Hakerzy szukali tylnych drzwi w sejfach o wysokim poziomie bezpieczeństwa i teraz mogą je otworzyć w kilka sekund

Około dwa lata temu badacze bezpieczeństwa James Rowley i Mark Omo zainteresowali się skandalem w świecie sejfów elektronicznych : Liberty Safe, firma reklamująca się jako „wiodący w Ameryce producent solidnych sejfów domowych i na broń”, najwyraźniej przekazała FBI kod, który umożliwiał agentom otwieranie sejfu podejrzanego o popełnienie przestępstwa w odpowiedzi na nakaz wydany w związku z wtargnięciem do Kapitolu Stanów Zjednoczonych 6 stycznia 2021 r .

Pomijając kwestie polityczne, Rowley i Omo byli zaskoczeni, czytając, że stróże prawa tak łatwo mogli przeniknąć do zamkniętej metalowej skrzynki – nawet urządzenia podłączonego do internetu – że nikt poza właścicielem nie powinien znać kodu do jej otwarcia. „Jak to możliwe, że istnieje ten fizyczny system bezpieczeństwa, a ktoś inny ma klucze do królestwa?” – pyta Omo.

Postanowili więc zbadać, jak działa ta tylna furtka. Przy okazji odkryli coś znacznie poważniejszego: kolejną formę tylnej furtki, która umożliwiała autoryzowanym ślusarzom otwieranie nie tylko sejfów Liberty Safe, ale także zamków Securam Prologic o wysokim poziomie bezpieczeństwa, używanych w wielu sejfach Liberty i co najmniej siedmiu innych marek. Co bardziej niepokojące, odkryli sposób, w jaki haker mógł wykorzystać tę tylną furtkę – która miała być dostępna tylko z pomocą producenta – do samodzielnego otwarcia sejfu w ciągu kilku sekund. W trakcie badań odkryli również kolejną lukę w zabezpieczeniach wielu nowszych wersji zamków Securam, która pozwalała cyfrowemu włamywaczowi włożyć narzędzie do ukrytego portu w zamku i natychmiast uzyskać kod odblokowujący sejf.

Dziś, na konferencji hakerskiej Defcon w Las Vegas, Omo i Rowley po raz pierwszy upublicznili swoje odkrycia, prezentując na scenie dwie różne metody otwierania elektronicznych sejfów wyposażonych w zamki Securam ProLogic, które służą do ochrony wszystkiego, od broni palnej po gotówkę w sklepach detalicznych i narkotyki w aptekach.

Chociaż obie techniki stanowią rażące luki w zabezpieczeniach, Omo twierdzi, że to ta, która wykorzystuje funkcję przeznaczoną dla ślusarzy jako legalna metoda otwierania zamków, jest bardziej rozpowszechniona i niebezpieczna. „Ten atak polega na tym, że mając sejf z takim zamkiem, mógłbym dosłownie od razu odczytać kod, bez żadnego specjalistycznego sprzętu, bez niczego” – mówi Omo. „Nagle, na podstawie naszych testów, wygląda na to, że ludzie potrafią otworzyć niemal każdy zamek Securam Prologic na świecie”.

Omo i Rowley prezentują obie swoje metody łamania sejfów w dwóch poniższych filmach, na których widać, jak wykonują te techniki na własnoręcznie wykonanym sejfie ze standardowym, niezmodyfikowanym zamkiem Securam ProLogic:

Omo i Rowley twierdzą, że poinformowali Securam o obu swoich metodach otwierania sejfów wiosną ubiegłego roku, ale do tej pory utrzymywali ich istnienie w tajemnicy z powodu gróźb prawnych ze strony firmy. „Skierujemy tę sprawę do naszego prawnika ds. zniesławienia handlowego, jeśli zdecydujecie się na publiczną publikację lub ujawnienie informacji” – napisał przedstawiciel Securam do obu badaczy przed zeszłoroczną konferencją Defcon, na której planowali zaprezentować swoje badania.

Dopiero po uzyskaniu bezpłatnej pomocy prawnej od Coders' Rights Project, organizacji Electronic Frontier Foundation, para zdecydowała się zrealizować swój plan, mówiąc o lukach w zabezpieczeniach Securam na konferencji Defcon. Omo i Rowley twierdzą, że do tej pory starają się nie ujawniać zbyt wielu szczegółów technicznych, które mogłyby pomóc innym w kopiowaniu ich technik, jednocześnie starając się ostrzec właścicieli sejfów o dwóch różnych lukach w zabezpieczeniach, które występują w wielu ich urządzeniach.

Kiedy WIRED zwrócił się do Securam z prośbą o komentarz, prezes firmy, Chunlei Zhou, odpowiedział w oświadczeniu. „Konkretne 'luki', o których donoszą Omo i Rowley, są już dobrze znane specjalistom z branży i w rzeczywistości dotyczą również innych dostawców zamków do sejfów, którzy używają podobnych chipów” – pisze Zhou. „Przeprowadzenie jakiegokolwiek ataku opartego na tych lukach wymaga specjalistycznej wiedzy, umiejętności i sprzętu. Nie mamy żadnych danych o żadnym kliencie, któremu kiedykolwiek udało się złamać choć jeden zamek do sejfu za pomocą tego ataku”.

W dalszej części oświadczenia Zhou wskazał na inne sposoby otwierania zamków sejfów, począwszy od wiercenia i cięcia, aż po użycie urządzenia ślusarskiego zwanego małą czarną skrzynką , wykorzystującego luki w zabezpieczeniach niektórych marek elektronicznych zamków do sejfów.

Omo i Rowley odpowiadają, że znalezione przez nich luki nie były wcześniej znane opinii publicznej; jedna z nich nie wymaga specjalistycznego sprzętu, wbrew twierdzeniom Zhou; a żadna z pozostałych technik wymienionych przez Zhou nie stanowi tak poważnej luki w zabezpieczeniach, jak ich odkrycia dotyczące zamków Securam ProLogic. Metody siłowego łamania sejfów, na które wskazuje Zhou, takie jak cięcie i wiercenie, są znacznie wolniejsze i mniej dyskretne – lub, jak Little Black Box, są dostępne tylko dla ślusarzy i nie wykazano publicznie, że mogą być wykorzystane przez nieautoryzowanych hakerów.

Zhou dodał w swoim oświadczeniu, że Securam naprawi luki w zabezpieczeniach, które Omo i Rowley znaleźli w przyszłych modelach zamka ProLogic. „Bezpieczeństwo klientów jest naszym priorytetem i rozpoczęliśmy proces tworzenia produktów nowej generacji, aby zapobiegać tym potencjalnym atakom” – pisze. „Spodziewamy się, że nowe zamki pojawią się na rynku do końca roku”.

W dalszej rozmowie telefonicznej dyrektor ds. sprzedaży Securam, Jeremy Brookes, potwierdził, że Securam nie planuje naprawiać luki w zabezpieczeniach zamków już używanych w sejfach klientów, ale sugeruje właścicielom sejfów, którzy są zaniepokojeni, zakup nowego zamka i wymianę tego w sejfie. „Nie będziemy oferować pakietu oprogramowania układowego, który go zaktualizuje” – mówi Brookes. „Zaoferujemy im nowy produkt”.

Brookes dodaje, że jego zdaniem Omo i Rowley „dyskredytują” Securam, aby „zdyskredytować” firmę.

Omo odpowiada, że wcale nie mają takiego zamiaru. „Staramy się uświadomić opinii publicznej luki w zabezpieczeniach jednego z najpopularniejszych zamków sejfowych na rynku” – mówi.

Oprócz sejfów Liberty Safe, zamki Securam ProLogic są używane przez wielu producentów sejfów, w tym Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists oraz firmy produkujące sejfy farmaceutyczne Cennox i NarcSafe, zgodnie z badaniami Omo i Rowley. Zamki te można również znaleźć w sejfach używanych przez sieć aptek CVS do przechowywania narkotyków oraz w wielu amerykańskich sieciach restauracji do przechowywania gotówki.

Rowley i Omo nie są pierwszymi, którzy wyrażają obawy dotyczące bezpieczeństwa zamków Securam. W marcu ubiegłego roku senator USA Ron Wyden napisał list otwarty do Michaela Caseya, ówczesnego dyrektora Narodowego Centrum Kontrwywiadu i Bezpieczeństwa, wzywając Caseya do wyraźnego poinformowania amerykańskich firm, że zamki do sejfów produkowane przez Securam, należącą do chińskiej spółki-matki, posiadają funkcję resetowania przez producenta. Funkcja ta, jak napisał Wyden, mogłaby zostać wykorzystana jako furtka – ryzyko, które doprowadziło już do zakazu użytkowania zamków Securam przez rząd USA, podobnie jak wszystkich innych zamków z resetowaniem przez producenta, mimo że są one powszechnie używane przez prywatne firmy amerykańskie.

Po zapoznaniu się z wynikami badań Rowleya i Omo, Wyden napisał w oświadczeniu dla WIRED, że odkrycia badaczy odzwierciedlają dokładnie to ryzyko, jakie niesie ze sobą obecność tylnych drzwi – czy to w sejfach, czy w oprogramowaniu szyfrującym – na które próbował zwrócić uwagę.

„Eksperci od lat ostrzegają, że nasi przeciwnicy będą wykorzystywać tylne furtki, jednak zamiast działać zgodnie z moimi ostrzeżeniami i ostrzeżeniami ekspertów ds. bezpieczeństwa, rząd naraził amerykańską opinię publiczną na niebezpieczeństwo” – pisze Wyden. „Właśnie dlatego Kongres musi odrzucić apele o nowe tylne furtki w technologii szyfrowania i zwalczać wszelkie próby innych rządów, takich jak Wielka Brytania , zmuszające amerykańskie firmy do osłabiania szyfrowania w celu ułatwienia rządowej inwigilacji”.

Badania Rowleya i Omo rozpoczęły się od tej samej obawy, że w dużej mierze nieujawniona metoda otwierania sejfów może stanowić szersze zagrożenie bezpieczeństwa. Początkowo poszukiwali mechanizmu kryjącego się za tylnym wejściem Liberty Safe, które wywołało negatywną reakcję na firmę w 2023 roku, i znaleźli stosunkowo prostą odpowiedź: Liberty Safe przechowuje kod resetowania dla każdego sejfu i, w niektórych przypadkach, udostępnia go amerykańskim organom ścigania.

Liberty Safe poinformowało później na swojej stronie internetowej , że teraz do przekazania kodu głównego potrzebne jest wezwanie sądowe, nakaz sądowy lub inny obowiązkowy proces prawny, a na prośbę właściciela sejfu usunie także swoją kopię kodu.

Rowley i Omo nie znaleźli żadnej luki w zabezpieczeniach, która pozwoliłaby im wykorzystać tę konkretną, przyjazną organom ścigania, tylną furtkę. Jednak kiedy zaczęli badać zamek Securam ProLogic, ich badania nad zamkami Securam wyższej klasy, używanymi w produktach Liberty Safe, ujawniły coś bardziej intrygującego. Zamki posiadają metodę resetowania opisaną w instrukcji, teoretycznie przeznaczoną dla ślusarzy pomagających właścicielom sejfów, którzy zapomnieli kodu odblokowującego.

Wprowadź „kod odzyskiwania” do zamka – domyślnie ustawiony na „999999” – a zamek użyje tej wartości, innej liczby zapisanej w zamku, zwanej kodem szyfrującym, oraz trzeciej, losowej zmiennej do obliczenia kodu wyświetlanego na ekranie. Autoryzowany ślusarz może następnie odczytać ten kod telefonicznie przedstawicielowi Securam, który następnie, wykorzystując tę wartość i tajny algorytm, obliczy kod resetowania, który ślusarz może wprowadzić na klawiaturę, aby ustawić nową kombinację odblokowującą.

Omo i Rowley odkryli jednak, że analizując oprogramowanie sprzętowe Securam ProLogic, mogli znaleźć wszystko, czego potrzebowali, aby samodzielnie obliczyć kod resetu. „Nie ma mowy o żadnym zabezpieczeniu sprzętowym” – mówi Rowley. „Moglibyśmy więc odtworzyć cały tajny algorytm, po prostu odczytując oprogramowanie sprzętowe w zamku”. Opracowana metoda łamania sejfów wymaga jedynie wprowadzenia kilku cyfr do skryptu w Pythonie, który napisali. Technikę tę nazwali ResetHeist.

Naukowcy zauważają, że właściciele sejfów mogą zapobiec technice ResetHeist, zmieniając kod odzyskiwania zamka lub kod szyfrujący. Securam nie zaleca jednak tego zabezpieczenia w żadnej dokumentacji użytkownika, jaką badacze mogli znaleźć online, a jedynie w podręcznikach dla niektórych producentów i ślusarzy. W innym webinarium Securam, które Omo i Rowley odkryli, Securam zauważa, że kody można zmieniać, ale nie jest to konieczne i że kody „zwykle nigdy” nie są zmieniane. W każdym testowanym przez badaczy zamku, w tym w kilku używanych, które kupili na eBayu, kody nie zostały zmienione. „Nie kupiliśmy jeszcze zamka, w którym metoda odzyskiwania nie zadziałałaby” – mówi Omo.

Druga technika opracowana przez badaczy, którą nazywają CodeSnatch, jest prostsza. Wyjmując baterię z zamka Securam ProLogic i wkładając małe narzędzie ręczne, stworzone na minikomputerze Raspberry Pi, do widocznego portu debugowania w środku, naukowcy mogą odczytać z zamka kombinację „superkodu”, która wyświetla się na ekranie narzędzia i może zostać użyta do natychmiastowego otwarcia zamka.

Naukowcy odkryli, że sztuczka CodeSnatch polega na inżynierii wstecznej układu Renesas, który pełni funkcję głównego procesora zamka. Zadanie to zostało znacznie ułatwione dzięki pracy grupy o nazwie fail0verflow, która opublikowała analizę tego samego układu Renesas w ramach prób złamania zabezpieczeń PlayStation 4, również korzystającego z tego procesora. Omo i Rowley stworzyli narzędzie do przeprogramowania oprogramowania układowego, aby zrzucić wszystkie informacje przez port debugowania – w tym zaszyfrowany „superkod” i klucz, również zapisany na układzie, który go odszyfrowuje. „To naprawdę nie jest takie trudne” – mówi Rowley. „Nasze małe narzędzie to robi, a następnie podaje, jaki jest superkod”.

Uzyskanie dostępu do kodu zamka przez port debugowania wymaga podania hasła. Jednak Omo i Rowley twierdzą, że hasło było absurdalnie proste i udało im się je odgadnąć. Odkryli, że w jednym z nowszych zamków Securam ProLogic, wyprodukowanym w marcu tego roku, Securam zmienił hasło, ale udało im się je odtworzyć, stosując technikę „zakłócania napięcia”: lutując przełącznik do regulatora napięcia w chipie, mogli manipulować jego napięciem elektrycznym dokładnie w momencie, gdy wykonywał on weryfikację hasła, aby ominąć tę weryfikację i następnie usunąć zawartość chipa – w tym nowe hasło.

Oprócz Securam, WIRED skontaktował się z 10 producentami sejfów, którzy prawdopodobnie stosują zamki Securam ProLogic w swoich sejfach, a także z CVS. Większość nie odpowiedziała, ale rzecznik High Noble Safe Company napisał w oświadczeniu, że zapytanie WIRED było pierwszym, z jakim dowiedział się o lukach w zabezpieczeniach Securam, i że obecnie analizuje bezpieczeństwo zamków używanych w swojej linii produktów oraz przygotowuje wytyczne dla klientów, w tym „dodatkowe środki bezpieczeństwa fizycznego lub potencjalne opcje wymiany”.

Przedstawiciel Liberty Safe zauważył również, że firma nie była wcześniej świadoma luk w zabezpieczeniach Securam. „Aktualnie badamy ten problem z SecuRam i dołożymy wszelkich starań, aby chronić naszych klientów” – czytamy w oświadczeniu rzecznika – „w tym weryfikację innych potencjalnych dostawców zamków i opracowanie nowego, zastrzeżonego systemu zamków”.

Rzecznik CVS odmówił komentarza na temat „konkretnych protokołów lub urządzeń bezpieczeństwa”, napisał jednak, że „bezpieczeństwo naszych pracowników i pacjentów jest dla nas priorytetem i jesteśmy zobowiązani do utrzymania najwyższych standardów bezpieczeństwa fizycznego”.

Rowley i Omo twierdzą, że załatanie luk w zabezpieczeniach zamków Securam jest możliwe – ich własne narzędzie CodeSnatch mogłoby zostać użyte do aktualizacji oprogramowania zamków. Jednak każda taka poprawka musiałaby zostać wdrożona ręcznie, zamek po zamku, co byłoby powolnym i kosztownym procesem.

Chociaż Omo i Rowley nie ujawniają pełnych szczegółów technicznych ani żadnego kodu koncepcyjnego swoich technik, ostrzegają, że inni, o mniej dobrych intencjach, wciąż mogą dowiedzieć się, jak powtórzyć ich sztuczki łamania sejfów. „Jeśli masz sprzęt i jesteś wprawiony w tej sztuce, zajęłoby ci to około tygodnia” – mówi Omo.

On i Rowley zdecydowali się upublicznić swoje badania, pomimo ryzyka, aby uświadomić właścicielom sejfów, że ich zamykane metalowe skrzynki mogą nie być tak bezpieczne, jak im się wydaje. Mówiąc szerzej, Omo mówi, że chcieli zwrócić uwagę na znaczne luki w amerykańskich standardach cyberbezpieczeństwa dla produktów konsumenckich. Zamki Securam są certyfikowane przez Underwriters Laboratory, jak zauważa, jednak mają krytyczne luki w zabezpieczeniach, które będą trudne do naprawienia. (Underwriters Laboratory nie odpowiedziało natychmiast na prośbę WIRED o komentarz).

Tymczasem, jak twierdzą, właściciele sejfów powinni przynajmniej zdawać sobie sprawę z ich wad, a nie polegać na fałszywym poczuciu bezpieczeństwa.

„Chcemy, żeby Securam to naprawił, ale co ważniejsze, chcemy, żeby ludzie wiedzieli, jak poważne to może być” – mówi Omo. „Zamki elektroniczne mają w sobie elektronikę. A elektronikę trudno zabezpieczyć”.