Как взломать любой замок за считанные секунды? Ответ знают в S&G и SECURAM.
Согласно недавней статье издания 404 Media, Сенатор США Рон Уайден обвинил двух крупнейших производителей замков для коммерческих сейфов в создании бэкдор-кодов в некоторых своих продуктах, что потенциально может стать угрозой национальной безопасности.
В своём письме Уайден призывает правительство США предупредить общественность о существовании уязвимостей в безопасности таких продуктов, и что они могут быть использованы иностранными агентами для кражи коммерческих секретов американских компаний.
Китайская компания SECURAM и американская Sargent and Greenleaf (S&G) были названы в письме как производители замков с функцией сброса кода, что позволяет обойти замки без согласия владельца, просто указав специальное кодовое слово, по-видимому, являющееся универсальным для всех моделей и экземпляров замков.
Если информация об этом попадёт в руки реальных злоумышленников, количество взломов с проникновением в крупные компании увеличится в разы. Впрочем, после публичной огласки, так, возможно, и произойдёт, если компании оперативно не озаботятся заменой своих сейфов и замков.
Особенно тревожит тот факт, что Министерство обороны США давно знало о подобных уязвимостях в данных продуктах и даже успело запретить их использование в правительственных секторах страны, однако абсолютно не посчитало нужным проинформировать об этом общественность.
В письме Уайдена упоминается, что документация на сайтах компаний прямо указывает на возможность наличия «специального кода», который может быть использован для доступа к сейфам. Основная критика со стороны сенатора касается именно недостаточной прозрачности компаний для конечных пользователей, ибо далеко не всегда клиенты уведомляются о наличии подобных «скрытых функций».
Специалист по информационной безопасности Девиант Оллам считает, что подобные коды вполне могут использоваться производителями, но настаивает на необходимости полного информирования пользователей о существовании потайных механизмов доступа.
SECURAM и S&G производят замки для различных видов сейфов, в том числе для хранения оружия и банковских ячеек. Обе компании подтвердили наличие таких кодов в некоторых своих продуктах, указывая на их полезность в определённых случаях, но также признали, что могут быть вынуждены раскрывать коды по законному запросу правительства или в судебном порядке.
Сенатор Уайден выражает беспокойство относительно обязательства SECURAM следовать законам Китая, что теоретически позволяет китайскому правительству получать доступ к сейфам американских компаний. Он призывает Национальный центр контрразведки и безопасности США обновить рекомендации для американского бизнеса, предостерегая использовать замки с подобным функционалом.
Ладно, не доказали. Но мы работаем над этим