации кроме той что использует визит позволяет защитить данные на ключе от чтения паролем. Пароль в панели, самые дорогие дубликаторы умеют его читать прямо из панели остальные подбирают самостоятельно. 95% ключей содержат ошибку позволяющую подобрать пароль максимум за пол часа и скопировать мифаре за 300р как обычный ключ. Именно поэтому управляющие компании пока не берут больше 500р за ''некопируемый'' ключ.

▲ Вышеперечисленные ключи не являются магнитными, хотя их так ошибочно называют. Размагнитить их нельзя. Переменным магнитным полем испортить можно. При должных стараниях ключ сильно нагреется и расплавится.

 
• Но реально магнитные ключи существуют. Это ключ на 18 магнитных точек ▼.

Используются в домофоне Факториал. Вставляются в домофон до упора. Вот их-то можно размагнитить. К холодильнику они не клеятся. Тут принцип примерно тот же, что и у магнитофонной ленты. 

Бывают ключи содержащие настоящие магниты, и они сами ко всему липнут. 


• Оптические ключи с 15-18 точками, некоторые из которых просверлены насквозь. Внешне похожи на магнитные ключи. 

 
Как работают ключи

• Домофонщик не «намагничивает» Dallas DS1990A или EM-Marin перед тем как выдать его жильцу. Ключ уже продаётся с уникальным кодом, а мастер добавляет этот код в память домофона. После этого домофон начинает пускать по новому ключу. 

• Один ключ можно записать в неограниченное количество совместимых с ним домофонов.

• Память домофона ограничена. К примеру, в домофон Vizit можно записать около 2000 ключей.

• Код ключа можно скопировать в специальный пустой ключ-заготовку типа как на флешку. После этого копия (клон) ключа будет открывать те же домофоны, что и оригинал. Правда, некоторые домофоны оборудованы защитой от клонов.

Китайская заготовка для копирования в 2-3 раза дешевле оригинального ключа с заводским кодом. 
 

Устройство ключей

• В контактном ключе Dallas DS1990A содержится неперезаписываемая память на 8 байт. Первый байт код семейства определяет возможности ключа. У домофонных ключей первый байт всегда 01. Последний байт — контрольная сумма, она рассчитывается из первых семи. Оставшиеся 6 байт записываются на заводе по порядку: 0001, 0002 и т. д. 

Сейчас используется 4 байта из 6. Уникальных ключей можно создать в 50 000 раз больше, чем создано с 90х. 

• С бесконтактными ключами EM-Marin то же самое, только дошли до 3 байта из 5. 


• При прикладывании контактного ключа к считывателю на ключ подаётся питание. Центральный контакт (пятачок) — плюс 5 вольт, ободок — «земля». 

Ключ в ответ выстреливает свой код. Для передачи каждого бита ключ закорачивает питание, и напряжение на считывателе проседает, что и регистрируется домофоном. Короткое проседание — логическая 1, длительное — 0.

• Домофон читает контактный ключ полностью, проверяет по сумме правильность чтения и выбирает из кода 3 или 4 байта. Сейчас из 6 уникальные только 4. 

Далее домофон ищет эти байты в своей памяти. 

• С бесконтактными то же самое, только связь с ключом осуществляется электромагнитным способом через встроенную в ключ обмотку. То есть, питание передаётся как с бесконтактной зарядки для телефона.

При замыкании катушки чипом потребление на считывателе увеличивается. 

Кроме 5 байт есть ещё вроде 4 байта чётности, но они используются считывателем для проверки кода и до нас со считывателя доходят только 5 уникальных. 

• В старых домофонах «пустые» ячейки памяти заполнены нулями или шестнадцатиричными числами FF. Именно по этому признаку домофон находит первую свободную ячейку при добавлении нового ключа.

• При предъявлении ключа домофон читает 4 байта и сравнивает с первыми 4 в памяти. Если не совпало, читает следующие 4, и так до конца памяти. 

• Если в заготовку ключа записать  код 00 00 00 00 (или FF FF FF FF), то старый домофон примет такой ключ как родной, как только найдёт в своей памяти пустую ячейку. Таким образом, ключ с «пустым» кодом является вездеходом для всех старых домофонов.

• Эту уязвимость не могли предусмотреть, ведь заводские ключи имеют уникальные коды, а возможности кустарно записать в ключ произвольный код раньше не было.

• Три способа устранить эту уязвимость:

1. При переборе ячеек прекратить поиск, как только попадётся ячейка с нулями или FF. И выдать сигнал ошибки. 

2. Хранить в памяти количество занятых ячеек и просматривать записанные коды только в них.

3. Игнорировать ключи с кодами из одних нулей (или FF), как это делают Eltis и Vizit, изготовленные после 2008 года. Таким образом, прописать вездеход в эти домофоны нельзя.

• Cyfral до сих пор не пришёл ни к одному из решений этого бага, лишь вставляет «костыли». 


• С бесконтактными ключами принцип тот же. Только тут для Цифрала прошивку писать пришлось с нуля и «дырку» закрыли. Но не факт что сразу. 
 

• Eltis и контактный и бесконтактный не имеет вообще никаких «дырок». Совсем. И никогда не имел. Максимум можно раздолбать панель и получить доступ к проводам. Или прописать ключ от Визита. Видел такое не раз, но ключ от Визита фильтровать никто не умеет. 


• С Визитом ещё лучше — в старой прошивке был заложен код 11 40 be — так называемая закладка. Речь идёт о Визитовских блоках трехсотой серии — БУД-301 и БУД-302М. В четырёхсотой серии закладки нет на 95%. Чтоб сделать визитовский вездеход нужно записать на бесконтактную болванку код 56 5a 11 40 be. В ближайшей мастерской за 300 руб. запишут. 

• Визит выпускается без закладок с 2015 года. При этом судить об узвимости системы по возрасту панели нельзя. У большинства моделей Визита ключи хранятся не в вызывной панели, а в блоке управления, расположенном в подъезде. И блок управления вполне может оказаться молодым и неуязвимым.

Или наоборот — дверь заменили, поставили свежую вызывную панель, а блок управления оставили старый, с закладкой в прошивке.

В новостройках весь комплект всегда новый. 

• Закладку можно удалить из памяти домофона. И не нужно покупать новую модель!

- Находите блок управления (БУД).

- Списываете его модель.

- Скачиваете инструкцию.

- Смотрите, как войти в меню без пароля и как стереть ключ из памяти.

- Покупаете визитовский ключ-вездеход и по инструкции удаляете его из домофона.

- Profit!


• Про Метакомы сказать нечего. В Питере им всем больше 20 лет. Новые работают с проприетарным ключом и «дырок» возможно не имеют. 

 
• Кроме «дырок» и закладок есть еще районые ключи. Обычно у каждого установщика по одному на район. Один ключ прописан во все панели. В питере всего 35. У меня 30. Покупают соцработники, почтальоны, скорая помощь, МЧС и пр.


• Ну и кондовый способ попасть в чужой подъезд — просто рвануть дверь. Электромагнитные замки обычно ставят кое-как, и замок не удерживает якорь при хорошем рывке. 

Устанавливал я два здоровых Цифраловских магнита в магазин на обычную металлическую дверь из двух листов и каркаса жёсткости. На 12 точек к прямоугольнику приварен. Короче, обычная уличная дверь типа пожарной. Машиной отодрать магнитики с разгона 30 метров не удалось, а вот обычный замок вырван. Так что, возможность отодрать магнит руками — это исключительно рукожопие установщика.

Особенно радует железная дверь, которую можно отогнуть на 15 см снизу. Пусть даже дверь заперта мощным Цифралом — отодрать уже реально. 

А бывает шедевр — пластиковая дверь типа балкона и мини магнитик Визит типа на 300 кило. После установки такую конструкцию по привычке даже бабушки отрывают.


Странно что бм не видит мой пост с тем же названием и похожим текстом. Видимо первая версия действительно абсолютно не читабельная