(Впервые опубликовано – сентябрь 2009)
Компьютерный хакинг и открывание замков без ключа
Для любого человека, регулярно имеющего дело с компьютером и интернетом, практически наверняка не является новостью, что ситуация с компьютерной безопасностью в целом обстоит довольно неважно.
Иначе говоря, доступные на рынке средства защиты способны предоставить системе лишь тот минимальный уровень безопасности, при котором она не привлекает своими слабостями обостренное внимание со стороны злоумышленников. Однако против целенаправленных атак со стороны опытных и умелых взломщиков стандартные средства защиты помочь не в силах.
Это ни для кого не секрет, и всем приходится с этим жить, пытаясь поддерживать безопасность своих компьютерных «домов» в виртуальном мире на более-менее приемлемом уровне.
В мире реальном ситуация с физическими средствами защиты домов и ценностей обстоит сложнее: с одной стороны точно так же, а с другой — существенно иначе. То есть в принципе, практически все замки, повсеместно применяемые людьми для безопасности, не особо хороши в том, для чего они непосредственно предназначены.
Они способны, конечно, удерживать на расстоянии обычных людей, не провоцируя их на нехорошие поступки, однако любой опытный грабитель или слесарь-ключник вскрывает стандартный дверной замок очень быстро.
Но при этом — в отличие от защиты компьютеров — общая атмосфера вокруг замков такова, что большинство людей как будто бы о слабостях не знает.
Казалось бы, все регулярно смотрят по телевизору отнюдь не фантастические передачи, в которых преступники или частные детективы то и дело с впечатляющей легкостью преодолевают самые разные запоры. Тем не менее, люди в массе своей продолжают слепо верить, что подобное происходит с кем-то и где-то, а вот их собственные замки должны защитить дом от вторжения непрошеных гостей.
Происходит это, ясное дело, вовсе не случайно, а как следствие давным-давно заведенной в обществе традиции — не публиковать для всеобщего доступа обширные сведения об известных слабостях замков, передавая их устно по наследству: от слесаря к слесарю и от жулика к жулику.
Делалось так на протяжении многих десятилетий, если не сказать веков, однако в конце концов появился интернет, который и начал радикально менять эту странноватую ситуацию, делая легко доступными для всех табуированные некогда знания.
Ключи, замки и хакеры
Одной из первых ласточек стало практическое пособие MIT Guide to Lockpicking, т.е. «Руководство по вскрытию замков» [www.lysator.liu.se/mit-guide/mit-guide.html], составленное студентами Массачусетского технологического института во главе с Бобом Болдуином (Bob Baldwin, также известный как Ted the Tool). Уже этот документ нес на себе заметный отпечаток своеобразной хакерской культуры, характерной для специалистов компьютерно-сетевого сообщества.
Затем, когда в начале 2003 года в центральных СМИ прошла нашумевшая публикация о «слесарной» работе известного криптографа Мэтта Блэйза [ Хакер, слесарь, экстрасенс ], одновременно заметно возрос и общий интерес хакеров к анализу и выявлению слабостей в физических запорных устройствах.
Блэйз, можно напомнить, из чистого любопытства занялся исследованием того, насколько полезными могут быть математические методы криптоанализа при изучении вещей, не связанных с компьютерами. Область замков и ключей была выбрана им по вполне очевидной причине, коль скоро именно отсюда компьютерная безопасность позаимствовала многие термины и метафоры.
И вот, изучив доступную литературу по слесарно-замочному делу и работе запирающих механизмов, Блэйз самостоятельно переоткрыл «страшную тайну» общераспространенных цилиндрических замков с мастер-ключом [www.crypto.com/masterkey.html], используемых аж с XIX века.
Применив к конструкции методы криптоанализа, эффективно сужающие область перебора возможных вариантов, ученый показал, что имея под рукой лишь один замок и открывающий его ключ, можно всего за несколько минут вычислить и подобрать — испортив не больше десятка болванок — форму универсального мастер-ключа, открывающего все замки серии…
В том же 2003 году на хакерских конференциях вроде DefCon и HOPE начал регулярно выступать Марк Тобиас (Marc Weber Tobias), виднейший американский специалист в области преодоления всевозможных запорных устройств, частный детектив-юрист, консультант и автор толстенного, на полторы тысячи страниц тома-руководства «Locks, Safes and Security: An International Police Reference» (Замки, сейфы и безопасность. Международный полицейский справочник).
На хакерских конференциях Тобиас не только рассказывает о критично важных аспектах в защите замков и физической безопасности в целом, но и находит близких единомышленников. Двое из них, поначалу консультанты по компьютерной безопасности Мэтт Фиддлер и Тоби Блузманис (Matt Fiddler, Toby Bluzmanis), ныне являются постоянными соавторами и коллегами Тобиаса в довольно скандальных исследованиях-разоблачениях (о чем чуть позже).
Еще одним заметным событием того же ряда стала опубликованная в 2004 году книга Дугласа Чика под названием «Хакинг металлических запоров» («Steel Bolt Hacking» by Douglas Chick) [www.thenetworkadministrator.com/SteelBoltHacking.htm ].
Основная профессия Чика – консультант по администрированию сетей. На этом поприще он получил известность благодаря своей первой книге-пособию «Что знают все сетевые администраторы». Книга же о хакинге, как ясно уже из ее названия, посвящена любимому хобби автора — вскрытию замков.
Переняв однажды от приятелей это затягивающее развлечение и тоже столкнувшись с тем, что толковых пособий по данной теме нет, компьютерщик решил проблему так, как это принято в сформировавшей его среде. А именно, сам написал «мануал» с изложением базовых методов открывания всех замков, какие только сумел освоить.
К сегодняшнему дню уже совершенно очевидно, что открывание замков без ключа стало одним из любимых занятий многих компьютерных профессионалов, развлекающихся этим в качестве хобби или даже своеобразного спорта. Все последние годы ежегодные хакерские форумы непременно сопровождаются соревнованиями по вскрытию замков на время.
Поскольку фронт заданий на этих состязаниях регулярно расширялся, ныне всесторонне освоен взлом уже не только чисто механических замков, но и любых других — комбинационных дисковых, кодовых кнопочных, с электронными или магнитными картами-ключами и так далее.
По слухам, хакерские «спортивно-образовательные» клубы, объединяющие любителей вскрывать замки, к середине 2000-х годов стали чуть ли не самыми быстрорастущими среди «групп по интересам» во всей компьютерной индустрии.
Очевидным следствием данных процессов стало то, что в интернете ныне публикуется просто-таки тьма всевозможной информации об эффективном вскрытии самых разных замков.
От открывания велосипедных и компьютерных замков шариковой ручкой Bic до «нового» чудо-способа для быстрого преодоления разных замков под названием бампинг (key bumping — когда взломщик помещает в замочную скважину специальной формы ключ и нехитрым устройством типа молоточка воздействует на него серией постукиваний до тех пор, пока замок не откроется).
В подавляющем большинстве все эти технологии прохода не являются открытием хакеров и давно уже известны как в мире профессиональных взломщиков, так и в сообществе специалистов по замкам.
Причем эти специалисты — слесари-ключники и фирмы-изготовители — пытались, как могли, подавить распространение подобной информации, полагая, что заведенная по давней традиции «цеховая секретность» это лучше, чем открытость. Но изменить ситуацию обратно уже невозможно.
Никогда в истории в открытом доступе еще не было такого изобилия информации о вскрытии замков и сейфов.
Конфликт и слияние
В ответ на очевидные и тут же предаваемые массовой огласке хакерские взломы стандартных замков, те фирмы, что их производят, оказались вынуждены ответить разработкой и выпуском более сложных замков. А также более замысловатыми пиар-кампаниями по дезинформации широкой публики относительно реальной надежности своей продукции.
Однако есть в этом противостоянии одна очень серьезная проблема, правильно лечить которую пока не совсем ясно как. А именно, очень похоже, что имеется некий естественный предел для того, насколько безопасным можно сделать полностью механический замок. Хотя бы уже потому, что определенно есть предел физическим размерам — до какой степени большим и неуклюжим можно делать ключ, чтобы он все еще оставался приемлемым для потребителей…
Естественным результатом этих ограничений стало то, что индустрия со все более нарастающим интересом начала обращаться к альтернативным замковым технологиям, сочетающим в себе традиционные механические запоры и достижения электронных технологий — от сервомоторов и микропроцессоров до RFID-чипов, биометрии и онлайнового контроля через интернет.
Иначе говоря, индустрия замков совершенно добровольно сама вступила в пространство, давно и уверенно освоенное компьютерными хакерами. Параллельные некогда миры теперь уже плотно и очевидно надолго пересеклись, а для специалистов в области безопасности это слияние пространств стало предметом повышенного беспокойства.
Ибо никто лучше таких специалистов не осознает, что на сегодняшний день пока еще очень и очень далеко до полного понимания технологий, объединяющих замки и электронику. Особенно в том, что касается существенно новых типов уязвимостей, которые несут с собой эти технологии. И может оказаться так, что однозначно скомпрометированная ныне технология безопасности заменяется на такую, которая еще хуже, но только меньше изучена.
А практика тем временем показывает, что и электронно-механические замки тоже весьма уязвимы для атак, причем как в известных, так и зачастую в новых неожиданных формах.
CLIQ в нокауте
На августовской конференции DefCon 2009 в Лас-Вегасе с докладом о небезопасности замков в очередной раз выступила известная команда специалистов в составе Марка Тобиаса, Тоби Блузманиса и Мэтта Фиддлера. В прошлом году они же и здесь же с заметным резонансом в печати продемонстрировали быстрое преодоление замков повышенной безопасности от фирмы Medeco и ряда других именитых брэндов.
На этот раз главным предметом доклада-презентации стали слабости, которые исследователи выявили в новой технологии защиты CLIQ, применяемой на сегодня во многих электронно-механических замках высокой безопасности [www.thesidebar.org/insecurity/?p=447].
Технология CLIQ разработана международным холдингом ASSA ABLOY Group, крупнейшим в мире производителем электроуправляемых замков и устройств для систем контроля доступа, совместно с немецкой дочерней фирмой Ikon. Первые замки такого типа начали появляться в 2002 году под маркой Assa Abloy, а к настоящему времени та же самая базовая технология применяется дочерними компаниями холдинга — Medeco, Mul-T-Lock и Ikon — в их электронно-механических замках высокой безопасности.
Такого рода запирающие устройства стоят весьма недешево, от 600 до 800 долларов за штуку плюс ключи примерно по 95 долларов каждый. Как правило, подобные замки используются сейчас в правительственных зданиях, банках и на объектах критически важных инфраструктур вроде электростанций, станций водоснабжения или крупных систем управления транспортом.
Замки типа CLIQ их изготовителями продвигаются на рынке как «последнее и окончательное слово в физической безопасности». Однако, как подчеркнули Тобиас и его коллеги в своем докладе, заявлять подобные вещи явно не следует. Потому что это просто неправда.
Специалисты по взлому, в частности, рассказали, сколь легко удается обходить электронную часть замков и обманывать программу контрольного журнала, ведущегося для строгого отслеживания того, кто именно и когда открывал данный замок. Причем использованные исследователями приемы весьма тривиальны в своей реализации, не требуют никаких высоких технологий и по существу вообще не трогают электронные компоненты замка. Вместо этого применяются вполне типичные хитрости для открытия механических замков, технически похожие на бампинг.
По своим основным компонентам замки типа CLIQ выглядят примерно так. Цилиндр замка является механическим, но при этом содержит встроенный чип. В головку ключа, в свою очередь, встроены батарейка питания и собственный RFID-чип, содержащий зашифрованный цифровой идентификатор ключа.
Когда такой ключ всунут в замок, радиочип ключа связывается с чипом цилиндра для процедуры аутентификации, что является условием для разрешения поворота ключа в скважине. Хранимый в памяти микросхемы идентификатор и собственно процесс радиообмена зашифрованы алгоритмом тройной-DES, а чипы ключа и цилиндра записывают свои действия в журнал, дабы происходило отслеживание всякого, кто открывает дверь или получает отказ в доступе.
Когда такой ключ вставлен в замок, то зеленый или красный свет загорается на головке ключа, чтобы показать, прошла процедура аутентификации или нет. Или — как в ключах для замков Ikon — на небольшом цифровом дисплее высвечивается либо радостно улыбающееся лицо, либо строгое лицо с нахмуренными бровями.
Однако куда более при этом существенно, что один и тот же ключ может открывать как электронно-механический замок, так и чисто механический. Эта возможность в условиях охраняемого объекта позволяет устанавливать для некритичных зон малой защиты механические замки с точно такой же шпоночной канавкой, что и в электронно-механических замках для зон повышенной защиты.
Благодаря такому решению, как объясняют создатели, сокращается общее число ключей, выдаваемых сотрудникам. Тот ключ, что открывает электронно-механические замки, также открывает и чисто механические, однако сугубо механический ключ не может открыть электронно-механический замок.
Так, во всяком случае, принято считать в теории и заверять покупателей в рекламе товара. Например, согласно маркетинговому видеоролику Assa Abloy, данная комбинация из электронного и механического запоров предоставляет владельцам замка «двойной слой непреодолимой защиты».
В реальности, однако, дела обстоят существенно иначе. Как установили многоопытные исследователи, ни одна из перечисленных супер-возможностей новых замков — ни уникальные цифровые идентификаторы, ни зашифрованные коммуникации чипов, ни контрольные журналы в памяти микросхем — совершенно не помогают против простого и весьма эффективного взлома.
В живых подробностях несколько атак против CLIQ описаны журналисткой ИТ-издания Wired Ким Зеттер (Kim Zetter), для которой Тоби Блузманис устроил персональную демонстрацию накануне DefCon 2009.
Взяв электронно-механический замок Interactive CLIQ производства Mul-T-Lock, Блузманис вставил в него чисто механический ключ с вырезами под ту же шпоночную канавку, что и у валидного электронно-механического ключа. Затем над вставленным ключом в течение нескольких секунд выполнялись некие особые механические действия, чтобы придавать ключу вибрацию до тех пор, пока мотор в цилиндре замка не повернет ротор и не поднимет запирающий элемент для открывания замка.
Демонстрируя этот трюк журналистке, Блузманис специально попросил не раскрывать в подробностях суть метода вибраций, ограничившись лишь фразой, что здесь не требуется никакого особого инструментария или навыков взломщика. Самой журналистке, к слову, понадобилось около тридцати секунд, чтобы освоить этот метод открывания «неприступного» хайтек-замка.
Комментируя продемонстрированный взлом, Марк Тобиас особо подчеркнул, что в данном случае в электронном лог-журнале не остается никакого следа о том, что замок открывали — потому что никакая электроника здесь вообще не участвовала в процедуре вскрытия. Другими словами, если злоумышленник входил в охраняемое помещение для похищения документов или диверсии на объекте, то подозрение, скорее всего, падет на человека, заходившего до него и отмеченного в лог-журнале.
Тобиас и его команда на основе выявленного дефекта методично разработали целый арсенал разных сценариев взлома для замков CLIQ, обычно начинающихся с изготовления механической копии электронно-механического ключа. Что, кстати, фирмы-изготовители обычно объявляют невозможным.
Однако исследователями не только делаются такие копии, но и продемонстрированы похожие по сути атаки против аналогичных замков других дочерних фирм Assa Abloy: Twin Maximum компании Assa, Medeco Logic, Ikon Verso, а также против новейшего замка Assa CLIQ Solo DP, только-только появившегося в продаже.
Диалог и ответственность
Несмотря на все эти демонстрации, официальные представители Assa Abloy весьма решительно продолжают настаивать, что электронно-механические замки компании невозможно открыть с помощью механического ключа.
Так, менеджер по разработке продукции в компании Assa Том Демонт (Tom Demont) заявил буквально следующее: «Из того, что мне известно о технологии CLIQ, сделать это никак нельзя… И до тех пор, пока я собственными глазами не увижу, что это сделано, сделать это невозможно».
Чтобы подобная аргументация не выглядела совсем уж дико, надо пояснить, что Марк Тобиас и его соавторы избрали довольно своеобразную тактику для оказания давления на гигантскую группу компаний (сейчас в холдинг входит около полусотни фирм безопасности в более чем десяти странах мира).
Прежде, чем раскрывать изготовителям замков свои методы взлома, Тобиас требует, чтобы фирмы заранее дали согласие на отзыв и исправление выявленных дефектов во всей уже проданной ими продукции, причем совершенно бесплатно для «пострадавших» покупателей, пользующихся небезопасными замками. Компаниям, как несложно догадаться, такой вариант сотрудничества категорически не нравится.
Как поясняет Клайд Роберсон (Clyde Roberson), директор технических служб в Medeco: «Мы неоднократно просили описать нам детали атак, однако они вновь и вновь отказываются давать нам ту информацию, что нами запрашивается. Вместо этого в качестве предварительного условия предоставления информации требуется, чтобы мы согласились на безусловный отзыв всех наших продуктов. Идея о том, чтобы мы согласились на отзыв дефектной продукции еще до того, как узнаем справедливость любого из их заявлений — это совершенно необоснованная идея»…
Никакого диалога, короче говоря, тут пока не получается, но при этом у индустрии остается возможность твердо стоять на своем — содержательного ответа на критику и демонстрации Тобиаса не может быть до тех пор, пока он не расскажет изготовителям замков в подробностях, как именно работают его атаки.
Что же касается Тобиаса и его коллег, то они объясняют свою неуступчивость очень сильным желанием приучить изготовителей замков к ответственности и компетентному подходу к делу. По словам специалиста, конкретно замки CLIQ представляют собой чрезвычайно сложную систему, которая очень впечатляюще выглядит и с механической точки зрения, и с точки зрения электроники.
Вот только с точки зрения инженерной безопасности замки эти выглядят крайне слабо, свидетельствуя, как считают исследователи, о полной некомпетентности разработчиков в системах защиты. И если изготовителей не заставлять отзывать дефектную в своей безопасности продукцию, то они по-прежнему будут считать, что для замка самое главное — это безупречная работа механических и электронных компонентов, а не надежная защита.
Как и всегда бывает в подобных непримиримых спорах, каждая из препирающихся сторон имеет тут массу своих сторонников и противников. Компромисс раньше или позже все же придется отыскать, ну а пока вполне очевидно лишь одно. Описанная ситуация с небезопасностью замков теперь и внешне становится очень похожей на известную ситуацию с небезопасностью компьютеров и сетей.
Нравится это кому-то или нет, но куда более очевидная теперь ситуация с замками прояснилась по той причине, что в эту область массово вторглись компьютерные хакеры со своими собственными представлениями о том, как должны выглядеть безопасные системы.
А обществу в целом вряд ли может быть невыгодно, когда явные дыры в безопасности не замалчиваются, а выявляются и открыто публикуются.
kiwi arXiv 