Почему в последнее время так часто критикуют «умные» замки? Да потому что как обычно часто сообщают о промахах кибербезопасности , которые делают эти блокировки намного менее безопасными , чем, возможно, думали их владельцы.
Вместе с тем стоит отметить, что многие обычные замки также, увы, не обладают повышенной устойчивостью к взлому.
Достаточно безопасно?
Тем не менее, мы продолжаем использовать замки старой школы, велосипедные замки и дверные замки, потому что они, как правило, «достаточно безопасны».
Одна из причин заключается в том, что авторитетные поставщики, как правило, хотят быть честными о том, что означает «достаточно безопасный», а хорошо информированный персонал в авторитетных магазинах знает достаточно, чтобы дать вам откровенную оценку того, сколько усилий должен был бы предпринять взломщик.
Если вы знаете, какие инструменты, время и силы понадобятся мошеннику для того, чтобы отключить ваш замок, тогда вы можете предвидеть то нежелательное внимание, которое он может привлечь, шум, который может произвести, и вероятность того, что он успеет уйти.
Но когда вы добавляете прозвище «умный» к замку, это означает, что его можно разблокировать не только обычным способом, используя физический ключ, но также введя PIN-код или с помощью какого-либо приложения для мобильного телефона…
… Ну, и тогда гораздо сложнее решить, обеспечивает ли замок большую дополнительную безопасность по (часто намного) более высокой цене, или дополнительные деньги, которые вы платите, как это ни парадоксально, оставляют вас с замком, который значительно легче открыть незаконно.
Как сообщалось в прошлом году в случае канадского замка, называемого творчески Tapplock (у него был датчик отпечатка пальца, так что вы могли буквально открывать его нажатием), исследователи смогли написать приложение, которое бы молча открывало любой Tapplock всего за 2 секунды.
Даже подлинному приложению потребовалось 0,8 секунды, чтобы открыть определенный замок, с которым оно было связано.
Впоследствии другой исследователь обнаружил, что вам не нужно взламывать Tapplock в прямом эфире на месте , выяснив его код доступа — вы можете воспользоваться ошибкой безопасности в облачном сервисе компании, чтобы загрузить персональные данные каждого, даже прежде чем отправиться в путь.
Вам даже не нужно извлекать чужой пароль, потому что вы могли бы добавить себя в качестве «авторизованного пользователя» замков других людей.
Что еще хуже, Vangelis Stykas обнаружил, что база данных, которую можно было извлечь из центральных серверов компании, часто содержит данные о геолокации, указывающие места, где недавно использовалась блокировка — по сути, сообщая вам, где искать, а также позволяя вам войти, когда вы туда попали.
Ушел в N секунд
Pen Test Partners (PTP), компания, которая выпустила приложение «ушло за 2 секунды», о котором мы упоминали выше, недавно написала еще одну историю, напоминающую нам о том, что больше — как по цене, так и по функциям — может означать меньше в мире «умных» замков.
Конечно, это не значит, что вам следует избегать умных блокировок, но безопасность, которую вы видите на поверхности, часто не дает вам ничего особенного.
Проще говоря, «проверочный тест», который дает вам подсказку о том, насколько надежным может быть замок старой школы, просто не работает в цифровую эпоху.
Например, PTP недавно посмотрел на продукт под названием Ultraloq, который представляет собой дверной замок с клавиатурой, считывателем отпечатков пальцев и модулем Bluetooth.
Это продвигается как отличный способ иметь дело с дверными проемами, где вам нужно регулярно пускать гостей или доставлять людей, чтобы они могли войти сегодня, а не завтра, например.
Цифровые замки — это, если честно, отличный способ справиться с гостевым доступом, поэтому почти каждый отель в развитом мире в наши дни выдает карточные ключи вместо реальных физических ключей.
Гости не платят вам денег и не снижают безопасность, если забывают вернуть ключ; вам не нужно маркировать каждый ключ огромным ярлыком с секретностью, на котором напечатан номер комнаты; и вы можете легко отозвать доступ в случае проблем.
Но PTP обнаружил ряд ошибок в Ultraloq, позволяющих предположить, что программисты в мире интеллектуальных замков по-прежнему склонны к тому, чтобы совершать ошибки кодирования, которых все мы научились избегать (или были вынуждены избегать из-за общественного контроля) много лет назад.
Хорошие и плохие новости
К счастью, одна из ошибок Ultraloq теперь исправлена.
Идентификаторы пользователей могут быть извлечены через веб-интерфейс компании без какой-либо аутентификации, и, что еще хуже, эти идентификаторы кажутся последовательными числами, поэтому вы можете не только угадать действительный идентификатор пользователя, но затем «вычислить» все или большую часть остальных просто сложением (или вычитанием) 1.
Ultraloq обновил свой API, чтобы избежать этих ошибок, но предполагаемые или последовательные идентификаторы и неаутентифицированный доступ к персональным данным являются грубыми ошибками, которые ни один веб-программист не должен делать в 2019 году.
Еще одна проблема, обнаруженная PTP, заключается в том, что, хотя Ultraloq и использовал шифрование содержимого трафика Bluetooth между приложением пользователя и самой блокировкой, и хотя шифрование не позволяло открывать незашифрованные PIN-коды, оно фактически не обеспечивало безопасность, которую оно должно было обеспечить.
Шифрование трафика аутентификации важно для предотвращения утечки паролей, но в случае цифрового дверного замка шифрование также должно защищать дверь от несанкционированного доступа, независимо от того, выяснили ли мошенники ваш действительный пароль или нет.
Согласно PTP, шифрование Bluetooth основывается на секрете, который приложение для разблокировки должно запрашивать из блокировки, в сочетании с секретом, встроенным в само приложение.
Секрет приложения запрограммирован и может быть считан из приложения, так что на самом деле это не секрет.
Другая половина ключа — PTP называет его «токеном» — может быть получена из замка через специальный запрос Bluetooth.
Проблема такого подхода заключается в том, что, если вы все же полагаетесь на пакеты аутентификации, которые содержат шестизначный PIN-код, вам все равно нужно попробовать только 1 000 000 различных PIN-кодов.
Если вы сделаете Bluetooth-запрашиваемый токен одинаковым для каждой блокировки, тогда задача тривиальна — мошенник может сгенерировать все 1 000 000 возможных пакетов «впустить меня» заранее, и любой может использовать их в любое время, когда пожелает.
Если вы делаете токен разным для каждой блокировки, но постоянным после того, как блокировка работает, задача все еще тривиальна — мошенник может сгенерировать все 1 000 000 возможных пакетов «впустить меня» для конкретной блокировки после запроса уникального токена блокировки.
Из описания PTP, которое предполагает, что для шифрования пакетов используется AES на 6-значном ПИН-коде с токеном для блокировки, этот предварительный расчет обычно занимает несколько секунд.
И даже если вы сделаете токен разным для каждого запроса аутентификации, наивная реализация, основанная на прямом шифровании пакетов, все равно будет иметь для проверки только 1 000 000 различных ПИН-кодов.
Что делать?
Здесь мы воспользуемся коротким и простым советом: если вы заинтересованы в применении интеллектуальных блокировок, используйте свои собственные интеллектуальные возможности веб-поиска, чтобы найти устройство, которое не только подверглось проверенным независимым тестам на проникновение, но и вышло с положительная рекомендация.
Не полагайтесь на «положительные отзывы» на собственном веб-сайте продавца; избегайте любых «обзоров», которые размещаются на сайте, где вы получили приложение «умный замок»; и избегайте «обзоров» из публикаций о стиле жизни, в которых рассматриваются интересные продукты, если они предъявляют какие-либо криптографические заявления. (Быть криптоаналитиком сложно!)
Не бойтесь голосовать своими деньгами и относитесь к кибербезопасности как к чему-то, что является ценностью, которую нужно максимизировать , а не стоимостью, которую нужно поддерживать как можно ниже .
