Gli hacker hanno cercato una backdoor nelle casseforti ad alta sicurezza e ora possono aprirle in pochi secondi

Circa due anni fa, i ricercatori di sicurezza James Rowley e Mark Omo si sono incuriositi riguardo a uno scandalo nel mondo delle casseforti elettroniche : Liberty Safe, che si pubblicizza come "il produttore americano numero 1 di casseforti per armi e case ad alta resistenza", aveva apparentemente fornito all'FBI un codice che consentiva agli agenti di aprire la cassaforte di un sospettato criminale in risposta a un mandato relativo all'invasione del Campidoglio degli Stati Uniti del 6 gennaio 2021 .

Politica a parte, Rowley e Omo sono rimasti sbalorditi nello scoprire che era così facile per le forze dell'ordine penetrare in una scatola di metallo chiusa a chiave – nemmeno un dispositivo connesso a Internet – che nessuno, tranne il proprietario, avrebbe dovuto conoscere il codice per aprirla. "Com'è possibile che esista questo dispositivo di sicurezza fisica e che qualcun altro abbia le chiavi del regno?", chiede Omo.

Decisero quindi di cercare di capire come funzionasse quella backdoor. Nel frattempo, scoprirono qualcosa di molto più grande: un'altra forma di backdoor progettata per consentire ai fabbri autorizzati di aprire non solo i dispositivi Liberty Safe, ma anche le serrature ad alta sicurezza Securam Prologic utilizzate in molte casseforti Liberty e in quelle di almeno altri sette marchi. Ancora più allarmante, scoprirono un modo per un hacker di sfruttare quella backdoor – progettata per essere accessibile solo con l'aiuto del produttore – per aprire autonomamente una cassaforte in pochi secondi. Nel corso della loro ricerca, scoprirono anche un'altra vulnerabilità di sicurezza in molte versioni più recenti delle serrature Securam, che avrebbe consentito a un hacker di inserire uno strumento in una porta nascosta nella serratura e ottenere istantaneamente il codice di sblocco della cassaforte.

Alla conferenza hacker Defcon tenutasi oggi a Las Vegas, Omo e Rowley hanno reso pubbliche per la prima volta le loro scoperte, dimostrando sul palco i loro due metodi distinti per aprire le casseforti elettroniche vendute con le serrature Securam ProLogic, utilizzate per proteggere di tutto, dalle armi da fuoco personali al denaro contante nei negozi al dettaglio, fino agli stupefacenti nelle farmacie.

Sebbene entrambe le tecniche rappresentino evidenti vulnerabilità di sicurezza, Omo afferma che quella che sfrutta una funzionalità concepita come metodo di sblocco legittimo per i fabbri è la più diffusa e pericolosa. "Questo attacco è qualcosa in cui, se avessi una cassaforte con questo tipo di serratura, potrei letteralmente estrarre il codice in un attimo, senza hardware specializzato, niente", afferma Omo. "All'improvviso, in base ai nostri test, sembra che le persone possano accedere a quasi tutte le serrature Securam Prologic al mondo".

Omo e Rowley dimostrano entrambi i loro metodi di scassinamento nei due video qui sotto, che li mostrano mentre eseguono le tecniche sulla loro cassaforte personalizzata con una serratura Securam ProLogic standard e inalterata:

Omo e Rowley affermano di aver informato Securam delle loro tecniche di apertura delle casseforti nella primavera dello scorso anno, ma di averne finora tenuto segreta l'esistenza a causa delle minacce legali da parte dell'azienda. "Se sceglierete la strada dell'annuncio pubblico o della divulgazione, deferiremo la questione al nostro avvocato per diffamazione commerciale", ha scritto un rappresentante di Securam ai due ricercatori prima del Defcon dello scorso anno, dove avevano pianificato di presentare per la prima volta la loro ricerca.

Solo dopo aver ottenuto la rappresentanza legale pro bono dal Coders' Rights Project dell'Electronic Frontier Foundation, i due hanno deciso di portare avanti il loro piano di parlare delle vulnerabilità di Securam al Defcon. Omo e Rowley affermano di stare attenti a non divulgare troppi dettagli tecnici che potrebbero consentire ad altri di replicare le loro tecniche, pur cercando di mettere in guardia i proprietari di dispositivi sicuri su due diverse vulnerabilità presenti in molti dei loro dispositivi.

Quando WIRED ha contattato Securam per un commento, l'amministratore delegato dell'azienda, Chunlei Zhou, ha risposto in una dichiarazione. "Le specifiche 'vulnerabilità' denunciate da Omo e Rowley sono già ben note agli addetti ai lavori e, di fatto, interessano anche altri fornitori di sistemi di sicurezza che utilizzano chip simili", scrive Zhou. "Perpetrare un attacco basato su queste vulnerabilità richiede conoscenze, competenze e attrezzature specifiche, e non abbiamo traccia di alcun cliente a cui sia mai stata violata anche una sola cassaforte tramite questo attacco".

La dichiarazione di Zhou prosegue indicando altri modi in cui è possibile aprire le serrature delle casseforti, dalla perforazione e dal taglio all'uso di un dispositivo da fabbro chiamato Little Black Box, che sfrutta le vulnerabilità di alcune marche di serrature elettroniche per casseforti.

Omo e Rowley rispondono che le vulnerabilità da loro scoperte non erano precedentemente note al pubblico; una delle due non richiede attrezzature speciali, nonostante le affermazioni di Zhou; e nessuna delle altre tecniche menzionate da Zhou rappresenta una falla di sicurezza così grave come le loro scoperte sulle serrature Securam ProLogic. I metodi di forza bruta per scassinare le casseforti indicati da Zhou, come il taglio e la perforazione, sono molto più lenti e meno furtivi, oppure, come la Little Black Box, sono accessibili solo ai fabbri e non è stato dimostrato pubblicamente che siano sfruttabili da hacker non autorizzati.

Zhou ha aggiunto nella sua dichiarazione che Securam risolverà le vulnerabilità riscontrate da Omo e Rowley nei futuri modelli di serratura ProLogic. "La sicurezza dei clienti è la nostra priorità e abbiamo avviato il processo di creazione di prodotti di nuova generazione per contrastare questi potenziali attacchi", scrive. "Prevediamo di immettere sul mercato nuove serrature entro la fine dell'anno".

In una successiva telefonata, il direttore vendite di Securam, Jeremy Brookes, ha confermato che Securam non ha intenzione di risolvere la vulnerabilità nelle serrature già in uso sulle casseforti dei clienti, ma suggerisce ai proprietari di casseforti preoccupati di acquistare una nuova serratura e sostituire quella della propria cassaforte. "Non offriremo un pacchetto firmware che la aggiorni", afferma Brookes. "Offriremo loro un nuovo prodotto".

Brookes aggiunge che ritiene che Omo e Rowley stiano "prendendo di mira" Securam con l'intenzione di "screditare" l'azienda.

Omo risponde che non è affatto questo il loro intento. "Stiamo cercando di sensibilizzare il pubblico sulle vulnerabilità di una delle serrature di sicurezza più diffuse sul mercato", afferma.

Oltre a Liberty Safe, le serrature Securam ProLogic sono utilizzate da un'ampia gamma di produttori di casseforti, tra cui Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists e le aziende produttrici di casseforti per farmacie Cennox e NarcSafe, secondo la ricerca di Omo e Rowley. Le serrature sono presenti anche sulle casseforti utilizzate da CVS per la custodia di stupefacenti e da diverse catene di ristoranti statunitensi per la custodia di contanti.

Rowley e Omo non sono i primi a sollevare preoccupazioni sulla sicurezza delle serrature Securam. Nel marzo dello scorso anno, il senatore statunitense Ron Wyden scrisse una lettera aperta a Michael Casey, allora direttore del National Counterintelligence and Security Center, esortandolo a chiarire alle aziende americane che le serrature di sicurezza prodotte da Securam, di proprietà di una società madre cinese, dispongono di una funzionalità di reset del produttore. Tale funzionalità, scrisse Wyden, potrebbe essere utilizzata come backdoor, un rischio che aveva già portato al divieto di utilizzo delle serrature Securam da parte del governo statunitense, come tutte le altre serrature con reset del produttore, nonostante siano ampiamente utilizzate da aziende private statunitensi.

Dopo aver appreso della ricerca di Rowley e Omo, Wyden ha scritto in una dichiarazione a WIRED che le scoperte dei ricercatori rappresentano esattamente il rischio di una backdoor, che si tratti di casseforti o di software di crittografia, su cui ha cercato di richiamare l'attenzione.

"Gli esperti avvertono da anni che le backdoor saranno sfruttate dai nostri avversari, ma invece di agire in base ai miei avvertimenti e a quelli degli esperti di sicurezza, il governo ha lasciato il pubblico americano vulnerabile", scrive Wyden. "Questo è esattamente il motivo per cui il Congresso deve respingere le richieste di nuove backdoor nella tecnologia di crittografia e contrastare tutti i tentativi di altri governi, come il Regno Unito , di costringere le aziende statunitensi a indebolire la loro crittografia per facilitare la sorveglianza governativa".

La ricerca di Rowley e Omo è partita dalla stessa preoccupazione: che un metodo di sblocco delle casseforti, in gran parte non divulgato, potesse rappresentare un rischio per la sicurezza più ampio. Inizialmente, hanno cercato il meccanismo dietro la backdoor di Liberty Safe, che aveva causato una reazione negativa all'azienda nel 2023, e hanno trovato una risposta relativamente semplice: Liberty Safe conserva un codice di reset per ogni cassaforte e, in alcuni casi, lo mette a disposizione delle forze dell'ordine statunitensi.

Da allora Liberty Safe ha scritto sul suo sito web che ora necessita di una citazione in giudizio, di un ordine del tribunale o di un altro procedimento legale obbligatorio per consegnare il codice master e che cancellerà anche la sua copia del codice su richiesta del proprietario della cassaforte.

Rowley e Omo non hanno trovato alcuna falla di sicurezza che avrebbe permesso loro di abusare di quella particolare backdoor amica delle forze dell'ordine. Quando hanno iniziato a esaminare la serratura Securam ProLogic, tuttavia, la loro ricerca sulla versione di fascia alta dei due tipi di serratura Securam utilizzati sui prodotti Liberty Safe ha rivelato qualcosa di più intrigante. Le serrature dispongono di un metodo di reset documentato nel loro manuale, pensato in teoria per essere utilizzato dai fabbri che aiutano i proprietari di casseforti che hanno dimenticato il codice di sblocco.

Inserendo un "codice di ripristino" nella serratura, impostato di default su "999999", il sistema utilizza tale valore, un altro numero memorizzato nella serratura, chiamato codice di crittografia, e una terza variabile casuale per calcolare un codice visualizzato sullo schermo. Un fabbro autorizzato può quindi leggere tale codice a un rappresentante Securam per telefono, che a sua volta utilizza tale valore e un algoritmo segreto per calcolare un codice di ripristino che il fabbro può inserire nella tastiera per impostare una nuova combinazione di sblocco.

Omo e Rowley hanno scoperto che analizzando il firmware del Securam ProLogic, tuttavia, potevano trovare tutto il necessario per calcolare autonomamente quel codice di reset. "Non c'è alcuna sicurezza hardware di cui parlare", afferma Rowley. "Quindi potremmo effettuare il reverse engineering dell'intero algoritmo segreto semplicemente leggendo il firmware presente nella serratura". Il metodo di cracking risultante richiede poco più che digitare qualche numero in uno script Python da loro scritto. La tecnica è chiamata ResetHeist.

I ricercatori sottolineano che i proprietari di casseforti possono prevenire questa tecnica ResetHeist modificando il codice di ripristino o il codice di crittografia della serratura. Tuttavia, Securam non raccomanda questa protezione in nessuna documentazione utente che i ricercatori hanno trovato online, ma solo in un manuale per alcuni produttori e fabbri. In un altro webinar di Securam, Omo e Rowley hanno scoperto che Securam sottolinea che è possibile modificare i codici, ma che non è necessario, e che i codici "di solito non vengono mai" modificati. In ogni serratura testata dai ricercatori, comprese alcune acquistate usate su eBay, i codici non erano stati modificati. "Non abbiamo acquistato una serratura su cui il metodo di ripristino non abbia funzionato", afferma Omo.

La seconda tecnica sviluppata dai ricercatori, chiamata CodeSnatch, è più semplice. Rimuovendo la batteria da una serratura Securam ProLogic e inserendo un piccolo strumento portatile realizzato con un minicomputer Raspberry Pi in una porta di debug esposta all'interno, è possibile estrarre una combinazione di "supercodice" dalla serratura, che viene visualizzata sullo schermo dello strumento e può essere utilizzata per aprirla immediatamente.

I ricercatori hanno scoperto il trucco di CodeSnatch effettuando il reverse engineering del chip Renesas che funge da processore principale della serratura. Questo compito è stato notevolmente semplificato dal lavoro di un gruppo chiamato fail0verflow, che aveva pubblicato la propria analisi dello stesso chip Renesas nell'ambito dei suoi sforzi per decifrare la PlayStation 4, che utilizza anch'essa quel processore. Omo e Rowley hanno creato il loro strumento per riprogrammare il firmware del chip in modo che scarichi tutte le sue informazioni tramite la porta di debug, incluso il "super codice" crittografato e la chiave, anch'essa memorizzata sul chip, che lo decrittografa. "Non è poi così difficile", afferma Rowley. "Il nostro piccolo strumento lo fa, e poi ti dice qual è il super codice".

Per accedere al codice della serratura tramite la porta di debug è necessario inserire una password. Ma Omo e Rowley affermano che la password era incredibilmente semplice e che sono riusciti a indovinarla. Hanno scoperto che in una serratura Securam ProLogic più recente, prodotta a marzo di quest'anno, Securam aveva modificato la password, ma sono riusciti a impararla di nuovo utilizzando una tecnica di "voltage glitching": saldando un interruttore al regolatore di tensione del chip, potevano alterare la tensione elettrica nel momento esatto in cui eseguiva il controllo della password, bypassando tale controllo e quindi scaricando il contenuto del chip, inclusa la nuova password.

Oltre a Securam, WIRED ha contattato 10 produttori di casseforti che sembrano utilizzare serrature Securam ProLogic sulle loro casseforti, oltre a CVS. La maggior parte non ha risposto, ma un portavoce di High Noble Safe Company ha scritto in una nota che la richiesta di WIRED è stata la prima a venire a conoscenza delle vulnerabilità di Securam e che l'azienda sta ora esaminando la sicurezza delle serrature utilizzate dalla sua linea di prodotti e preparando linee guida per i clienti, tra cui "ulteriori misure di sicurezza fisica o potenziali opzioni di sostituzione".

Un rappresentante di Liberty Safe ha osservato in modo analogo che l'azienda non era a conoscenza delle vulnerabilità di Securam. "Stiamo attualmente indagando su questo problema con SecuRam e faremo tutto il necessario per proteggere i nostri clienti", si legge in una dichiarazione del portavoce, "anche convalidando altri potenziali fornitori di serrature e sviluppando un nuovo sistema di serrature proprietario".

Un portavoce di CVS ha rifiutato di commentare "protocolli o dispositivi di sicurezza specifici", ma ha scritto che "la sicurezza dei nostri dipendenti e pazienti è una priorità assoluta e ci impegniamo a mantenere i più elevati standard di sicurezza fisica".

Rowley e Omo affermano che è possibile correggere le falle di sicurezza delle serrature Securam: il loro strumento CodeSnatch, infatti, potrebbe essere utilizzato per aggiornare il firmware delle serrature. Tuttavia, qualsiasi correzione del genere dovrebbe essere implementata manualmente, serratura per serratura, un processo lento e costoso.

Sebbene Omo e Rowley non stiano rilasciando i dettagli tecnici completi o alcun codice proof-of-concept per le loro tecniche, avvertono che altri con intenzioni meno benevole potrebbero comunque trovare il modo di replicare i loro trucchi di scasso. "Se si dispone dell'hardware e si è esperti nel settore, ci vorrebbe circa una settimana", afferma Omo.

Lui e Rowley hanno deciso di rendere pubblica la loro ricerca nonostante questo rischio, per far sapere ai proprietari di casseforti che le loro casseforti metalliche potrebbero non essere così sicure come pensano. Più in generale, Omo afferma di aver voluto richiamare l'attenzione sulle ampie lacune negli standard di sicurezza informatica statunitensi per i prodotti di consumo. Le serrature Securam sono certificate dall'Underwriters Laboratory, sottolinea, eppure presentano falle di sicurezza critiche che saranno difficili da risolvere. (L'Underwriters Laboratory non ha risposto immediatamente alla richiesta di commento di WIRED.)

Nel frattempo, sostengono, i proprietari di casseforti dovrebbero almeno essere a conoscenza dei difetti delle loro casseforti e non fare affidamento su un falso senso di sicurezza.

"Vogliamo che Securam risolva questo problema, ma soprattutto vogliamo che la gente sappia quanto può essere grave", afferma Omo. "Le serrature elettroniche contengono componenti elettronici al loro interno. E i componenti elettronici sono difficili da proteggere".