Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×

Квартирная кража Ajax + Шериф

Привет

Вчера ночью моих соседей обворовали. Все бы ничего, но квартира была на сигнализации Шериф + Ajax. Вероятно это:

1. Скомпрометированный Шериф
2. Взломанный Ajax
3. Мошенничество или халатность хозяев.

По логам выглядит так, как будто бы с сигнализации сняли при помощи телефона (аккаунта). Обратно после кражи на сигнализацию не поставили.

Внимание вопрос. Это первый такой случай или кто-то еще сталкивался?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Мне не выгодно раскрывать детали, но скажу коротко на благо ТС: шериф — не стоит доверия. Уже лучше на Венбест обратить внимание. Раньше рекомендовал бы ДСО — но сейчас много жалоб

3. Мошенничество или халатность хозяев.

Это врядли — шансы получить что-то, кроме неприятностей, с охранной конторы равны нулю. Подключать к системе «левый» телефон ну это вообще надо быть имбицилом.

Есть парочка интересных моментов с итальянского сайта
1) девайс стучит в свое облако, к которому имеет доступ неизвестный круг лиц
2) из облака может прийти команда на отключение?
Если данная защита может быть удаленно отключена через инет или смс, то установка в квартиру ставит под большое сомнение её

https://******.it/2020/04/21/ajax-systems-review/

Специфика сферы требует взаимодействия с органами, в первую очередь, конечно же, «занести» в ГСО, чтобы продукт был сертифицирован и получил разрешение. Ну и куда ж без СБУ? Благо архитектура приложения позволяет снимать нужные данные централизованно, а в случае необходимости и выключить/включить без ведома владельца.
Внутри там обычные STM32, STM8, плюс такие же обычные GSM800 и RF69 чипы. Приправлено супер мега опупенски «защищенным» протоколом и закинуто в облако с API доступом всем нужным конторам и желающим

Нельзя снять с охраны через СМС или звонок. Физически снять с охраны можно с брелока или клавиатуры. Снять с приложения может только пользователь системы (которого пригласил админ хаба), если у него есть на это права. О каждом из этих действий попадает уведомление в лог событий. Везде написано либо название устройства, либо имя юзера, который снял с охраны.

Хаб нельзя выключить удалённо, только физически кнопкой. А сирена, например, и кнопкой не выключается, если система под охраной.

ну да мы знаем как «нельзя» ) заливайте прошивку девайса на гитхаб и посмотрим, что можно, а что незя. У вас закрытые сорцы поэтому доверия к таким системам нет.
А так выходит черная коробка с закрытым кодом стучит в свое облако , к которому имеет неизвестный круг лиц и хз что еще может принимать и отправлять оттуда

Windows 10 установлена на 1 млрд. ПК. В январе 2019 пользовательская база iPhone составляла 900 млн человек. Это не опен сорс проекты. Их исходный код не опубликован на гитхабе.

На нашем сайте в открытом виде опубликовано соглашение с конечным пользователем, а также политика конфиденциальности. Там доступна вся информация о том, что происходит с данными, когда пользователи используют нашу систему. Любые вопросы можно адресовать на: [email protected]s.

При этом в виндовс тысячи уязвимостей, многие из которых позволяют удаленный доступ к компьютеру. Вспомните недавний вирус Вася, который съел бухгалтерию в половине учреждений.

Вирус на iOS сложнее словить, чем на Android. Даже по личному опыту.

На хабах установлен РТОС с распределёнными ресурсами и механизмом отката на последнюю рабочую прошивку.

Что-то не понял связи iOS с уязвимостями хаба.

Извините, на сколько я помню в dou первая буква означает developers. То бишь, тут разработчики. А разработчики знают, что не бывает продуктов без багов и уязвимостей.

тебе почули, навіть вакансія появилася
jobs.dou.ua/...​systems/vacancies/123584
Embedded Devices Developer (Intrusion Detection)

давайте без холивара винда, андроид, ios и т.д., речь в топике идет о прошивке, в которой утверждаете что нет бэкдоров и/или дыр. Это решается аудитом кодом или выкладыванием исходников в открытый доступ, ясное дело что код — закрытый блоб и коммерческая тайна и он не появится в открытом доступе никогда, поэтому я не доверю установке в дом такого охранного устройства. Причем так и неясно до сих пор, почему произошла кража

По поводу сложившейся ситуации:

1) Экспертиза не выявила следов вскрытия замка. Двери открывались исключительно ключом.
2) По логам системы снятие было с приложения и учётной записи хозяйки.
3) Претензий к оборудованию со стороны охранной компании или хозяйки нет.

А снятие идет через сервер, или напрямую между мобильным и замком?

Внутри там обычные STM32, STM8, плюс такие же обычные GSM800 и RF69 чипы

А чего они ожидали внутри? Во всех охранках подобные чипы и модули стоят.

Внутри там обычные STM32, STM8, плюс такие же обычные GSM800 и RF69 чипы.

Это вообще ни о чем — на безопасность не влияет.
А вот то, что можно отключить удаленно это таки потенциальная дыра.

Чего это, а нова полиция шё?

вище пишуть, що всьо логірована в логах, вплоть до ІД снімавшего с охранки

Это Украина. Где сама «служба быта» занимается чем угодно кроме законом предусмотренной деятельности. Могли ли скомпроментировать телефон? Да на раз. Телефон в принципе не стоит рассматривать как хранилище ключей — уже по той причине, что вы НЕ ВИДИТЕ, и никогда не увидите что какой код делает на самом деле. Так уж его операционка спроектирована.

Если снятие с сигнализации не рядовая операция, то есть не часто повторяемая — первое же подозрение на физический доступ к мобильному устройству. То есть преступник знал что делать, знал когда делать, и знал что надо вернуть железку владельцу.

Если взяли только деньги, и не перевернули вверх дном всю хату — преступник 100% знал где они лежат, и не единожды в этой хате бывал. Мало того, профессиональным вором не является, поскольку профи сразу же всё перетряхивают, не заботясь ни о чём. Так что смотрите в сторону деточек, которым срочно понадобились денюжки на наркотики. Как минимум они могли помочь войти.

Там нет деточек, да это и не важно. Крайне желательно расследовать и «зафиксировать» инцидент. Конечно, если это Шериф (что достаточно вероятно) то они скорее всего «замнут» эту историю.

Здравствуйте!

Я комьюнити менеджер Ajax Systems. Нам очень жаль, что у ваших соседей сложилась подобная ситуация.

Ситуация действительно ужасная, и поэтому мы хотели бы как можно детальней разобраться в вопросе, ведь мы разрабатываем систему, для которой безопасность это первый приоритет.

Мы уже общаемся с представителями охранной компании «Шериф». Но, чтобы разобраться в ситуации более детально, нам нужно немного больше деталей: логи с телефона, а также ваши контакты или ваших соседей. Поэтому были бы признательны за любые детали. Отправить вы их можете напрямую на нашу страницу в Facebook в личных сообщениях.

Ссылка: www.facebook.com/ajaxsystemsua

Да, спасибо. Сам пользуюсь вашей системой. Постараюсь спросить у соседей их согласия и если они захотят, передам вам их данные для связи.

Расследование охранной компании не выявило взлома системы. Но мы хотели бы ещё разобраться в ситуации сами, поэтому ждём контактов.

Разговаривал с хозяйкой, она связалась с Ajax сама, так что ждем результатов расследования.

Интересно, какой уровень какера, шё даже следы взлома не остались...

Можно еще обратиться в поддержку ajax, может они смогут глянуть какие то подробности с какого устройства было снято и т.д.

Простіше на ДОУ запитати)))

А может просто свет отключили?

Сееела батарейка, ооо уу ооо и я ее, батарейка!

И сколько она держит?

Ajax на все события лог ведет, отключения света не было.

даже в китайских за 30$ и то акк стоит :)

Интересно, я думал это надежная сигнализация

я думал тут что-то про javascript

из квартиры украли javascript? ничего себе...

Гринч-пхпешник украл дух рождества джабаскирптеров :)

Джаваскриптизёров. Пиши правильно!

Да в ад любых частников. Покупаешь ajax сам, без посредников, ставишь на государственную полицейскую охрану и адиос.

не вовсем раенах ДСО работает с аджаксом ajax.systems/ru/blog/ajax-dso Где не поддерживается, там система прокси — при тревоге диспетчер ближайшего поддерживающегося раёна звонит диспетчеру неподдерживающегося, потеря 5-10мин

так кто виноват, хозяева или сигналка? все-таки больше подробностей надо, а не гадать при помощи икспердов в вакууме

Дык, информирую чтобы узнать было ли такое раньше и предупредить пользователей.

Хозяйке не 90 лет. Она в своем уме. Ничего кроме денег не взяли. Странное поведение — вызывать полицию и рассказывать что квартира стояла на сигнализации если она сама по ошибке ее выключила. Ответственность Шерифа практически равна нулю по договору.

государственная служба охраны тоже отвечает на сумму около 2к и советуют использовать страховку

Смысл в том чтоб приехали типочки, отогнали нарушителей от охраняемой собственности и дождались хозяев.

Типочки у нас без мигалки. Если пробки и если далеко от их базы ... в норматив не вкладываются. У полиции тоже никакой ответственности (минимальная) в договоре нет. Если приедут поздно то и ладно ...

В Минске не слышал, чтобы кто-то обворовывал квартиры, что на сигнализации стоят.

Я в частном секторе живу и рядом есть зажиточные дома. Так вот несмотря на сигнализацию и «космонавтов по вызову» пару лет назад один из таких домов обнесли. И потом приезжала полиция с автоматами и собаками, кого-то искали. Это я к тому что у нас тоже можно заказать такие услуги, но не факт что оно поможет.

У нас недавно одна группа приехавших расстреляла машину с другой группой.

Это может быть, но никто про это не узнает.

Но, у этой системы проблема, как только главный начальник где-то оступится, то сразу вся скатится к анархии, если кто-то быстро не захватит власть и жесткой рукой не наведет порядок.

Так в Союзе, вроде, после смерти Сталина все норм реализовали, без жесткой руки.

немножко Берию расстреляли и сожгли только, а так норм

и толку от калашей? все равно они стрелять в воров не будет, никому отчитываться за жмуров не нужно. Домушники не носят собой огнестрелы

с сигнализации сняли при помощи телефона (аккаунта).

Коли це було? тоді коли сусіди були вдома чи під час їх відсутності?

Звичайно коли нікого не було. Саме крадіжка не пограбування. Власниця просто не помітила повідомлення від аплікухі Disarmed by

У хозяев админские права на централь были?

Я так понимаю что нет. Шериф не дает.

Тогда странно. У оператора пультовой как правило тоже нет прав на снятие/постановку.
А снятие было от имени какого юзера? Хозяйки? Если да, то вполне может быть малварь на телефоне...

Да, хозяйки. Малварь которой воспользовались для квартирной кражи ... хм .. может конечно но сложно как-то.

Все зависит от суммы...

Они не могут «не давать». При заключении договора нужно просто написать еще маленькую бумажку что админа охранной фирме ты не даешь, и обслуживать систему будешь сам. В обслуживание входит замета батареек, подключение новых датчиков и так далее. А охранная фирма только обязуется выехать в случае активации тревоги — не важно от какого датчика и по какой причине.

Підписатись на коментарі