Bilgisayar Korsanları Yüksek Güvenlikli Kasalarda Arka Kapı Arıyordu ve Artık Bunları Saniyeler İçinde Açabiliyorlar

Yaklaşık iki yıl önce, güvenlik araştırmacıları James Rowley ve Mark Omo, elektronik kasa dünyasındaki bir skandalla ilgilenmeye başladılar: Kendisini "Amerika'nın 1 numaralı ağır hizmet tipi ev ve silah kasası üreticisi" olarak pazarlayan Liberty Safe, görünüşe göre FBI'a , 6 Ocak 2021'de ABD Kongre Binası'na düzenlenen işgalle ilgili bir arama emrine yanıt olarak ajanların bir suç şüphelisinin kasasını açmasına izin veren bir kod vermişti.

Siyaseti bir kenara bırakırsak, Rowley ve Omo, kolluk kuvvetlerinin kilitli bir metal kutuyu -internet bağlantılı bir cihaz bile değil- açmasının o kadar kolay olduğunu ve şifreyi sadece sahibinin bilmesi gerektiğini okuyunca şaşırdılar. Omo, "Bu fiziksel güvenlik ürünü varken, krallığın anahtarlarının başkasında olması nasıl mümkün olabilir?" diye sordu.

Bu yüzden arka kapının nasıl çalıştığını anlamaya karar verdiler. Bu süreçte çok daha büyük bir şey buldular: Yetkili çilingirlerin yalnızca Liberty Safe cihazlarını değil, aynı zamanda Liberty'nin birçok kasasında ve en az yedi başka markanın kasalarında kullanılan yüksek güvenlikli Securam Prologic kilitlerini de açmasını sağlayan başka bir arka kapı türü. Daha da endişe verici olanı, bir bilgisayar korsanının yalnızca üreticinin yardımıyla erişilebilen bu arka kapıyı kullanarak saniyeler içinde kendi başına bir kasayı açabileceği bir yol keşfetmeleriydi. Araştırmaları sırasında, Securam'ın birçok yeni kilit versiyonunda, dijital bir kasa kırıcının kilitteki gizli bir yuvaya bir alet yerleştirerek kasanın kilit açma kodunu anında ele geçirmesine olanak tanıyan başka bir güvenlik açığı daha buldular.

Omo ve Rowley, bugün Las Vegas'ta düzenlenen Defcon hacker konferansında bulgularını ilk kez kamuoyuyla paylaştı ve sahnede Securam ProLogic kilitleriyle satılan elektronik kasaları açmak için kullandıkları iki farklı yöntemi gösterdiler. Bu kasalar, kişisel ateşli silahlardan perakende mağazalardaki nakit paraya ve eczanelerdeki uyuşturuculara kadar her şeyi korumak için kullanılıyor.

Her iki teknik de bariz güvenlik açıkları oluştursa da, Omo, çilingirler için meşru bir kilit açma yöntemi olarak tasarlanan bir özelliği istismar edenin daha yaygın ve tehlikeli olduğunu söylüyor. Omo, "Bu saldırı, bu tür bir kilide sahip bir kasanız varsa, özel bir donanıma, hiçbir şeye ihtiyaç duymadan anında şifreyi bulup çıkarabileceğim bir saldırı," diyor. "Testlerimize göre, aniden, dünyadaki neredeyse tüm Securam Prologic kilitlerine erişilebiliyor gibi görünüyor."

Omo ve Rowley, aşağıdaki iki videoda, kendi özel yapım kasalarında, standart, değiştirilmemiş Securam ProLogic kilidiyle yaptıkları teknikleri uygulayarak kasa açma yöntemlerini gösteriyorlar:

Omo ve Rowley, geçen yılın baharında her iki kasa açma tekniği hakkında Securam'ı bilgilendirdiklerini, ancak şirketin hukuki tehditleri nedeniyle şimdiye kadar varlıklarını gizli tuttuklarını belirttiler. Bir Securam temsilcisi, araştırmalarını ilk kez sunmayı planladıkları geçen yılki Defcon'dan önce iki araştırmacıya, "Kamuoyuna açıklama veya ifşa yolunu seçerseniz, bu konuyu ticari iftira nedeniyle avukatımıza ileteceğiz" diye yazdı.

İkili, ancak Electronic Frontier Foundation'ın Kodlayıcıların Hakları Projesi'nden ücretsiz hukuki destek aldıktan sonra, Defcon'da Securam'ın güvenlik açıkları hakkında konuşma planlarını uygulamaya karar verdi. Omo ve Rowley, başkalarının kendi tekniklerini kopyalamasına yardımcı olacak kadar teknik ayrıntıyı açıklamamaya dikkat ettiklerini, ancak yine de kasa sahiplerine cihazlarında bulunan iki farklı güvenlik açığı konusunda uyarıda bulunmaya çalıştıklarını söylüyor.

WIRED, Securam ile görüş alışverişinde bulunduğunda, şirketin CEO'su Chunlei Zhou bir açıklama yaparak yanıt verdi. Zhou, "Omo ve Rowley tarafından iddia edilen belirli 'güvenlik açıkları' sektör profesyonelleri tarafından zaten biliniyor ve aslında benzer çipler kullanan diğer kasa kilidi sağlayıcılarını da etkiliyor," diye yazıyor. "Bu güvenlik açıklarına dayalı herhangi bir saldırı gerçekleştirmek özel bilgi, beceri ve ekipman gerektiriyor ve bu saldırının kullanımıyla tek bir kasa kilidi bile bozulan herhangi bir müşteriye dair kaydımız yok."

Zhou'nun açıklamasında, kasaların kilitlerinin açılması için delme ve kesme gibi yöntemlerden, bazı elektronik kasa kilitlerindeki güvenlik açıklarından yararlanan " Küçük Siyah Kutu" adı verilen bir çilingir cihazının kullanımına kadar birçok yönteme yer veriliyor.

Omo ve Rowley, buldukları güvenlik açıklarının daha önce kamuoyu tarafından bilinmediğini; Zhou'nun iddiasına rağmen, ikisinden birinin özel bir ekipman gerektirmediğini ve Zhou'nun bahsettiği diğer tekniklerin hiçbirinin Securam ProLogic kilitleri hakkındaki bulguları kadar ciddi bir güvenlik açığı oluşturmadığını söylüyor. Zhou'nun bahsettiği kesme ve delme gibi kaba kuvvetle kasa açma yöntemleri çok daha yavaş ve daha az gizlidir; hatta Küçük Kara Kutu gibi, yalnızca çilingirlerin kullanımına açıktır ve yetkisiz bilgisayar korsanları tarafından istismar edilebildiği henüz kamuoyuna açıklanmamıştır.

Zhou açıklamasında, Securam'ın Omo ve Rowley'nin ProLogic kilidinin gelecekteki modellerinde bulduğu güvenlik açıklarını gidereceğini de sözlerine ekledi. "Müşteri güvenliği önceliğimiz ve bu olası saldırıları engellemek için yeni nesil ürünler geliştirme sürecine başladık," diye yazıyor. "Yıl sonuna kadar piyasaya yeni kilitler sunmayı bekliyoruz."

Securam satış direktörü Jeremy Brookes, bir takip görüşmesinde, Securam'ın müşterilerin kasalarında halihazırda kullanılan kilitlerdeki güvenlik açığını giderme planı olmadığını doğruladı, ancak endişelenen kasa sahiplerine yeni bir kilit alıp kasalarındaki kilidi değiştirmelerini önerdi. Brookes, "Kasaları güncelleyen bir yazılım paketi sunmayacağız," diyor. "Onlara yeni bir ürün sunacağız."

Brookes, Omo ve Rowley'in Securam'ı "özel olarak hedef alarak" şirketin "itibarını sarsmak" niyetinde olduğuna inandığını da sözlerine ekledi.

Omo, amaçlarının bu olmadığını söylüyor. "Piyasadaki en popüler kasa kilitlerinden birindeki güvenlik açıkları konusunda kamuoyunu bilinçlendirmeye çalışıyoruz," diyor.

Omo ve Rowley'nin araştırmasına göre, Liberty Safe'in yanı sıra Securam ProLogic kilitleri, Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists ve eczane kasası şirketleri Cennox ve NarcSafe dahil olmak üzere çok çeşitli kasa üreticileri tarafından kullanılıyor. Kilitler ayrıca CVS tarafından narkotik depolamak için kullanılan kasalarda ve birçok ABD restoran zinciri tarafından nakit para depolamak için kullanılan kasalarda da bulunabiliyor.

Rowley ve Omo, Securam kilitlerinin güvenliğiyle ilgili endişelerini dile getiren ilk kişiler değiller. Geçtiğimiz yılın Mart ayında, ABD senatörü Ron Wyden, Ulusal Karşı İstihbarat ve Güvenlik Merkezi'nin o zamanki direktörü Michael Casey'e açık bir mektup yazarak, Casey'den Çinli bir ana şirkete ait olan Securam tarafından üretilen kasa kilitlerinin üretici tarafından sıfırlama özelliğine sahip olduğunu Amerikan şirketlerine açıkça bildirmesini istedi. Wyden, bu özelliğin arka kapı olarak kullanılabileceğini yazdı; bu risk, üretici tarafından sıfırlama özelliğine sahip diğer tüm kilitler gibi, özel ABD şirketleri tarafından yaygın olarak kullanılsalar bile, Securam kilitlerinin ABD hükümetinin kullanımına yasaklanmasına yol açmıştı.

Rowley ve Omo'nun araştırmasını öğrendikten sonra Wyden, WIRED'a yazdığı bir açıklamada, araştırmacıların bulgularının, kendisinin dikkat çekmeye çalıştığı, ister kasalarda isterse şifreleme yazılımlarında olsun, bir arka kapı riskini tam olarak yansıttığını yazdı.

"Uzmanlar yıllardır arka kapıların düşmanlarımız tarafından istismar edileceği konusunda uyarıyorlar, ancak hükümet benim ve güvenlik uzmanlarının uyarılarına uymak yerine Amerikan halkını savunmasız bıraktı," diye yazıyor Wyden. "İşte tam da bu yüzden Kongre, şifreleme teknolojisinde yeni arka kapılar açılması yönündeki talepleri reddetmeli ve Birleşik Krallık gibi diğer hükümetlerin, ABD şirketlerini hükümet gözetimini kolaylaştırmak için şifrelemelerini zayıflatmaya zorlama çabalarına karşı çıkmalıdır."

Rowley ve Omo'nun araştırması da aynı endişeyle başladı: Kasalarda büyük ölçüde gizli bir kilit açma yöntemi daha geniş bir güvenlik riski oluşturabilirdi. Başlangıçta, 2023'te şirkete karşı tepkilere neden olan Liberty Safe arka kapısının ardındaki mekanizmayı araştırdılar ve nispeten basit bir cevap buldular: Liberty Safe, her kasa için bir sıfırlama kodu saklıyor ve bazı durumlarda bunu ABD kolluk kuvvetlerinin kullanımına sunuyor.

Liberty Safe daha sonra internet sitesinde, söz konusu ana kodu teslim etmek için bir mahkeme celbi, mahkeme emri veya diğer zorunlu yasal süreçlere ihtiyaç duyduğunu ve ayrıca kasa sahibinin talebi üzerine kod kopyasını sileceğini yazdı .

Rowley ve Omo, kolluk kuvvetlerinin kullanımına uygun bu arka kapıyı kötüye kullanmalarına olanak sağlayacak herhangi bir güvenlik açığı bulamadılar. Ancak Securam ProLogic kilidini incelemeye başladıklarında, Liberty Safe ürünlerinde kullanılan iki tür Securam kilidinin daha üst düzey versiyonu üzerinde yaptıkları araştırma daha ilginç bir şeyi ortaya çıkardı. Kilitlerin, kullanım kılavuzlarında belgelenen bir sıfırlama yöntemi var ve teoride, kilit açma kodunu unutan kasa sahiplerine yardımcı olan çilingirler tarafından kullanılmak üzere tasarlanmış.

Kilide varsayılan olarak "999999" olarak ayarlanmış bir "kurtarma kodu" girin; bu değer, kilitte saklanan şifreleme kodu adı verilen başka bir sayı ve üçüncü bir rastgele değişken kullanılarak ekranda görüntülenen bir kod hesaplanır. Yetkili bir çilingir daha sonra bu kodu telefon üzerinden bir Securam temsilcisine okuyabilir; temsilci de bu değeri ve gizli bir algoritmayı kullanarak, çilingirin tuş takımına girerek yeni bir kilit açma kombinasyonu belirleyebileceği bir sıfırlama kodu hesaplar.

Omo ve Rowley, Securam ProLogic'in donanım yazılımını analiz ederek, sıfırlama kodunu kendileri hesaplamak için ihtiyaç duydukları her şeyi bulabildiklerini keşfettiler. Rowley, "Söz konusu bir donanım güvenliği yok," diyor. "Yani, sadece kilitteki donanım yazılımını okuyarak tüm gizli algoritmayı tersine mühendislikle çözebiliriz." Ortaya çıkan kasa açma yöntemi, yazdıkları bir Python betiğine birkaç sayı girmekten biraz daha fazlasını gerektiriyor. Bu tekniğe ResetHeist adını veriyorlar.

Araştırmacılar, kasa sahiplerinin kilitlerinin kurtarma kodunu veya şifreleme kodunu değiştirerek bu ResetHeist tekniğini önleyebileceklerini belirtiyor. Ancak Securam, araştırmacıların internette bulabildiği hiçbir kullanıcı dokümanında bu korumayı önermiyor; yalnızca bazı üreticiler ve çilingirler için bir kılavuzda yer alıyor. Omo ve Rowley'nin bulduğu başka bir Securam web seminerinde, Securam kodları değiştirebileceğinizi, ancak bunun gerekli olmadığını ve kodların "genellikle hiç" değiştirilmediğini belirtiyor. Araştırmacıların test ettiği tüm kilitlerde, eBay'den satın aldıkları bir avuç ikinci el kilit de dahil olmak üzere, kodlar değiştirilmemişti. Omo, "Kurtarma yönteminin işe yaramadığı bir kilit almadık," diyor.

Araştırmacıların geliştirdiği ve CodeSnatch adını verdikleri ikinci teknik ise daha basit. Bir Securam ProLogic kilidinin pilini çıkarıp, Raspberry Pi minibilgisayarıyla yaptıkları küçük bir el aletini, kilidin içindeki açık bir hata ayıklama portuna takarak, aletin ekranında görüntülenen kilitten bir "süper kod" kombinasyonu çıkarabiliyorlar ve bu kombinasyonu kullanarak kilidi hemen açabiliyorlar.

Araştırmacılar, CodeSnatch hilesini, kilidin ana işlemcisi olarak görev yapan Renesas çipini tersine mühendislik yoluyla buldular. Bu görev, aynı Renesas çipinin analizini, aynı işlemciyi kullanan PlayStation 4'ü kırma çalışmalarının bir parçası olarak yayınlayan fail0verflow adlı bir grubun çalışmasıyla çok daha kolay hale geldi. Omo ve Rowley, çipin donanım yazılımını, şifrelenmiş "süper kod" ve çipte depolanan ve şifresini çözen anahtar da dahil olmak üzere tüm bilgilerini hata ayıklama portu üzerinden aktaracak şekilde yeniden programlayan bir araç geliştirdiler. Rowley, "Aslında o kadar da zor değil," diyor. "Küçük aracımız bunu yapıyor ve ardından size süper kodun ne olduğunu söylüyor."

Hata ayıklama portu üzerinden kilidin koduna erişmek için bir parola girmek gerekiyor. Ancak Omo ve Rowley, parolanın absürt derecede basit olduğunu ve başarıyla tahmin ettiklerini söylüyor. Bu yılın Mart ayında üretilen yeni bir Securam ProLogic kilidinde, Securam'ın parolayı değiştirdiğini, ancak bir "voltaj hatası" tekniği kullanarak parolayı tekrar öğrenebildiklerini keşfettiler: Çip üzerindeki voltaj regülatörüne bir anahtar lehimleyerek, tam da parola kontrolünü gerçekleştirdiği anda elektrik voltajını bozup bu kontrolü atlatıp, yeni parola da dahil olmak üzere çipin içeriğini boşaltabildiler.

WIRED, Securam'ın yanı sıra kasalarında Securam ProLogic kilitleri kullanan 10 kasa üreticisine ve CVS'ye de ulaştı. Çoğu yanıt vermedi, ancak High Noble Safe Company sözcüsü yaptığı açıklamada, WIRED'ın soruşturmasının Securam'ın güvenlik açıklarını öğrendiği ilk soruşturma olduğunu ve şu anda ürün yelpazesinde kullanılan kilitlerin güvenliğini gözden geçirdiğini ve "ek fiziksel güvenlik önlemleri veya olası yedek seçenekler" de dahil olmak üzere müşteriler için bir kılavuz hazırladığını belirtti.

Liberty Safe temsilcisi de benzer şekilde, şirketin daha önce Securam'ın güvenlik açıklarından haberdar olmadığını belirtti. Sözcünün açıklamasında, "Şu anda bu sorunu SecuRam ile birlikte araştırıyoruz ve müşterilerimizi korumak için elimizden gelen her şeyi yapacağız," denildi. "Diğer potansiyel kilit tedarikçilerini doğrulamak ve yeni bir tescilli kilit sistemi geliştirmek de buna dahil."

CVS sözcüsü "belirli güvenlik protokolleri veya cihazları" hakkında yorum yapmayı reddetti ancak "çalışanlarımızın ve hastalarımızın güvenliği en büyük önceliğimizdir ve en yüksek fiziksel güvenlik standartlarını korumaya kararlıyız" diye yazdı.

Rowley ve Omo, Securam Locks'un güvenlik açıklarını yamamanın mümkün olduğunu söylüyor; hatta kendi CodeSnatch araçları, kilitlerin donanım yazılımını güncellemek için bile kullanılabilir. Ancak böyle bir düzeltmenin, kilit bazında manuel olarak uygulanması gerekir ki bu da yavaş ve pahalı bir süreçtir.

Omo ve Rowley, yöntemlerinin tüm teknik ayrıntılarını veya herhangi bir kavram kanıtı kodunu yayınlamasalar da, daha az iyi niyetli kişilerin kasa kırma numaralarını nasıl kopyalayacaklarını bulabilecekleri konusunda uyarıyorlar. Omo, "Eğer donanımınız varsa ve bu işte yetenekliyseniz, bu yaklaşık bir haftalık bir süreç olurdu," diyor.

O ve Rowley, kasa sahiplerini kilitli metal kasalarının sandıkları kadar güvenli olmayabileceği konusunda uyarmak için bu riske rağmen araştırmalarını kamuoyuyla paylaşmaya karar verdiler. Daha genel olarak Omo, tüketici ürünleri için ABD siber güvenlik standartlarındaki büyük boşluklara dikkat çekmek istediklerini söylüyor. Securam kilitlerinin Underwriters Laboratory tarafından onaylandığını, ancak düzeltilmesi zor kritik güvenlik açıklarından muzdarip olduğunu belirtiyor. (Underwriters Laboratory, WIRED'ın yorum talebine hemen yanıt vermedi.)

Bu arada, kasa sahiplerinin en azından kasalarının kusurlarını bilmeleri ve yanlış bir güvenlik duygusuna kapılmamaları gerektiği belirtiliyor.

Omo, "Securam'ın bunu düzeltmesini istiyoruz, ama daha da önemlisi insanların bunun ne kadar kötü olabileceğini bilmelerini istiyoruz," diyor. "Elektronik kilitlerin içinde elektronik parçalar bulunur. Ve elektronik cihazların güvenliğini sağlamak zordur."