Finalmente, a HID afirma que “até o momento de seu conhecimento”, nenhuma de suas chaves de codificador vazou ou foi distribuída publicamente, e “nenhum desses problemas foi explorado nos locais dos clientes e a segurança de nossos clientes não foi comprometida.”
Javadi contesta que não há uma maneira real de saber quem pode ter extraído secretamente as chaves da HID, agora que seu método é conhecido como sendo possível. “Há muitas pessoas inteligentes no mundo”, diz Javadi. “É irreal pensar que somos as únicas pessoas que poderiam fazer isso.”
Apesar do aviso público da HID há mais de sete meses e das atualizações de software lançadas para corrigir o problema de extração de chaves, Javadi diz que a maioria dos clientes cujos sistemas ele testou em seu trabalho não parece ter implementado essas correções. Na verdade, os efeitos da técnica de extração de chaves podem persistir até que os codificadores, leitores e centenas de milhões de cartões-chave da HID sejam reprogramados ou substituídos em todo o mundo.
Tempo de Trocar as Fechaduras
Para desenvolver sua técnica de extração das chaves dos codificadores da HID, os pesquisadores começaram desmontando o hardware: Eles usaram uma faca ultrassônica para remover uma camada de epóxi na parte de trás de um leitor da HID, em seguida, aqueceram o leitor para dessoldar e remover seu chip SAM protegido. Depois colocaram esse chip em seu próprio soquete para observar suas comunicações com um leitor. O SAM nos leitores e codificadores da HID são similares o suficiente para que isso permitisse que eles reversamente projetassem os comandos do SAM dentro dos codificadores também.
Por fim, esse hacking de hardware permitiu-lhes desenvolver uma versão muito mais limpa e sem fio de seu ataque: Eles escreveram seu próprio programa para dizer a um codificador para enviar os segredos do SAM para um cartão de configuração sem criptografar esses dados sensíveis – enquanto um dispositivo “sniffer” RFID ficava entre o codificador e o cartão, lendo as chaves da HID em trânsito.
Os sistemas da HID e outras formas de autenticação de cartões-chave RFID têm, de fato, sido quebrados repetidamente, de várias maneiras, nas últimas décadas. Mas vulnerabilidades como as que serão apresentadas na Defcon podem ser particularmente difíceis de se proteger completamente. “Nós quebramos, eles corrigem. Nós quebramos, eles corrigem”, diz Michael Glasser, um pesquisador de segurança e fundador do Glasser Security Group, que descobriu vulnerabilidades em sistemas de controle de acesso desde pelo menos 2003. “Mas se sua correção exigir que você substitua ou reprograma cada leitor e cartão, isso é muito diferente de uma correção de software normal.”
Por outro lado, Glasser observa que prevenir a clonagem de cartões-chave representa apenas uma camada de segurança entre muitas para qualquer instalação de alta segurança – e, na prática, a maioria das instalações de baixa segurança oferece formas muito mais fáceis de entrar, como pedir a um funcionário para segurar a porta aberta para você enquanto está com as mãos ocupadas. “Ninguém diz não ao cara que está segurando duas caixas de donuts e uma caixa de café”, diz Glasser.
Javadi diz que o objetivo de sua apresentação na Defcon não era sugerir que os sistemas da HID são particularmente vulneráveis – na verdade, eles dizem que focaram anos de pesquisa na HID especificamente por causa do desafio de quebrar seus produtos relativamente seguros – mas sim enfatizar que ninguém deve depender de uma única tecnologia para sua segurança física.
Agora que eles deixaram claro que as chaves do reino da HID podem ser extraídas, no entanto, a empresa e seus clientes podem enfrentar um longo e complicado processo para garantir essas chaves novamente. “Agora os clientes e a HID têm que recuperar o controle – e trocar as fechaduras, por assim dizer”, diz Javadi. “Trocar as fechaduras é possível. Mas será muito trabalho.”
