Finalmente, a HID afirma que, “até onde se sabe”, nenhuma de suas chaves de codificador vazou ou foi distribuída publicamente, e “nenhum desses problemas foi explorado nos locais dos clientes e a segurança de nossos clientes não foi comprometida.”
Javadi argumenta que não há uma maneira real de saber quem poderia ter extraído secretamente as chaves da HID, agora que seu método é conhecido por ser possível. “Há muitas pessoas inteligentes no mundo”, diz Javadi. “É irreal pensar que somos as únicas pessoas por aí que poderiam fazer isso.”
Apesar do aviso público da HID há mais de sete meses e das atualizações de software lançadas para corrigir o problema de extração das chaves, Javadi diz que a maioria dos clientes cujos sistemas ele testou em seu trabalho não parece ter implementado essas correções. Na verdade, os efeitos da técnica de extração de chaves podem persistir até que os codificadores, leitores e centenas de milhões de cartões-chave da HID sejam reprogramados ou substituídos em todo o mundo.
Hora de Trocar as Fechaduras
Para desenvolver sua técnica de extração das chaves dos codificadores HID, os pesquisadores começaram desmontando seu hardware: Eles usaram uma faca ultrassônica para cortar uma camada de epóxi na parte traseira de um leitor da HID, depois aqueceram o leitor para dessoldar e remover seu chip SAM protegido. Em seguida, colocaram esse chip em seu próprio soquete para observar suas comunicações com um leitor. O SAM nos leitores e codificadores da HID são suficientemente semelhantes para permitir que eles engenheirem reversamente os comandos do SAM dentro dos codificadores também.
Por fim, esse hacking de hardware permitiu-lhes desenvolver uma versão muito mais limpa, sem fio, de seu ataque: Eles escreveram seu próprio programa para instruir um codificador a enviar os segredos do seu SAM para um cartão de configuração sem criptografar esses dados sensíveis – enquanto um dispositivo “sniffer” de RFID ficava entre o codificador e o cartão, lendo as chaves da HID em trânsito.
Sistemas da HID e outras formas de autenticação de cartões-chave RFID foram, de fato, violados repetidamente, de várias maneiras, nas últimas décadas. Mas vulnerabilidades como as que estão prestes a ser apresentadas na Defcon podem ser particularmente difíceis de proteger totalmente contra. “Nós quebramos, eles consertam. Nós quebramos, eles consertam”, diz Michael Glasser, pesquisador de segurança e fundador do Glasser Security Group, que descobriu vulnerabilidades em sistemas de controle de acesso desde pelo menos 2003. “Mas se a sua correção exigir que você substitua ou reprogramar cada leitor e cada cartão, isso é muito diferente de uma correção de software normal.”
Por outro lado, Glasser observa que prevenir a clonagem de cartões-chave representa apenas uma camada de segurança entre muitas para qualquer instalação de alta segurança – e, na prática, a maioria das instalações de baixa segurança oferecem maneiras muito mais fáceis de entrar, como pedindo a um funcionário para segurar uma porta aberta enquanto você está com as mãos ocupadas. “Ninguém diz não ao cara segurando duas caixas de donuts e uma caixa de café”, diz Glasser.
Javadi diz que o objetivo de sua palestra na Defcon não era sugerir que os sistemas da HID são particularmente vulneráveis – na verdade, dizem que concentraram seus anos de pesquisa na HID especificamente por causa do desafio de quebrar seus produtos relativamente seguros – mas sim enfatizar que ninguém deve depender de uma única tecnologia para sua segurança física.
Agora que deixaram claro que as chaves do reino da HID podem ser extraídas, no entanto, a empresa e seus clientes ainda podem enfrentar um longo e complicado processo de proteção dessas chaves novamente. “Agora os clientes e a HID têm que recuperar o controle e trocar as fechaduras, por assim dizer”, diz Javadi. “Trocar as fechaduras é possível. Mas será um trabalho árduo.”
