12 слабых мест в СКУД

имею все более многочисленные сообщения с мест (от коллег, курсантов и т.д.) о фактах проявления "клонов" - что раздражает клиентуру ну просто до посинения.

И что, не знают что делать???

И "специалисты" по СКУД ничем не могут помочь???

Решение - элементарное! Надо будет заменить считыватели, карты и регистрационный считыватель (или вовсе от него отказаться), и гарантирую отсутсвие клона. Софт и контроллеры менять не надо будет.

Мы начали с вопроса: можно ли обмануть систему с суперзащищенной картой.

Нет - мы с Вами начали с того, что сама возможность простого клонирования карт без ведома владельца дискредитирует саму идею СКУД.

А вместо ответа Вы упорно пытаетесь убедить меня, что это клонирование - никакая не проблема на том простом основании, что есть ДРУГИЕ методы обмана системы.

Даже если они есть (в статье, напомню, о 12-ти слабых местах говорится...) - это означает только то, что с каждым таким "методом" - т.е. с указанной уязвимостью - НАДО бороться. Методично. Кропотливо. Всеми силами.

Разве не так?

Потому что сейчас картина выглядит следующим образом:

1. Вы, как разработчик, говорите: зачем мне заморачиваться проблемой клонирования, если горе-проектировщик расположит контроллер доступа так, что к нему любой "ленивый" злоумышленник получит доступа и тупо замкнет контакты реле управления.

2. Проектировщик говорит: зачем мне заморачиваться установкой контроллеров в нормальном защищенном месте и думать о защите магистралей СКУД - если нетрезвый монтажник кинет провода к магнитному замку в накладном коробе с наружной стороны двери и сам магнит повесит "на улице".

3. Монтажник говорит: чего я буду заморачиваться штроблением стен, нормальным облуживанием контактов в соединительных колодках и подключением датчиков в магнитных замках - если карты в системе "клонируются на раз" и даже ленивый может сделать себе любое количество клонов хоть своей - хоть директорской карты!

ВСЕ! Круг замкнулся! И никто не чувствует себя виноватым. Не так ли?

P.S. Извините - но вот не вижу смысла еще и коммерческие предложения здесь вывешивать. Мы не это сейчас обсуждаем.

Гы-гы! Во все фанфары рекламируете свою систему (и ранее видели смысл и производителя называть, и алгоритмы расписывать, и ссылки на рекламные ролики выкладывать), а озвучить стоимость стесняетесь?

Мы тогда и сравнили с другими, и сделали бы вывод: стоят ли затраты на такую защищенность?

Конечно не так. Надо просто уметь правильно эксплуатировать имеющиеся системы.

Но если цель борьба - то, конечно, это занятие на всю жизнь.

ВСЕ! Круг замкнулся! И никто не чувствует себя виноватым. Не так ли?

Конечно не так!

по пунктам:

по п.1 Я как разработчик предлагаю заказчику выбор методов идентификации на любой вкус и на любую цену. Плюс я обязан обеспечить диагностику работоспособности системы. И я отвечаю за работоспособности системы своими деньгами.

по п.2 Проектировщик как раз все правильно учитывает: и защищенность, и климатику, и удобство обслуживания, марку и способы прокладки проводов, и даже способы соединения проводов. Проектировщику вообще дела нет до защищенности, его задача - выдать проект, который обеспечит ТЗ в рамках заданного оборудования, соответсвует ГОСТам (какими бы они не были) и обеспечить (при необходимости) авторский надзор. И если проектировщик ошибся, то за свои ошибки он отвечает своими деньгами.

по п.3 Монтажника вообще никто не спрашивает ни о защищенности ни о клонировании: вот тебе проект, и за любое изменение денежный спрос.

Вот так! Сейчас даже на установку одного контроллера делают пусть и примитивную, но документацию, и согласовывают с Заказчиком.

Гы-гы! Во все фанфары рекламируете свою систему (и ранее видели смысл и производителя называть, и алгоритмы расписывать, и ссылки на рекламные ролики выкладывать), а озвучить стоимость стесняетесь?

Нет - не стесняюсь, но считаю что это здесь точно не к месту.

И рекламой я тут не занимаюсь - я каждый раз пытался уйти от конкретной системы и перейти к общесистемным проблемам СКУД, описанным в статье - а Вы каждый раз пытались поймать меня на некорректности высказываний в связи с отсутствием реализаций "по другому, не как у всех".

Если считаете, что лучший способ побить мои доводы - это обвинить в попытке рекламы, ну что ж.. Каждый сам устанавливает свои моральные правила ведения диспута.

Надо просто уметь правильно эксплуатировать имеющиеся системы.

Ну да, естественно... Я же забыл в предыдушем посте указать пункт №4 про пользователя, который испортит все то, что насоздавали, напроектировали и намонтировали первые три.

Знаю я одну очень крупную софтверную компанию, которая всех своих пользователей по умолчанию считает даунами и недоумками... Её пример - практическое доказательство того, что такое отношение к своим клиентам абсолютно не мешает ей зарабатывать очень хорошие деньги, увы...

Опачки!

Меня уже в новости вынесли!!!???

Нет - мы с Вами начали с того, что сама возможность простого клонирования карт без ведома владельца дискредитирует саму идею СКУД.

СКУД вообще нельзя дискредитировать, это просто другая сущность: набор правил, приемов, подходов, идеологий.

Проблемы или нюансы частного решения так и остаются проблемами этого решения...

Я не пытался Вас подловить. Вы начали рассуждать о глобальных проблемах СКУД (которые мне тоже интересны), и мне было интересно насколько Вы в них разбираетесь.

Характерно, что troll оперирует такиме же сущностями, что и Вы.

Знаю я одну очень крупную софтверную компанию,

Я, полагаю, тоже ее знаю.

И хотел бы отметить, что благодаря ее усилиям компьютер сейчас в каждой комнате стоит, компьютер залез во все уголки нашей жизни и заметно облегчает эту самую жизнь. И стоит мизерные деньги, что еще более способствует внедрению в быт...

Тот факт, что с продуктом этой фирмы может работать и даун - в целом хорошо. Из этого не следует, что фирма считает пользователей даунами (впрочем, это отдельная избитая тема...).

Профи уж тем более работает в рамках продуктов этой фирмы без проблем. А если возможностей продукта не хватает - так же без проблем берет другой продукт.

Меня уже в новости вынесли!!!???

Вы в новостях уже чуть не с самого утра :-)

СКУД вообще нельзя дискредитировать

СКУД как идею - конечно нет. Конкретную её реализацию - еще как.

Вы начали рассуждать о глобальных проблемах СКУД (которые мне тоже интересны)

Вот именно! давайте о них и спорть - а не лезть в дебри конкретной системы (даже если она кому-то - даже лично мне - по душе...)

И хотел бы отметить, что благодаря ее усилиям компьютер сейчас в каждой комнате стоит

Но подумав здраво все же с Вами соглашусь - неправильно этому сокрушаться.

Похоже все-таки путь к успеху как раз и лежит через создание продукта, который простой смертный пользователь и настраивать-то Не ДОЛЖЕН. Даже если продукт на самом деле очень сложный.

И тут мы с Вами плавно возвращаемся к тематике слабых мест в СКУД :-)

PS Вашу систему - с записью данные в карты - мы отработали еще в 2008-2009 годах и с 2010 г. есть готовый комплект софта.

На карту пишется некое число, которое при проходе через разные точки прохода уменьшалось на заданный "вес" точки прохода.

Ну и все остальное там собиралось: и журнал событий, и стоп-листы, и периметральный антипассбэк...

И карты Вы сами программируете (а не завод)...

Каждый сектор (их 16, но с учетом служебных остается 12) можно использовать под свое приложение.

По "стоимости владения" система проигрывала обычным билетам бумажным, требовала определенной квалификации персонала, и реализованная тотальная защищенность и секретность оказалась не очень востребованной.

Так что и все Ваши аргументы ЗА сам знаю (семинары проводил), и подковерные ПРОТИВ.

Это я не к продолжению, а, скорее, к завершению дебатов.

PS Вашу систему - с записью данные в карты - мы отработали еще в 2008-2009 годах и с 2010 г. есть готовый комплект софта.

Вы извините - но я все эти чудеса про счетчики, 12 секторов и стоимость владения даже комментировать не буду.

Тем более, что речь, похоже, идет не о "нашей системе" - а о "Вашей системе по описанной выше архитектуре". Это, извините, две большие разницы.

Avk.

Вообще-то сам термин "идентификатор" подразумевает его неизменность и уникальность (хотя бы в теории).

Ещё чего! Вычисляемый динамический пароль ни разу не неизменен, пример - типичная автосига. А уникальность - дело другое, в той же сиге уникальность наличествует (хотя бы в теории) :-).

прокидывайте километры "бесплатных" проводов, платите "бесплатную" зарплату монтажникам... Это ж все принято отдавать даром!

Можно и даром - в России, в частности; например, как на "Арсенале".

У Вас, я так понимаю, богатый личный опыт работы с ZigBee на реальных объектах?

Не то, чтобы богатый, но есть опыт. И кое-какие знания о распространении радиоволн. "Близки к" - а 5 тоже близко к 15. Хорошо, хоть гарантию на дальность вы не пытаетесь заявлять. А ежели в стенке металл окажется?

Аргус-Спектр, ничтоже сумняшеся, на сайте "куркулятор дальности" связи повесил. Не хотите с них пример взять?

потеря связи не приведет к неработоспособности

А вот это правильное решение.

Вы когда себе авто покупали - Вас не возмутило

Прикиньте - многие детали от форда подходят и на ситроены, и на пыжики, и на мерсы :-) - глобализация. Только клиентам на автосервисах об этом не распространяются ;-).

Это ж возмутительный факт!

Рази ж я возмущался? Напротив, похвалил эпитетом "толково" - чем же вы недовольны?

А не приходилось выслушивать клиента, котрому для выяснения причин косяка в системе пришлось ЗАСТАВИТЬ собраться за одним столом представителей 3-4-5 компаний

Одного специалиста СКУД не нашлось в этой тьмутаракани, вместо кучку манагеров-двигателей товара?

Так как сектора памяти на карте тоже закрывать шифрованием надо - и делается в основном на заводе... Вот ужас-то!

Да, не сечь в крипте и лезть в неё - реально ужас. Самим в "специальный" контроллер зашить нужную алгоритмику и прописывать ключи на смарт-картах религия запрещает? Или элементарная криворукость? Нет, я понимаю, что всякие там испанцы в криптографии слабосильны - не доросли до СЗИ, но их российские представители могли бы, кажется, подпрячь специалиста нужного профиля - их в России достаточно.

Стандартные протоколы шифрования (AES, 3DES) подразумевают наличие ключей шифрования как на носителе (карте) - так и в устройстве (считывателе и т.п.). Чтобы они туда попали - нужна специальная процедура

Какая ещё процедура? Что вы несёте? Типа, считывание/запись криптосуммы чем-то отличается от считывания/записи открытого текста? Давно не читал такой чухни! И на хрена считывателю ключи? Его задача - тупо передать туда-сюда битовый поток, и всё! Для остального проц на смарткарте, алгоритм которому выписывате вы, в его же мозги. И зачем вам DES? вы ж ГОСТы любите? - Ну и возьмите 28147-89, там всё подробненько.