Хакеры искали лазейку в сейфах с высокой степенью защиты — и теперь могут открыть их за считанные секунды

Около двух лет назад специалисты по безопасности Джеймс Роули и Марк Омо заинтересовались скандалом в мире электронных сейфов : компания Liberty Safe, которая позиционирует себя как «производитель №1 в Америке прочных сейфов для дома и оружия», предположительно предоставила ФБР код, который позволял агентам открывать сейфы подозреваемых в совершении преступлений в ответ на ордер, связанный со вторжением в здание Капитолия США 6 января 2021 года .

Оставив в стороне политику, Роули и Омо были ошеломлены, узнав, что правоохранительным органам так легко проникнуть в запертый металлический ящик — даже не через подключенное к интернету устройство, — что код для его открытия должен быть только у владельца. «Как такое возможно, что существует это физическое средство безопасности, а ключи от королевства находятся у кого-то другого?» — спрашивает Омо.

Поэтому они решили разобраться, как работает этот бэкдор. В процессе они обнаружили нечто гораздо большее: другую разновидность бэкдора, позволяющую авторизованным слесарям открывать не только устройства Liberty Safe, но и высоконадежные замки Securam Prologic, используемые во многих сейфах Liberty и как минимум семи других брендов. Ещё более тревожным оказалось то, что они обнаружили способ, позволяющий хакеру использовать этот бэкдор, доступ к которому был возможен только с помощью производителя, чтобы самостоятельно открыть сейф за считанные секунды. В ходе своего исследования они также обнаружили ещё одну уязвимость безопасности во многих новых версиях замков Securam, которая позволяла цифровому взломщику сейфов вставить инструмент в скрытый порт замка и мгновенно получить код разблокировки сейфа.

Сегодня на хакерской конференции Defcon в Лас-Вегасе Омо и Роули впервые обнародовали свои выводы, продемонстрировав на сцене два различных метода вскрытия электронных сейфов, продаваемых с замками Securam ProLogic, которые используются для защиты всего: от личного огнестрельного оружия до наличных денег в розничных магазинах и наркотиков в аптеках.

Хотя оба метода представляют собой вопиющие уязвимости безопасности, Омо утверждает, что более распространённым и опасным является тот, который использует функцию, предназначенную для легального метода разблокировки для слесарей. «Эта атака — нечто такое, что, если бы у вас был сейф с таким замком, я мог бы буквально прямо сейчас получить код без какого-либо специального оборудования, без каких-либо дополнительных инструментов», — говорит Омо. «Внезапно, судя по нашим тестам, оказывается, что злоумышленники могут взломать практически любой замок Securam Prologic в мире».

Омо и Роули демонстрируют оба своих метода взлома сейфов в двух видеороликах ниже, где они демонстрируют эти приемы на собственном изготовленном на заказ сейфе со стандартным, неизмененным замком Securam ProLogic:

Омо и Роули утверждают, что весной прошлого года они сообщили Securam об обоих своих методах вскрытия сейфов, но до сих пор скрывали их существование из-за угроз со стороны компании. «Мы передадим этот вопрос нашему адвокату по вопросам коммерческой клеветы, если вы выберете путь публичного объявления или раскрытия информации», — написал представитель Securam двум исследователям перед прошлогодней конференцией Defcon, где они планировали представить своё исследование.

Только после получения бесплатной юридической помощи от проекта «Права кодеров» Фонда электронных рубежей (Electronic Frontier Foundation) они решили реализовать свой план и рассказать об уязвимостях Securam на конференции Defcon. Омо и Роули говорят, что даже сейчас они стараются не раскрывать слишком много технических подробностей, чтобы другие не смогли скопировать их методы, но при этом стараются предупредить владельцев устройств о двух уязвимостях, присутствующих во многих их устройствах.

Когда WIRED обратился к Securam за комментарием, генеральный директор компании Чуньлэй Чжоу ответил заявлением. «Конкретные „уязвимости“, о которых говорят Омо и Роули, уже хорошо известны профессионалам отрасли и, по сути, затрагивают и других производителей сейфовых замков, использующих аналогичные чипы», — пишет Чжоу. «Проведение любой атаки с использованием этих уязвимостей требует специальных знаний, навыков и оборудования, и у нас нет информации о том, что хоть один из наших клиентов когда-либо был взломан с помощью этой атаки».

Далее в заявлении Чжоу указываются и другие способы вскрытия замков сейфов — от сверления и резки до использования слесарного устройства под названием « Маленький черный ящик», которое использует уязвимости в некоторых марках электронных замков сейфов.

Омо и Роули отвечают, что обнаруженные ими уязвимости ранее не были известны широкой публике; один из них не требует специального оборудования, несмотря на заявление Чжоу; и ни один из упомянутых Чжоу методов не представляет столь серьёзного недостатка безопасности, как их выводы о замках Securam ProLogic. Методы взлома сейфов методом прямого перебора, на которые указывает Чжоу, такие как резка и сверление, гораздо медленнее и менее скрытны, или, как «Маленький чёрный ящик», доступны только слесарям, и не было публично продемонстрировано, что они могут быть использованы неавторизованными хакерами.

Чжоу добавил в своём заявлении, что Securam устранит уязвимости, обнаруженные Омо и Роули в будущих моделях замков ProLogic. «Безопасность клиентов — наш приоритет, и мы начали процесс создания продуктов нового поколения для предотвращения этих потенциальных атак», — пишет он. «Мы рассчитываем вывести на рынок новые замки к концу года».

В ходе последующего телефонного разговора директор по продажам Securam Джереми Брукс подтвердил, что Securam не планирует устранять уязвимость в замках, уже установленных на сейфах клиентов, но рекомендует владельцам сейфов, обеспокоенным ситуацией, приобрести новый замок и заменить старый. «Мы не будем предлагать пакет прошивки для его обновления», — говорит Брукс. «Мы предложим им новый продукт».

Брукс добавляет, что, по его мнению, Омо и Роули «выделяют» Securam с целью «дискредитировать» компанию.

Омо отвечает, что это совсем не их намерение. «Мы пытаемся привлечь внимание общественности к уязвимостям одного из самых популярных сейфовых замков на рынке», — говорит он.

Помимо Liberty Safe, замки Securam ProLogic используются многими производителями сейфов, включая Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists, а также производителями сейфов для аптек Cennox и NarcSafe, согласно исследованию Омо и Роули. Эти замки также используются в сейфах, используемых CVS для хранения наркотиков и несколькими американскими сетями ресторанов для хранения наличных.

Роули и Омо — не первые, кто выражает обеспокоенность по поводу безопасности замков Securam. В марте прошлого года сенатор США Рон Уайден написал открытое письмо Майклу Кейси, тогдашнему директору Национального центра контрразведки и безопасности, призывая Кейси разъяснить американским компаниям, что замки Securam, принадлежащие китайской материнской компании, имеют функцию сброса настроек производителя. Эта возможность, писал Уайден, может быть использована в качестве лазейки — риск, который уже привел к запрету использования замков Securam правительством США, как и всех других замков с функцией сброса настроек производителя, несмотря на то, что они широко используются частными американскими компаниями.

Узнав об исследовании Роули и Омо, Уайден написал в заявлении для WIRED, что выводы исследователей представляют собой именно тот риск наличия бэкдора — будь то в сейфах или в программном обеспечении для шифрования, — на который он пытался обратить внимание.

«Эксперты годами предупреждали, что наши противники будут использовать бэкдоры, но вместо того, чтобы отреагировать на мои предупреждения и предупреждения экспертов по безопасности, правительство оставило американскую общественность уязвимой», — пишет Уайден. «Именно поэтому Конгресс должен отвергать призывы к созданию новых бэкдоров в технологиях шифрования и противостоять всем попыткам других правительств, таких как Великобритания , заставить американские компании ослабить шифрование для облегчения государственной слежки».

Исследование Роули и Омо началось с той же обеспокоенности: малоизвестный метод разблокировки сейфов может представлять собой более масштабную угрозу безопасности. Сначала они занялись поиском механизма, стоящего за бэкдором Liberty Safe, который вызвал волну негатива в адрес компании в 2023 году, и нашли относительно простой ответ: Liberty Safe хранит код сброса для каждого сейфа и в некоторых случаях предоставляет его правоохранительным органам США.

С тех пор Liberty Safe написала на своем веб-сайте , что теперь для передачи мастер-кода ей требуется повестка в суд, постановление суда или другой обязательный юридический процесс, а также что по запросу владельца сейфа она удалит свою копию кода.

Роули и Омо не обнаружили никаких уязвимостей, которые позволили бы им воспользоваться этим удобным для правоохранительных органов бэкдором. Однако, когда они начали изучать замок Securam ProLogic, их исследование более дорогой версии двух типов замков Securam, используемых в продукции Liberty Safe, выявило нечто более интересное. В руководстве к замкам описан метод сброса, теоретически предназначенный для слесарей, помогающих владельцам сейфов, забывшим код разблокировки.

Введите в замок «код восстановления» (по умолчанию «999999»), и он использует это значение, другое число, хранящееся в замке, называемое кодом шифрования, и третью случайную величину для вычисления кода, отображаемого на экране. Авторизованный слесарь может затем назвать этот код представителю Securam по телефону, который затем использует это значение и секретный алгоритм для вычисления кода сброса, который слесарь может ввести на клавиатуре, чтобы установить новую комбинацию разблокировки.

Однако Омо и Роули обнаружили, что, проанализировав прошивку Securam ProLogic, они смогли найти всё необходимое для самостоятельного вычисления этого кода сброса. «Никакой аппаратной защиты, пожалуй, нет», — говорит Роули. «Поэтому мы могли бы провести обратную разработку всего секретного алгоритма, просто прочитав прошивку замка». Полученный метод взлома сейфа требует лишь ввода нескольких цифр в написанный ими скрипт на Python. Они назвали этот метод ResetHeist.

Исследователи отмечают, что владельцы сейфов могут предотвратить эту технику ResetHeist, изменив код восстановления или код шифрования своего замка. Однако Securam не рекомендует использовать эту меру предосторожности ни в одной пользовательской документации, которую исследователи смогли найти в интернете, а только в руководствах для некоторых производителей и мастеров по замкам. В другом вебинаре Securam, который нашли Омо и Роули, Securam отмечает, что коды можно изменить, но это не обязательно, и что коды «обычно никогда» не меняются. В каждом замке, протестированном исследователями, включая несколько подержанных, купленных на eBay, коды не были изменены. «Мы не купили ни одного замка, на котором метод восстановления не сработал бы», — говорит Омо.

Второй метод, разработанный исследователями, названный ими CodeSnatch, более прост. Извлекая батарею из замка Securam ProLogic и вставляя небольшой ручной инструмент, изготовленный на базе мини-компьютера Raspberry Pi, в открытый отладочный порт внутри замка, они могут извлечь из замка комбинацию «суперкода», которая отображается на экране инструмента и может быть использована для его немедленного открытия.

Исследователи обнаружили этот трюк с CodeSnatch, проведя обратную разработку чипа Renesas, который служит основным процессором замка. Эта задача значительно упростилась благодаря работе группы fail0verflow, опубликовавшей результаты анализа того же чипа Renesas в рамках своих попыток взлома PlayStation 4, где также используется этот процессор. Омо и Роули создали свой инструмент для перепрограммирования прошивки чипа, чтобы сбросить всю его информацию через отладочный порт, включая зашифрованный «суперкод» и ключ, также хранящийся на чипе, для его расшифровки. «Это на самом деле не так уж сложно», — говорит Роули. «Наш небольшой инструмент делает это, а затем сообщает вам, какой это суперкод».

Для доступа к коду замка через отладочный порт требуется ввод пароля. Но Омо и Роули утверждают, что пароль был до смешного прост, и им удалось его подобрать. Они обнаружили, что в одном из новых замков Securam ProLogic, выпущенном в марте этого года, Securam сменила пароль, но им удалось узнать его заново, используя технику «подмены напряжения»: припаяв переключатель к регулятору напряжения на чипе, они могли изменить напряжение в тот самый момент, когда он выполнял проверку пароля, чтобы обойти эту проверку, а затем сбросить содержимое чипа, включая новый пароль.

Помимо Securam, WIRED обратился к 10 производителям сейфов, которые, по всей видимости, используют замки Securam ProLogic, а также к CVS. Большинство из них не ответили, но представитель High Noble Safe Company написал в заявлении, что запрос WIRED стал первым, о чём стало известно об уязвимостях Securam, и что в настоящее время компания изучает безопасность замков, используемых в её линейке продукции, и готовит рекомендации для клиентов, включая «дополнительные меры физической безопасности или возможные варианты замены».

Представитель Liberty Safe также отметил, что компания ранее не знала об уязвимостях Securam. «В настоящее время мы расследуем эту проблему совместно с SecuRam и сделаем всё возможное для защиты наших клиентов», — говорится в заявлении представителя, — «включая проверку других потенциальных поставщиков замков и разработку новой собственной системы замков».

Представитель CVS отказался комментировать «конкретные протоколы или устройства безопасности», но написал, что «безопасность наших сотрудников и пациентов является главным приоритетом, и мы стремимся поддерживать самые высокие стандарты физической безопасности».

Роули и Омо утверждают, что исправление уязвимостей безопасности Securam Locks возможно — их собственный инструмент CodeSnatch, по сути, может быть использован для обновления прошивки замков. Но любое такое исправление придётся вносить вручную, замок за замком, что является медленным и дорогостоящим процессом.

Хотя Омо и Роули не раскрывают все технические подробности или какой-либо код для подтверждения концепции своих методов, они предупреждают, что другие, с менее благими намерениями, всё равно могут придумать, как повторить их трюки по взлому сейфов. «Если у вас есть оборудование и вы разбираетесь в этом деле, это займёт примерно неделю», — говорит Омо.

Несмотря на риск, они с Роули решили обнародовать результаты своего исследования, чтобы предупредить владельцев сейфов, что их запертые металлические ящики могут быть не так надёжны, как им кажется. В более широком смысле, по словам Омо, они хотели привлечь внимание к серьёзным пробелам в американских стандартах кибербезопасности для потребительских товаров. Он отмечает, что замки Securam сертифицированы Лабораторией по технике безопасности США (Underwriters Laboratory), однако в них обнаружены критические уязвимости, которые будет сложно устранить. (Underwriters Laboratory пока не ответила на запрос WIRED о комментарии.)

В то же время, говорят они, владельцы сейфов должны, по крайней мере, знать о недостатках своих сейфов и не полагаться на ложное чувство безопасности.

«Мы хотим, чтобы Securam это исправила, но, что ещё важнее, мы хотим, чтобы люди знали, насколько это может быть плохо», — говорит Омо. «В электронных замках есть электроника. А её сложно защитить».