Hackers zochten naar een achterdeur in zwaar beveiligde kluizen en kunnen ze nu binnen enkele seconden openen

Ongeveer twee jaar geleden raakten beveiligingsonderzoekers James Rowley en Mark Omo nieuwsgierig naar een schandaal in de wereld van elektronische kluizen : Liberty Safe, dat zichzelf op de markt brengt als "Amerika's grootste fabrikant van robuuste kluizen voor thuis en wapenkluizen", had de FBI kennelijk een code gegeven waarmee agenten de kluis van een criminele verdachte konden openen als reactie op een bevel met betrekking tot de invasie van het Amerikaanse Capitool op 6 januari 2021 .

Politiek terzijde, Rowley en Omo waren verbijsterd toen ze lazen dat het voor de politie zo gemakkelijk was om een afgesloten metalen doos te kraken – niet eens een apparaat met internetverbinding – dat niemand behalve de eigenaar de code zou moeten hebben om hem te openen. "Hoe is het mogelijk dat er een fysiek beveiligingsproduct is en iemand anders de sleutels van het koninkrijk heeft?", vraagt Omo zich af.

Dus besloten ze te proberen te achterhalen hoe die achterdeur werkte. Daarbij ontdekten ze iets veel groters: een andere vorm van achterdeur, bedoeld om geautoriseerde slotenmakers niet alleen Liberty Safe-apparaten te laten openen, maar ook de uiterst beveiligde Securam Prologic-sloten die in veel kluizen van Liberty en die van minstens zeven andere merken worden gebruikt. Nog alarmerender was dat ze een manier ontdekten waarop een hacker die achterdeur – die alleen toegankelijk zou zijn met hulp van de fabrikant – kon misbruiken om zelf binnen enkele seconden een kluis te openen. Tijdens hun onderzoek ontdekten ze ook een andere beveiligingskwetsbaarheid in veel nieuwere versies van Securam-sloten, waardoor een digitale kluiskraker een gereedschap in een verborgen poort in het slot kon steken en direct de ontgrendelcode van een kluis kon verkrijgen.

Tijdens de Defcon hackersconferentie in Las Vegas maakten Omo en Rowley vandaag voor het eerst hun bevindingen openbaar. Ze demonstreerden op het podium hun twee verschillende methoden voor het openen van elektronische kluizen met Securam ProLogic-sloten. Deze sloten worden gebruikt om van alles te beschermen, van persoonlijke vuurwapens tot contant geld in winkels en verdovende middelen in apotheken.

Hoewel beide technieken flagrante beveiligingskwetsbaarheden opleveren, zegt Omo dat de techniek die misbruik maakt van een functie die bedoeld is als een legitieme ontgrendelingsmethode voor slotenmakers, het meest wijdverspreid en gevaarlijk is. "Bij deze aanval zou ik, als je een kluis met dit soort slot had, letterlijk de code kunnen achterhalen zonder speciale hardware, helemaal niets," zegt Omo. "Opeens, op basis van onze tests, lijkt het erop dat mensen bijna elk Securam Prologic-slot ter wereld kunnen openen."

Omo en Rowley demonstreren hun methoden om kluisdeuren te kraken in de twee onderstaande video's. Hierin zien ze hoe ze de technieken uitvoeren op hun eigen, op maat gemaakte kluis met een standaard, ongewijzigd Securam ProLogic-slot:

Omo en Rowley zeggen dat ze Securam in het voorjaar van vorig jaar op de hoogte hebben gebracht van hun kluisopeningstechnieken, maar dat ze deze tot nu toe geheim hebben gehouden vanwege juridische dreigementen van het bedrijf. "We zullen deze zaak voorleggen aan onze advocaat voor handelssmaad als u kiest voor openbare bekendmaking of openbaarmaking", schreef een vertegenwoordiger van Securam aan de twee onderzoekers voorafgaand aan Defcon vorig jaar, waar ze hun onderzoek voor het eerst zouden presenteren.

Pas nadat ze pro-bono juridische bijstand hadden gekregen van het Coders' Rights Project van de Electronic Frontier Foundation, besloten de twee hun plan om op Defcon over de kwetsbaarheden van Securam te praten, door te zetten. Omo en Rowley zeggen dat ze er nog steeds voorzichtig mee zijn om niet te veel technische details te onthullen om anderen te helpen hun technieken te repliceren, terwijl ze tegelijkertijd proberen om eigenaren van veilige apparaten te waarschuwen voor twee verschillende kwetsbaarheden die in veel van hun apparaten voorkomen.

Toen WIRED contact opnam met Securam voor commentaar, reageerde de CEO van het bedrijf, Chunlei Zhou, in een verklaring: "De specifieke 'kwetsbaarheden' die Omo en Rowley aangaven, zijn al bekend bij professionals in de branche en hebben in feite ook gevolgen voor andere leveranciers van kluissloten die vergelijkbare chips gebruiken", schrijft Zhou. "Het uitvoeren van een aanval op basis van deze kwetsbaarheden vereist gespecialiseerde kennis, vaardigheden en apparatuur, en we hebben geen gegevens van een klant die ooit ook maar één kluisslot heeft weten te kraken door middel van deze aanval."

In de verklaring van Zhou worden ook andere manieren genoemd waarop kluissloten geopend kunnen worden. Denk bijvoorbeeld aan boren en snijden of het gebruik van een slotenmakersapparaat genaamd Little Black Box. Dit apparaat maakt misbruik van kwetsbaarheden in sommige merken elektronische kluissloten.

Omo en Rowley antwoorden dat de kwetsbaarheden die ze vonden niet eerder openbaar waren; voor één van de twee is geen speciale apparatuur nodig, ondanks Zhou's bewering; en geen van de andere technieken die Zhou noemt, vormt een zo ernstig beveiligingslek als hun bevindingen met de Securam ProLogic-sloten. De brute-force-methoden waar Zhou naar verwijst, zoals snijden en boren, zijn veel langzamer en minder heimelijk – of, zoals de Little Black Box, alleen beschikbaar voor slotenmakers en is niet publiekelijk aangetoond dat ze door onbevoegde hackers kunnen worden uitgebuit.

Zhou voegde eraan toe dat Securam de kwetsbaarheden die Omo en Rowley in toekomstige modellen van het ProLogic-slot hebben gevonden, zal verhelpen. "Klantveiligheid is onze prioriteit en we zijn begonnen met het ontwikkelen van nieuwe producten om deze potentiële aanvallen te dwarsbomen", schrijft hij. "We verwachten tegen het einde van het jaar nieuwe sloten op de markt te brengen."

In een vervolggesprek bevestigde Jeremy Brookes, verkoopdirecteur van Securam, dat Securam geen plannen heeft om de kwetsbaarheid in sloten die al in gebruik zijn op de kluizen van klanten te verhelpen. Hij raadt kluisbezitters die zich zorgen maken aan om een nieuw slot te kopen en het slot van hun kluis te vervangen. "We gaan geen firmwarepakket aanbieden dat het slot upgradet", zegt Brookes. "We gaan ze een nieuw product aanbieden."

Brookes voegt eraan toe dat hij gelooft dat Omo en Rowley Securam ‘eruit pikken’ met de bedoeling het bedrijf ‘in diskrediet te brengen’.

Omo antwoordt dat dat helemaal niet hun bedoeling is. "We proberen het publiek bewust te maken van de kwetsbaarheden in een van de populairste kluissloten op de markt", zegt hij.

Naast Liberty Safe worden Securam ProLogic-sloten gebruikt door een breed scala aan kluisfabrikanten, waaronder Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists en apotheekkluisbedrijven Cennox en NarcSafe, volgens onderzoek van Omo en Rowley. De sloten zijn ook te vinden in kluizen die door CVS worden gebruikt voor de opslag van verdovende middelen en door diverse Amerikaanse restaurantketens voor de opslag van contant geld.

Rowley en Omo zijn niet de eersten die hun zorgen uiten over de veiligheid van Securam-sloten. In maart vorig jaar schreef de Amerikaanse senator Ron Wyden een open brief aan Michael Casey, destijds directeur van het National Counterintelligence and Security Center, waarin hij Casey aanspoorde om Amerikaanse bedrijven duidelijk te maken dat sloten van Securam, eigendom van een Chinees moederbedrijf, een fabrieksresetfunctie hebben. Die functie, schreef Wyden, zou als achterdeur kunnen worden gebruikt – een risico dat er al toe had geleid dat Securam-sloten verboden waren voor gebruik door de Amerikaanse overheid, net als alle andere sloten met een fabrieksresetfunctie, terwijl ze wel veel worden gebruikt door particuliere Amerikaanse bedrijven.

Naar aanleiding van het nieuws over het onderzoek van Rowley en Omo schreef Wyden in een verklaring aan WIRED dat de bevindingen van de onderzoekers precies het risico van een achterdeurtje weergeven (in kluizen of in encryptiesoftware) waar hij de aandacht op heeft proberen te vestigen.

"Experts waarschuwen al jaren dat achterdeurtjes door onze tegenstanders uitgebuit zullen worden, maar in plaats van te handelen naar mijn waarschuwingen en die van veiligheidsexperts, heeft de overheid het Amerikaanse publiek kwetsbaar gemaakt", schrijft Wyden. "Dit is precies waarom het Congres oproepen voor nieuwe achterdeurtjes in encryptietechnologie moet verwerpen en alle pogingen van andere regeringen, zoals die van het Verenigd Koninkrijk , om Amerikaanse bedrijven te dwingen hun encryptie te verzwakken om overheidssurveillance te vergemakkelijken, moet tegengaan."

Het onderzoek van Rowley en Omo begon met diezelfde zorg: een grotendeels onbekende ontgrendelingsmethode in kluizen zou een breder veiligheidsrisico kunnen vormen. Aanvankelijk gingen ze op zoek naar het mechanisme achter de Liberty Safe-achterdeur die in 2023 voor veel kritiek op het bedrijf had gezorgd, en vonden een relatief eenvoudig antwoord: Liberty Safe bewaart een resetcode voor elke kluis en stelt deze in sommige gevallen beschikbaar aan de Amerikaanse wetshandhaving.

Liberty Safe heeft inmiddels op haar website geschreven dat er nu een dagvaarding, een gerechtelijk bevel of een ander juridisch proces nodig is om de hoofdcode te overhandigen. Ook zal Liberty Safe een kopie van de code verwijderen op verzoek van de eigenaar van de kluis.

Rowley en Omo vonden geen enkel beveiligingslek dat hen in staat zou stellen misbruik te maken van die specifieke rechtshandhavingsvriendelijke achterdeur. Toen ze het Securam ProLogic-slot gingen onderzoeken, bracht hun onderzoek naar de duurdere versie van de twee soorten Securam-sloten die op Liberty Safe-producten worden gebruikt echter iets interessanters aan het licht. De sloten hebben een resetmethode die in hun handleiding is vastgelegd en die in theorie bedoeld is voor gebruik door slotenmakers die kluisbezitters helpen die hun ontgrendelcode zijn vergeten.

Voer een "herstelcode" in het slot in (standaard ingesteld op "999999"). Het slot gebruikt die waarde, een ander getal dat in het slot is opgeslagen, de zogenaamde encryptiecode, en een derde, willekeurige variabele om een code te berekenen die op het scherm wordt weergegeven. Een erkende slotenmaker kan die code vervolgens telefonisch voorlezen aan een Securam-medewerker, die vervolgens die waarde en een geheim algoritme gebruikt om een resetcode te berekenen die de slotenmaker op het toetsenbord kan invoeren om een nieuwe ontgrendelingscombinatie in te stellen.

Omo en Rowley ontdekten echter dat ze door de firmware van de Securam ProLogic te analyseren alles konden vinden wat ze nodig hadden om die resetcode zelf te berekenen. "Er is geen noemenswaardige hardwarebeveiliging", zegt Rowley. "Dus we konden het hele geheime algoritme reverse-engineeren door simpelweg de firmware in het slot te lezen." De resulterende kraakmethode vereist weinig meer dan het invoeren van een paar getallen in een Python-script dat ze schreven. Ze noemen de techniek ResetHeist.

De onderzoekers merken op dat kluisbezitters deze ResetHeist-techniek kunnen voorkomen door de herstelcode of de encryptiecode van hun slot te wijzigen. Maar Securam raadt deze beveiliging niet aan in de gebruikersdocumentatie die de onderzoekers online konden vinden, alleen in een handleiding van sommige fabrikanten en slotenmakers. In een andere Securam-webinar die Omo en Rowley vonden, merkt Securam op dat je de codes kunt wijzigen, maar dat dit niet nodig is, en dat de codes "meestal nooit" worden gewijzigd. In elk slot dat de onderzoekers testten, waaronder een handvol die ze tweedehands op eBay kochten, waren de codes niet gewijzigd. "We hebben nog geen slot gekocht waarop de herstelmethode niet werkte", zegt Omo.

De tweede techniek die de onderzoekers ontwikkelden, die ze CodeSnatch noemen, is eenvoudiger. Door de batterij uit een Securam ProLogic-slot te halen en een klein handgereedschap, gemaakt met een Raspberry Pi-minicomputer, in een open debugpoort te steken, kunnen ze een 'supercode'-combinatie uit het slot halen die op het scherm van hun gereedschap wordt weergegeven en die kan worden gebruikt om het slot direct te openen.

De onderzoekers ontdekten de CodeSnatch-truc door reverse engineering toe te passen op de Renesas-chip die als hoofdprocessor van het slot fungeert. Die taak werd aanzienlijk vereenvoudigd door het werk van een groep genaamd fail0verflow, die hun analyse van dezelfde Renesas-chip had gepubliceerd als onderdeel van hun pogingen om de PlayStation 4 te kraken, die ook die processor gebruikt. Omo en Rowley bouwden hun tool om de firmware van de chip te herprogrammeren, zodat alle informatie via de debugpoort wordt gedumpt – inclusief de versleutelde 'supercode' en de sleutel, die ook op de chip is opgeslagen en die de code ontsleutelt. "Het is echt niet zo moeilijk", zegt Rowley. "Onze kleine tool doet dat, en vertelt je vervolgens wat de supercode is."

Om via de debugpoort toegang te krijgen tot de code van het slot, moet je wel een wachtwoord invoeren. Maar Omo en Rowley zeggen dat dat wachtwoord absurd eenvoudig was, en dat ze het met succes hebben geraden. Ze ontdekten dat Securam in een nieuwer Securam ProLogic-slot, geproduceerd in maart van dit jaar, het wachtwoord had gewijzigd, maar dat ze het opnieuw konden leren met behulp van een 'voltage glitching'-techniek: door een schakelaar op de spanningsregelaar op de chip te solderen, konden ze de elektrische spanning ervan manipuleren op het exacte moment dat de wachtwoordcontrole werd uitgevoerd, om die controle te omzeilen en vervolgens de inhoud van de chip te dumpen – inclusief het nieuwe wachtwoord.

Naast Securam heeft WIRED contact opgenomen met tien kluizenfabrikanten die Securam ProLogic-sloten op hun kluizen lijken te gebruiken, evenals met CVS. De meesten reageerden niet, maar een woordvoerder van High Noble Safe Company schreef in een verklaring dat WIRED's onderzoek de eerste was die het bedrijf op de hoogte bracht van de kwetsbaarheden van Securam. WIRED onderzoekt nu de beveiliging van de sloten die in de productlijn worden gebruikt en bereidt richtlijnen voor klanten voor, waaronder "aanvullende fysieke beveiligingsmaatregelen of mogelijke vervangingsopties".

Een vertegenwoordiger van Liberty Safe merkte eveneens op dat het bedrijf niet op de hoogte was van de kwetsbaarheden van SecuRam. "We onderzoeken dit probleem momenteel samen met SecuRam en zullen er alles aan doen om onze klanten te beschermen", aldus een verklaring van de woordvoerder, "inclusief het valideren van andere potentiële leveranciers van sloten en het ontwikkelen van een nieuw, gepatenteerd sluitsysteem."

Een woordvoerder van CVS weigerde commentaar te geven op "specifieke beveiligingsprotocollen of -apparaten", maar schreef dat "de veiligheid van onze werknemers en patiënten onze topprioriteit is en dat we ons inzetten om de hoogste fysieke beveiligingsnormen te handhaven."

Rowley en Omo stellen dat het patchen van de beveiligingslekken van Securam Locks mogelijk is – hun eigen CodeSnatch-tool zou zelfs gebruikt kunnen worden om de firmware van de sloten te updaten. Maar een dergelijke oplossing zou handmatig, slot voor slot, moeten worden geïmplementeerd, een traag en duur proces.

Hoewel Omo en Rowley de volledige technische details of proof-of-conceptcode voor hun technieken niet vrijgeven, waarschuwen ze dat anderen met minder goede bedoelingen er nog steeds achter kunnen komen hoe ze hun kluiskrakerstrucs kunnen repliceren. "Als je de hardware hebt en bedreven bent in de techniek, zou dit ongeveer een week duren", zegt Omo.

Hij en Rowley besloten hun onderzoek openbaar te maken, ondanks dat risico, om eigenaren van kluizen ervan bewust te maken dat hun afgesloten metalen kluizen mogelijk niet zo veilig zijn als ze denken. Omo zegt dat ze in bredere zin de aandacht wilden vestigen op de grote verschillen in de Amerikaanse cybersecuritynormen voor consumentenproducten. Securam-sloten zijn gecertificeerd door Underwriters Laboratory, benadrukt hij, maar kampten met kritieke beveiligingslekken die moeilijk te verhelpen zullen zijn. (Underwriters Laboratory reageerde niet direct op het verzoek van WIRED om commentaar.)

In de tussentijd, zeggen ze, moeten eigenaren van kluis op zijn minst op de hoogte zijn van de gebreken van hun kluis en niet vertrouwen op een vals gevoel van veiligheid.

"We willen dat Securam dit oplost, maar belangrijker nog, we willen dat mensen weten hoe erg dit kan zijn", zegt Omo. "Elektronische sloten bevatten elektronica. En elektronica is moeilijk te beveiligen."