março 28, 2024

[Segurança] Catracas na perspectiva de um hacker

A PRIDE Security está lançando uma série de artigos e vídeos sobre vulnerabilidades e como hackear catracas - sim, aquelas catracas que fazem o controle de acesso e a segurança física em tudo quanto é lugar! As catracas representam um elemento importante no controle de acesso físico a prédios comerciais e organizações, mas não são infalíveis...

A série de artigos e vídeos, batizada de "Catracas na perspectiva de um hacker", é apresentada pelo Wendel Dum_Dum e promete abordar diversos aspectos de segurança ofensiva e ataques físicos a esses equipamentos, trazendo exemplos reais de projetos que eles realizaram.

O primeiro episódio da série foi divulgado há cerca de duas semanas, e foi publicado um artigo no blog da PRIDE e um vídeo no canal do YouTube. Ele traz uma introdução sobre o assunto e  apresenta duas estratégias de ataques:

  • Evasão (bypass) de reconhecimento facial utilizando fotos dos colaboradores da empresa, mesmo com a catraca possuindo um sensor de temperatura;
  • Acesso a fiação e aos componentes internos da catraca através do o uso de Bump Key para abertura não autorizada da catraca (uma técnica muito comum utiilizada em lockpicking) ou explorando problemas de design na trava da catraca, que permitem o fácil acesso ao seus componentes internos (Rapid Entry).
Veja o vídeo:


Recentemente eles publicaram o segundo artigo e vídeo sobre o tema. Neste episódio, exploraram o uso de implantes físicos em catracas para permitir ataques de replay, explorando o protocolo Wiegand (um protocolo de comunicação muito utilizado em sistemas de controle de acesso, mas que transmite os dados em texto aberto!). É demonstrado o uso de implantes para realizar o ataque de replay, coletando os dados da catraca quando um usuário válido e identificado, e reenviando esses dados para autenticar um invasor.

No final eles já prometem lançar em breve o terceiro episódio. Se você curte segurança física, pentest em ssistemas de controle de acesso, esse conteúdo é pra você!

A propósito, eles usaram IA para criar o avatar do Dum_Dum, além de reproduzir a sua voz e criar o cenário. Ficou bem legal!

Link para os artigos da PRIDE:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.