Архивы: по дате | по разделам | по авторам

Пересечение параллелей

АрхивКолумнисты
автор : Берд Киви   13.10.2009

Ситуация с ненадёжностью замков становится очень похожей на известную ситуацию с уязвимостью компьютеров и сетей. Проблема с замками всплыла на свет божий потому, что в эту область вторглись компьютерные хакеры.

Любой человек, регулярно имеющий дело с компьютером и Интернетом, наверняка знает, что ситуация с компьютерной безопасностью оставляет желать лучшего. Предлагаемые рынком средства защиты способны обеспечить системе лишь тот минимальный уровень безопасности, при котором она не привлекает своими слабостями внимание злоумышленников. Однако против целенаправленной атаки, предпринятой опытным и умелым взломщиком, стандартные средства защиты бессильны. Это ни для кого не секрет, и всем приходится с этим жить, пытаясь поддерживать безопасность своих компьютерных «домов» в виртуальном мире на более-менее приемлемом уровне.

В мире реальном ситуация с физическими средствами защиты домов и ценностей обстоит сложнее: с одной стороны точно так же, а с другой — существенно иначе. То есть, в принципе, практически все замки, которыми запираются миллионы дверей на планете, не так уж хороши. Они, конечно, способны остановить мелкого воришку, однако любой опытный грабитель или слесарь вскроет стандартный дверной замок в два счета.

Но при этом — в отличие от защиты компьютеров — большинство людей ведет себя так, словно о слабостях дверных запоров и не знает. Казалось бы, все регулярно смотрят по телевизору отнюдь не фантастические передачи, в которых преступники или частные детективы то и дело с впечатляющей легкостью преодолевают самые разные запоры. Тем не менее люди в массе своей продолжают слепо верить, что подобное происходит с кем-то и где-то, а вот их собственные замки должны надежно защитить дом от непрошеных гостей.

Эта нелепая ситуация сложилась, конечно, не случайно, она есть следствие давнего неписаного закона — не объявлять во всеуслышание о слабостях замков, а передавать эти сведения устно «по наследству»: от слесаря к слесарю и от жулика к жулику. Так было на протяжении многих десятилетий, если не веков, однако в конце концов появился Интернет, который радикально изменил ситуацию, сделав легко доступными некогда табуированные знания.

Ключи, замки и хакеры

Одной из первых ласточек стало практическое пособие «Guide to Lockpicking»1 («Руководство по вскрытию замков»), составленное студентами Массачусетского технологического института во главе с Бобом Болдуином (Bob Baldwin, aka Ted the Tool).

Затем, когда в начале 2003 года цент­ральные СМИ опубликовали нашумевшую «слесарную» работу известного криптографа Мэтта Блэйза, заметно возрос и интерес хакеров к выявлению и анализу слабостей в физических запорных устройствах.

Блэйз, напомним, из чистого любопытства решил выяснить, насколько полезными могут быть математические методы криптоанализа при изучении вещей, не связанных с компьютерами. А замки и ключи он выбрал по вполне очевидной причине, коль скоро именно отсюда компьютерная безопасность позаимствовала многие термины и метафоры. И вот, изучив доступную литературу по слесарно-замочному делу и работе запирающих механизмов, Блэйз переоткрыл «страшную тайну» широко распространенных цилиндрических замков с мастер-ключом2, используемых аж с XIX века. Применив к конструкции методы криптоанализа, эффективно сужающие область перебора возможных вариантов, учёный показал, что, имея под рукой лишь один замок и ключ к нему, можно всего за несколько минут вычислить и подобрать — испортив не больше десятка болванок — форму универсального мастер-ключа, открывающего все замки серии…

В том же 2003 году на хакерских конфе­ренциях вроде DefCon и HOPE начал регулярно выступать Марк Тобиас (Marc Weber Tobias), виднейший американский специалист в области преодоления всевозможных запорных устройств, частный детектив-юрист, консультант и автор толстенного, на полторы тысячи страниц, руководства «Locks, Safes and Security: An International Police Reference» («Замки, сейфы и безопасность. Международный полицейский справочник»). Тобиас не только рассказывает о критичных аспектах в защитных функциях замков и физической безопасности в целом, но и находит единомышленников. Двое из них, Мэтт Фиддлер и Тоби Блузманис (Matt Fiddler, Toby Bluzmanis), бывшие в то время консультантами по компьютерной безопасности, ныне являются постоянными соавторами и помощниками Тобиаса в довольно скандальных исследованиях-разоблачениях.

Ещё одним заметным событием из того же ряда стала опубликованная в 2004 году книга Дугласа Чика «Хакинг металлических запоров» («Steel Bolt Hacking» by Douglas Chick)3. Чик является консультантом по администрированию сетей, получившим известность благодаря своей первой книге-пособию «Что знают все сетевые администраторы». Книга же о хакинге, как ясно из названия, посвящена любимой забаве автора — вскрытию замков. Заразившийся от друзей пристрастием к этому захватывающему развлечению и тоже обнаруживший, что толковых пособий по данной теме нет, компьютерщик решил проблему так, как принято в сформировавшей его среде — он сам написал «мануал» с изложением базовых методов открывания всех замков, какие только сумел освоить.

К сегодняшнему дню открывание замков без ключа стало одним из милых сердцу занятий многих компьютерных профессионалов, своего рода хобби или даже свое­образным спортом. В последние годы хакерские форумы непременно сопровождаются соревнованиями по вскрытию замков на время. Поскольку устроители постоянно разнообразили и усложняли задания, ныне всесторонне освоен взлом уже не только привычных сувальдных, цилиндрических или дисковых замков, но и любых других — кодовых кнопочных, с электронными или магнитными картами-ключами и пр. По слухам, хакерские «спортивно-образовательные» клубы, объединяющие любителей вскрывать замки, к середине 2000-х годов стали чуть ли не самыми быст­рорастущими среди «групп по интересам» во всей компьютерной индустрии.

Сегодня в Сети публикуется тьма-тьму­щая информации об этом предмете — от использования шариковой ручки BIC для открывания велосипедных и компьютерных замков до «нового» чудо-способа под наз­ванием бампинг (key bumping; взломщик помещает в замочную скважину ключ специальной формы и нехитрым устройством вроде молоточка осторожно постукивает по нему до тех пор, пока замок не откроется).

В подавляющем большинстве все эти тех­но­ло­гии не яв­ля­ют­ся открытием ха­ке­ров, они давно известны и профессиональным взломщикам, и специалистам по замкам. Причем специалисты — слесари-ключники и фирмы-изготовители — пытались, как могли, препятствовать распространению подобной информации, настаивая на том, что «цеховая секретность» всё же лучше, чем гласность. Но загнать джинна обратно в бутылку им не удалось.

Конфликт и слияние

В ответ на действия хакеров, предававших огласке способы взлома стандартных замков, фирмы-производители были вынуждены разработать и выпустить более сложные замки. А также организовать пиар-кампании по дезинформации широкой публики относительно надёжности своей продукции.

Однако есть в этом противостоянии одна серьёзная проблема, которая, скорее всего, лечению не поддаётся. А именно: очень похоже, что существует некий естественный предел безопасности механического замка. Хотя бы потому, что существует предел физическим размерам ключа: невозможно до бесконечности усложнять (а значит, и укрупнять) ключ — рано или поздно он станет неприемлемым для потребителей. Так что индустрии волей-неволей пришлось обратиться к альтернативным технологиям, сочетающим традиционные механичес­кие запоры и достижения электроники — от сервомоторов и микропроцессоров до RFID-чипов, биометрии и контроля через Интернет.

Иначе говоря, индустрия сама вступила в пространство, давно освоенное компьютерными хакерами. Параллельные некогда миры пересеклись (и очевидно, надолго), что стало дополнительным поводом для беспокойства специалистов в области безопасности. Ибо никто лучше них не осознает, что до полного понимания технологий, объединяющих замки и электронику, ещё очень и очень далеко. Особенно в том, что касается существенно новых типов уязвимостей, которые несут с собой эти технологии. И может статься, что скомпрометированная ныне технология безопасности заменяется на такую, которая ещё хуже, но только меньше изучена.

А практика тем временем показывает, что и электронно-механические замки тоже весьма уязвимы для атак — причем атак не только известных, но и обретающих новые неожиданные формы.

CLIQ в нокауте

На августовской конференции DefCon 2009 в Лас-Вегасе с докладом о ненадежности замков выступила упомянутая выше команда специалистов в составе Марка Тобиаса, Тоби Блузманиса и Мэтта Фиддлера. В прошлом году они здесь же продемонстрировали быст­рое преодоление замков повышенной безопасности от фирмы Medeco и ряда других именитых брендов. На сей раз главным предметом доклада-презентации стали слабости в новой технологии защиты CLIQ, применяющейся во многих электронно-механических замках высокой безопасности.4

Технология CLIQ разработана международным холдингом Assa Abloy Group, крупнейшим в мире производителем электроуправляемых замков и устройств для систем контроля доступа, и его немецкой дочерней фирмой Ikon. Первые замки такого типа появились в 2002 году под маркой Assa Abloy, а к настоящему времени ту же самую базовую технологию взяли на вооружение дочерние компании холдинга — Medeco, Mul-T-Lock и Ikon.

Электронно-механические замки высокой безопасности весьма недёшевы, от 600 до 800 долларов за штуку плюс ключи примерно по 95 долларов каждый. Как правило, подобные устройства используются сейчас в правительственных зданиях, банках и на объектах критически важных инфраструктур вроде электростанций, станций водоснабжения или крупных систем управления транспортом. Замки типа CLIQ изготовители продвигают на рынке как «последнее и окончательное слово в физической безопасности». Однако, подчеркнули Тобиас и его коллеги, заявлять так — значит грешить против истины.

В частности, они рассказали, сколь легко удается обходить электронную часть замков и обманывать программный контрольный журнал, строго отслеживающий, кто и когда открывал данный замок. Причем использованные исследователями приемы весьма тривиальны в реализации, не требуют никаких высоких технологий и, по существу, вообще не трогают электронные компоненты замка. Вместо этого применяются типичные хитрости для открытия механических замков, технически похожие на бампинг.

Основные компоненты замков типа CLIQ таковы. Цилиндр механический, но со встроенным чипом. В головку ключа, в свою очередь, встроены батарейка питания и собственный RFID-чип, содержащий зашифрованный цифровой идентификатор ключа. Когда ключ вставлен в замок, радиочип ключа связывается с чипом цилиндра, выполняя процедуру аутентификации, что является обязательным условием для разрешения поворота ключа в скважине. Хранящийся в памяти микросхемы идентификатор и собственно процесс радиообмена зашифрованы алгоритмом тройной-DES, а чипы ключа и цилиндра записывают свои действия в журнал, дабы отмечать всякого, кто открывает дверь или получает отказ в доступе.

Когда ключ вставлен в замок, на головке ключа загорается зелёный или красный свет, показывая, прошла процедура аутентификации или нет. Или — как в ключах для замков Ikon — на небольшом цифровом дисплее высвечивается либо радостно улыбающаяся мордашка, либо строгая физиономия с нахмуренными бровями. Однако куда важнее, что один и тот же ключ может открывать как электронно-механический замок, так и чисто механический. Эта возможность в условиях охраняемого объекта позволяет устанавливать для некритичных зон механические замки с точно такой же шпоночной канавкой, что и в электронно-механических замках для зон повышенной защиты.

Благодаря такому решению, объясняют создатели, сокращается число ключей, выдаваемых сотрудникам. Тот ключ, что открывает электронно-механические замки, открывает и чисто механические, однако сугубо механический ключ не может открыть электронно-механический замок. Так, во всяком случае, принято считать. Например, согласно маркетинговому видеоролику Assa Abloy, комбинация из электронного и механического запоров предоставляет покупателям замка «двойной слой непреодолимой защиты».

В реальности, однако, дела обстоят не столь безмятежно. Как установили многоопытные исследователи, ни одна из перечисленных супервозможностей новых замков — ни уникальные цифровые идентификаторы, ни зашифрованные коммуникации чипов, ни контрольные журналы в памяти микросхем — совершенно не спасает от простого и весьма эффективного взлома.

Несколько атак против CLIQ живо описала журналистка ИТ-издания Wired Ким Зеттер (Kim Zetter), для которой Тоби Блузманис устроил персональную демонстрацию накануне DefCon 2009. Взяв электронно-механический замок Interactive CLIQ производства фирмы Mul-T-Lock, Блузманис вставил в него чисто механический ключ с вырезами под ту же шпоночную канавку, что и у валидного электронно-механического ключа. Затем вставленный ключ в течение нескольких секунд подвергался неким механическим манипуляциям (обеспечивающим вибрацию) до тех пор, пока мотор в цилиндре замка не повернет ротор и не поднимет запирающий элемент для открывания замка. Демонстрируя этот трюк, Блузманис попросил журналистку не раскрывать в подробностях суть метода вибраций, ограничившись лишь фразой, что здесь не требуется никакого особого инструментария или навыков взломщика. Самой Зеттер, к слову, понадобилось около тридцати секунд, чтобы открыть «неприступный» хайтек-замок.

Комментируя этот способ взлома, Марк Тобиас подчеркнул, что в данном случае в электронном логе не остается никакой отметки о том, что замок открывали — поскольку электроника в процедуре вскрытия не задействовалась. Таким образом, если злоумышленник, проникнув в охраняемое помещение, похитил документы или совершил диверсию на объекте, то подозрение скорее всего падет на человека, заходившего до него и отмеченного в логе.

Тобиас и его команда на основе выявленного дефекта разработали для замков CLIQ целый арсенал разных сценариев взлома, обычно начинающихся с изготовления механической копии электронно-механического ключа. Что, кстати, фирмы-изготовители сплошь и рядом объявляют невозможным. Однако исследователи не только сделали такие копии, но и продемонстрировали похожие атаки против других аналогичных замков: Twin Maximum компании Assa, Medeco Logic, Ikon Verso, а также против новейшего замка Assa CLIQ Solo DP, только-только появившегося в продаже.

Диалог и ответственность

Несмотря на все эти упрямые факты, представители Assa Abloy продолжают настаивать, что их электронно-механические замки невозможно открыть с помощью механического ключа. Так, менеджер по разработке продукции компании Assa Том Демонт (Tom Demont) заявил буквально следующее: «Из того, что мне известно о технологии CLIQ, сделать это нельзя… И до тех пор, пока я собственными глазами не увижу, что это сделано, сделать это невозможно».

Чтобы подобная аргументация не выглядела совсем уж дико, надо пояснить, что Тобиас со товарищи избрали довольно своеобразную тактику для оказания давления на гигантский холдинг (в него входит около полусотни фирм в более чем десяти странах мира). Прежде чем раскрывать свои методы взлома, Тобиас требует, чтобы фирмы дали согласие на отзыв всей уже проданной ими продукции и исправление выявленных дефектов, причем совершенно бесплатно для «пострадавших» покупателей. Холдинг, разумеется, ответил отказом.

Как поясняет Клайд Роберсон (Clyde Roberson), директор технических служб в Medeco: «Мы не раз просили Тобиаса и его коллег детально описать атаки, однако они вновь и вновь отказываются давать запрошенную нами информацию. Вместо этого в качестве предварительного условия предоставления информации они требуют, чтобы мы согласились на безусловный отзыв всех наших продуктов. Идея о том, чтобы мы согласились на отзыв дефектной продукции ещё до того, как узнаем справедливость любого из их заявлений, кажется нам совершенно необоснованной».

В общем, диалога пока не получается, но у индустрии остается возможность твёрдо стоять на своем — содержательного ответа на критику и демонстрации Тобиаса не может быть до тех пор, пока он не расскажет изготовителям замков в подробностях, как именно работают его атаки.

Что же касается Тобиаса и его коллег, то они объясняют свою неуступчивость сильнейшим желанием приучить изготовителей замков к ответственности и компетентному подходу к делу. По словам специалиста, замки CLIQ представляют собой чрезвычайно сложную систему, которая очень впечатляюще выглядит и с механической точки зрения, и с точки зрения электроники. Вот только с точки зрения инженерной безопасности замки эти крайне ненадежны, что свидетельствует о некомпетентности разработчиков в системах защиты. И если изготовителей не заставлять отзывать столь сырую продукцию, они по-прежнему будут считать, что главное для замка — безупречная работа механических и электронных компонентов, а не надежная защита.

Как всегда бывает в подобных непримиримых спорах, каждая из препирающихся сторон имеет массу сторонников и противников. Компромисс раньше или позже все же придется отыскать, а пока очевидно лишь одно. Ситуация с ненадёжностью замков теперь и внешне становится очень похожей на известную ситуацию с уязвимостью компьютеров и сетей. Нравится это кому-то или нет, но упомянутая проблема с замками всплыла на свет божий потому, что в эту область вторглись компьютерные хакеры со своими собственными представлениями о том, как должны выглядеть безопасные системы. А обществу в целом вряд ли повредит выявление и открытое обсуждение дыр в безопасности.


"Компьютерра" №35 (799)

1. www.lysator.liu.se/mit-guide/mit-guide.html [назад ].

2. www.crypto.com/masterkey.html [назад ].

3. www.thenetworkadministrator.com/SteelBoltHacking.htm [назад ].

4. www.thesidebar.org/insecurity/?p=447 [назад ].

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.