Hackers procuraram uma porta dos fundos em cofres de alta segurança e agora podem abri-los em segundos

Cerca de dois anos atrás, os pesquisadores de segurança James Rowley e Mark Omo ficaram curiosos sobre um escândalo no mundo dos cofres eletrônicos : a Liberty Safe, que se autodenomina "fabricante número 1 da América de cofres para armas e residências de alta resistência", aparentemente deu ao FBI um código que permitia aos agentes abrir o cofre de um suspeito criminoso em resposta a um mandado relacionado à invasão do Capitólio dos EUA em 6 de janeiro de 2021 .

Deixando a política de lado, Rowley e Omo ficaram surpresos ao ler que era tão fácil para a polícia invadir uma caixa de metal trancada — mesmo que não fosse um dispositivo conectado à internet — que ninguém, exceto o proprietário, deveria ter o código para abri-la. "Como é possível que exista esse produto de segurança física e outra pessoa tenha as chaves do reino?", pergunta Omo.

Então, eles decidiram tentar descobrir como essa backdoor funcionava. No processo, eles encontrariam algo muito maior: outra forma de backdoor, destinada a permitir que chaveiros autorizados abrissem não apenas os dispositivos Liberty Safe, mas também as fechaduras de alta segurança Securam Prologic usadas em muitos cofres da Liberty e em pelo menos sete outras marcas. Mais alarmante ainda, eles descobriram uma maneira de um hacker explorar essa backdoor — que deveria ser acessível apenas com a ajuda do fabricante — para abrir um cofre sozinho em segundos. Em meio à pesquisa, eles também encontraram outra vulnerabilidade de segurança em muitas versões mais recentes das fechaduras Securam, que permitiria que um arrombador de cofres digital inserisse uma ferramenta em uma porta oculta da fechadura e obtivesse instantaneamente o código de desbloqueio do cofre.

Hoje, na conferência de hackers Defcon em Las Vegas, Omo e Rowley tornaram suas descobertas públicas pela primeira vez, demonstrando no palco seus dois métodos distintos para abrir cofres eletrônicos vendidos com fechaduras Securam ProLogic, que são usados para proteger tudo, desde armas de fogo pessoais a dinheiro em lojas de varejo e narcóticos em farmácias.

Embora ambas as técnicas representem vulnerabilidades de segurança gritantes, Omo afirma que a mais difundida e perigosa é a que explora um recurso concebido como um método legítimo de desbloqueio para chaveiros. "Este ataque é algo que, se você tivesse um cofre com esse tipo de fechadura, eu poderia literalmente obter o código agora mesmo, sem nenhum hardware especializado, nada", diz Omo. "De repente, com base em nossos testes, parece que as pessoas conseguem abrir praticamente qualquer fechadura Securam Prologic do mundo."

Omo e Rowley demonstram seus métodos de arrombamento de cofres nos dois vídeos abaixo, que os mostram executando as técnicas em seu próprio cofre personalizado com uma fechadura Securam ProLogic padrão e inalterada:

Omo e Rowley afirmam ter informado a Securam sobre suas técnicas de abertura de cofres na primavera do ano passado, mas até agora mantiveram sua existência em segredo devido a ameaças legais da empresa. "Remetemos este assunto ao nosso advogado de difamação comercial se vocês optarem pela via de anúncio público ou divulgação", escreveu um representante da Securam aos dois pesquisadores antes da Defcon do ano passado, onde planejavam apresentar sua pesquisa pela primeira vez.

Somente após obter representação legal pro bono do Projeto de Direitos dos Codificadores da Electronic Frontier Foundation, a dupla decidiu prosseguir com o plano de falar sobre as vulnerabilidades do Securam na Defcon. Omo e Rowley afirmam que, mesmo agora, estão tomando cuidado para não divulgar detalhes técnicos suficientes para ajudar outros a replicar suas técnicas, ao mesmo tempo em que tentam alertar os proprietários de cofres sobre duas vulnerabilidades diferentes que existem em muitos de seus dispositivos.

Quando a WIRED entrou em contato com a Securam para obter comentários, o CEO da empresa, Chunlei Zhou, respondeu em um comunicado. "As 'vulnerabilidades' específicas alegadas por Omo e Rowley já são bem conhecidas por profissionais do setor e, de fato, também afetam outros fornecedores de fechaduras de cofres que usam chips semelhantes", escreve Zhou. "Executar qualquer ataque baseado nessas vulnerabilidades exige conhecimento, habilidades e equipamentos especializados, e não temos registro de nenhum cliente que tenha tido uma única fechadura de cofre quebrada por meio desse ataque."

A declaração de Zhou continua apontando outras maneiras pelas quais as fechaduras dos cofres podem ser abertas, desde perfurações e cortes até o uso de um dispositivo de chaveiro chamado Little Black Box, que explora vulnerabilidades em algumas marcas de fechaduras de cofres eletrônicos.

Omo e Rowley respondem que as vulnerabilidades encontradas não eram de conhecimento público; uma das duas não requer nenhum equipamento especial, apesar da alegação de Zhou; e nenhuma das outras técnicas mencionadas por Zhou representa uma falha de segurança tão grave quanto suas descobertas sobre as fechaduras Securam ProLogic. Os métodos de arrombamento de cofres por força bruta que Zhou menciona, como cortar e furar, são muito mais lentos e menos furtivos — ou, como a Pequena Caixa Preta, estão disponíveis apenas para chaveiros e não foram demonstrados publicamente como passíveis de exploração por hackers não autorizados.

Zhou acrescentou em sua declaração que a Securam corrigirá as vulnerabilidades encontradas por Omo e Rowley em futuros modelos da fechadura ProLogic. "A segurança do cliente é nossa prioridade e iniciamos o processo de criação de produtos de última geração para impedir esses ataques em potencial", escreveu ele. "Esperamos ter novas fechaduras no mercado até o final do ano."

Em uma ligação subsequente, o diretor de vendas da Securam, Jeremy Brookes, confirmou que a empresa não tem planos para corrigir a vulnerabilidade nas fechaduras já utilizadas nos cofres dos clientes, mas sugere que os proprietários de cofres preocupados comprem uma nova fechadura e substituam a do seu cofre. "Não vamos oferecer um pacote de firmware que atualize o sistema", diz Brookes. "Vamos oferecer a eles um novo produto."

Brookes acrescenta que acredita que Omo e Rowley estão “destacando” a Securam com a intenção de “desacreditar” a empresa.

Omo responde que essa não é a intenção deles. "Estamos tentando conscientizar o público sobre as vulnerabilidades de uma das fechaduras de cofre mais populares do mercado", diz ele.

Além do Liberty Safe, as fechaduras Securam ProLogic são utilizadas por uma ampla variedade de fabricantes de cofres, incluindo Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists e as empresas de cofres para farmácias Cennox e NarcSafe, de acordo com a pesquisa de Omo e Rowley. As fechaduras também podem ser encontradas em cofres usados pela CVS para armazenar narcóticos e por diversas redes de restaurantes dos EUA para guardar dinheiro.

Rowley e Omo não são os primeiros a levantar preocupações sobre a segurança das fechaduras Securam. Em março do ano passado, o senador americano Ron Wyden escreveu uma carta aberta a Michael Casey, então diretor do Centro Nacional de Contrainteligência e Segurança, instando-o a deixar claro para as empresas americanas que as fechaduras de cofres fabricadas pela Securam, de propriedade de uma empresa chinesa, possuem um recurso de redefinição de fábrica. Esse recurso, escreveu Wyden, poderia ser usado como uma porta dos fundos — um risco que já havia levado à proibição das fechaduras Securam para uso do governo americano, assim como todas as outras fechaduras com redefinição de fábrica, mesmo sendo amplamente utilizadas por empresas privadas americanas.

Em resposta à descoberta da pesquisa de Rowley e Omo, Wyden escreveu em uma declaração à WIRED que as descobertas dos pesquisadores representam exatamente o risco de um backdoor — seja em cofres ou em software de criptografia — para o qual ele tentou chamar a atenção.

“Especialistas alertam há anos que backdoors serão explorados por nossos adversários, mas, em vez de agir de acordo com meus alertas e os de especialistas em segurança, o governo deixou o público americano vulnerável”, escreve Wyden. “É exatamente por isso que o Congresso deve rejeitar os pedidos por novos backdoors na tecnologia de criptografia e combater todos os esforços de outros governos, como o do Reino Unido , para forçar empresas americanas a enfraquecer sua criptografia para facilitar a vigilância governamental.”

A pesquisa de Rowley e Omo começou com a mesma preocupação: a de que um método de desbloqueio de cofres, em grande parte não divulgado, pudesse representar um risco de segurança mais amplo. Inicialmente, eles buscaram o mecanismo por trás da backdoor do Liberty Safe, que havia causado uma reação negativa contra a empresa em 2023, e encontraram uma resposta relativamente simples: o Liberty Safe mantém um código de redefinição para cada cofre e, em alguns casos, o disponibiliza às autoridades policiais dos EUA.

A Liberty Safe escreveu em seu site que agora exige uma intimação, uma ordem judicial ou outro processo legal obrigatório para entregar o código mestre e também excluirá sua cópia do código a pedido do proprietário do cofre.

Rowley e Omo não encontraram nenhuma falha de segurança que lhes permitisse explorar indevidamente aquela porta dos fundos, especialmente adequada para a aplicação da lei. Quando começaram a examinar a fechadura Securam ProLogic, no entanto, sua pesquisa sobre a versão mais avançada dos dois tipos de fechadura Securam usados nos produtos Liberty Safe revelou algo ainda mais intrigante. As fechaduras têm um método de reinicialização documentado em seu manual, projetado, em teoria, para uso por chaveiros que auxiliam proprietários de cofres que esqueceram seu código de desbloqueio.

Insira um "código de recuperação" na fechadura — definido como "999999" por padrão — e o sistema usará esse valor, outro número armazenado na fechadura, chamado código de criptografia, e uma terceira variável aleatória para calcular um código que será exibido na tela. Um chaveiro autorizado pode então ler esse código para um representante da Securam por telefone, que então usará esse valor e um algoritmo secreto para calcular um código de redefinição que o chaveiro poderá inserir no teclado para definir uma nova combinação de desbloqueio.

Omo e Rowley descobriram que, ao analisar o firmware do Securam ProLogic, eles poderiam encontrar tudo o que precisavam para calcular o código de redefinição por conta própria. "Não há segurança de hardware", diz Rowley. "Então, poderíamos fazer a engenharia reversa de todo o algoritmo secreto apenas lendo o firmware que está na fechadura." O método de arrombamento de cofres resultante requer pouco mais do que digitar alguns números em um script Python que eles escreveram. Eles chamam a técnica de ResetHeist.

Os pesquisadores observam que os proprietários de cofres podem evitar essa técnica ResetHeist alterando o código de recuperação ou o código de criptografia da fechadura. Mas a Securam não recomenda essa proteção em nenhuma documentação de usuário que os pesquisadores encontraram online, apenas em um manual de alguns fabricantes e chaveiros. Em outro webinar da Securam, Omo e Rowley descobriram que a Securam observa que é possível alterar os códigos, mas que isso não é necessário, e que os códigos "geralmente nunca" são alterados. Em todas as fechaduras testadas pelos pesquisadores, incluindo algumas que compraram usadas no eBay, os códigos não foram alterados. "Não compramos uma fechadura na qual o método de recuperação não funcionasse", diz Omo.

A segunda técnica desenvolvida pelos pesquisadores, chamada CodeSnatch, é mais simples. Ao remover a bateria de uma fechadura Securam ProLogic e inserir uma pequena ferramenta portátil, criada com um minicomputador Raspberry Pi, em uma porta de depuração exposta, eles conseguem extrair uma combinação de "supercódigo" da fechadura, que é exibida na tela da ferramenta e pode ser usada para abri-la imediatamente.

Os pesquisadores descobriram o truque do CodeSnatch por meio da engenharia reversa do chip Renesas que serve como processador principal da fechadura. Essa tarefa foi facilitada em muito pelo trabalho de um grupo chamado fail0verflow, que publicou sua análise do mesmo chip Renesas como parte de seus esforços para hackear o PlayStation 4, que também usa esse processador. Omo e Rowley construíram sua ferramenta para reprogramar o firmware do chip para despejar todas as suas informações pela porta de depuração — incluindo o "supercódigo" criptografado e a chave, também armazenada no chip, que o decifra. "Não é tão desafiador assim", diz Rowley. "Nossa pequena ferramenta faz isso e então informa qual é o supercódigo."

Para acessar o código da fechadura por meio de sua porta de depuração, é necessário inserir uma senha. Mas Omo e Rowley afirmam que a senha era absurdamente simples e que a adivinharam com sucesso. Descobriram que, em uma fechadura Securam ProLogic mais recente, fabricada em março deste ano, a Securam havia alterado a senha, mas conseguiram aprendê-la novamente usando uma técnica de "falha de voltagem": soldando uma chave no regulador de voltagem do chip, conseguiram alterar a voltagem elétrica no exato momento em que a verificação da senha era realizada, ignorando-a e, em seguida, descartando o conteúdo do chip — incluindo a nova senha.

Além da Securam, a WIRED entrou em contato com 10 fabricantes de cofres que aparentemente utilizam fechaduras Securam ProLogic em seus cofres, bem como com a CVS. A maioria não respondeu, mas um porta-voz da High Noble Safe Company escreveu em um comunicado que a investigação da WIRED foi a primeira a tomar conhecimento das vulnerabilidades da Securam e que agora está revisando a segurança das fechaduras utilizadas em sua linha de produtos e preparando orientações para os clientes, incluindo "medidas adicionais de segurança física ou possíveis opções de substituição".

Um representante da Liberty Safe também observou que a empresa não tinha conhecimento prévio das vulnerabilidades do Securam. "Estamos investigando este problema com o Securam e faremos o que for preciso para proteger nossos clientes", diz um comunicado do porta-voz, "incluindo a validação de outros potenciais fornecedores de fechaduras e o desenvolvimento de um novo sistema de fechaduras proprietário".

Um porta-voz da CVS se recusou a comentar sobre “protocolos ou dispositivos de segurança específicos”, mas escreveu que “a segurança de nossos funcionários e pacientes é uma prioridade máxima e estamos comprometidos em manter os mais altos padrões de segurança física”.

Rowley e Omo afirmam que corrigir as falhas de segurança da Securam Locks é possível — sua própria ferramenta CodeSnatch, aliás, poderia ser usada para atualizar o firmware das fechaduras. Mas qualquer correção desse tipo teria que ser implementada manualmente, fechadura por fechadura, um processo lento e caro.

Embora Omo e Rowley não divulguem os detalhes técnicos completos nem qualquer código de prova de conceito para suas técnicas, eles alertam que outros com intenções menos benevolentes ainda podem descobrir como replicar seus truques de arrombamento de cofres. "Se você tiver o hardware e for habilidoso na arte, isso levaria aproximadamente uma semana", diz Omo.

Apesar do risco, ele e Rowley decidiram tornar pública sua pesquisa, para alertar os proprietários de cofres de que suas caixas de metal trancadas podem não ser tão seguras quanto imaginam. De forma mais ampla, Omo afirma que eles queriam chamar a atenção para as grandes lacunas nos padrões de segurança cibernética dos EUA para produtos de consumo. As fechaduras Securam são certificadas pelo Underwriters Laboratory, ele ressalta — mas apresentam falhas críticas de segurança que serão difíceis de corrigir. (O Underwriters Laboratory não respondeu imediatamente ao pedido de comentário da WIRED.)

Enquanto isso, eles dizem, os proprietários de cofres deveriam pelo menos saber sobre as falhas de seus cofres — e não confiar em uma falsa sensação de segurança.

“Queremos que a Securam resolva isso, mas, mais importante, queremos que as pessoas saibam o quão grave isso pode ser”, diz Omo. “Fechaduras eletrônicas têm componentes eletrônicos dentro. E componentes eletrônicos são difíceis de proteger.”