Zhou, Securam’ın Omo ve Rowley’in Prololojik Kilitin gelecekteki modellerinde bulunan güvenlik açıklarını düzelteceğini açıkladı. “Müşteri güvenliği bizim önceliğimizdir ve bu potansiyel saldırıları engellemek için yeni nesil ürünler yaratma sürecine başladık” diye yazıyor. “Yıl sonuna kadar piyasada yeni kilitler olmasını bekliyoruz.”
Fotoğraf: Ronda Churchill
Bir takip çağrısında, Securam Satış Direktörü Jeremy Brookes, Securam’ın zaten müşterilerin kasalarında kullanımda olan kilitlerdeki kırılganlığı çözme planı olmadığını doğruladı, ancak endişe duyan güvenli sahiplerin yeni bir kilit almasını ve kasalarındaki değiştirmeyi öneriyor. Brookes, “Onu yükselten bir ürün yazılımı paketi sunmayacağız” diyor. “Onlara yeni bir ürün sunacağız.”
Brookes, Omo ve Rowley’in şirketi “itibarsızlaştırmak” amacıyla Securam’ı “seçtiğine” inandığını da sözlerine ekledi.
Omo, bunun niyetleri olmayan cevap veriyor. “Piyasadaki en popüler güvenli kilitlerden birindeki güvenlik açıkları hakkında halkı bilmeye çalışıyoruz” diyor.
Bir Senatörün Uyarısı
Liberty Safe’ın ötesinde, Securam prololojik kilitleri, Fort Knox, High Noble, Fireking, Tracker, Prosteel, Rhino Metals, Güneş Kaynağı, Kurumsal Güvenli Uzmanlar ve Eczane Güvenli Şirketler Cennox ve Narcsafe gibi çok çeşitli güvenli üreticiler tarafından kullanılır. Kilitler, CVS tarafından narkotikleri depolamak için kullanılan kasalarda ve nakit depolamak için birden fazla ABD restoran zincirinde bulunabilir.
Rowley ve Omo, Securam kilitlerinin güvenliği ile ilgili endişeleri ilk gündeme getiren kişi değil. Geçen yılın Mart ayında, ABD Senatörü Ron Wyden, daha sonra Ulusal Karşı Zeka ve Güvenlik Merkezi’nin yöneticisi olan Michael Casey’ye, Casey’yi bir Çinli ana şirketin sahip olduğu Securam tarafından yapılan güvenli kilitlerin üretici sıfırlama yeteneğine sahip olduğu Amerikan işletmelerini netleştirmeye çağırdı. Wyden’in yazdığı bu yetenek, bir arka kapı olarak kullanılabilir – Securam kilitlerinin, özel ABD şirketleri tarafından yaygın olarak kullanıldıklarında bile, üretici sıfırlamalı diğer tüm kilitler gibi ABD hükümetinin kullanımı için yasak olmasına neden olan bir risk.
Wyden, Rowley ve Omo’nun araştırmasını öğrenmeye yanıt olarak, Wired’e yapılan bir açıklamada, araştırmacıların bulgularının, kasada ister şifreleme yazılımında olsun, dikkat çekmeye çalıştığı bir arka kapı riskini tam olarak temsil ettiğini yazdı.
Wyden, “Uzmanlar yıllarca arka fırınların rakiplerimiz tarafından kullanılacağı konusunda uyardı, ancak uyarılarım ve güvenlik uzmanları üzerinde hareket etmek yerine hükümet Amerikan halkını savunmasız bıraktı” diye yazıyor. “Bu yüzden Kongre, şifreleme teknolojisindeki yeni arka planları reddetmeli ve ABD şirketlerini hükümet gözetimini kolaylaştırmak için şifrelemelerini zayıflatmaya zorlamak için İngiltere gibi diğer hükümetlerin tüm çabalarıyla mücadele etmelidir.”
Resetheist
Rowley ve Omo’nun araştırması aynı endişeyle başladı, kasalardaki büyük ölçüde açıklanmayan bir kilidin açma yönteminin daha geniş bir güvenlik riskini temsil edebileceği. Başlangıçta 2023’te şirkete karşı bir tepki vermiş olan Liberty Safe Backdoor’un arkasındaki mekanizmayı aramaya gittiler ve nispeten basit bir cevap buldular: Liberty Safe, her kasa için bir sıfırlama kodu tutuyor ve bazı durumlarda ABD kolluk kuvvetleri için kullanılabilir hale getiriyor.
Liberty Safe, o zamandan beri web sitesinde, şimdi bir mahkeme celbi, bir mahkeme emri veya bu ana kodu teslim etmek için başka bir zorunlu yasal süreç gerektirdiğini ve ayrıca bir güvenli sahibin isteği üzerine kodun kopyasını sileceğini yazdı.
Rowley ve Omo, Securam’ın güvenlik açıklarının varlığını bir yıldan fazla bir süre önce ortaya çıkarmayı planladılar, ancak şirketin yasal tehditleri nedeniyle şimdiye kadar durdular.Fotoğraf: Ronda Churchill
Rowley ve Omo, o kolluk kuvveti dostu arka kapıyı kötüye kullanmalarına izin verecek herhangi bir güvenlik kusuru bulamadılar. Bununla birlikte, Securam prologik kilidini incelemeye başladıklarında, Liberty Safe ürünlerinde kullanılan iki tür Securam kilidinin üst düzey versiyonu üzerindeki araştırmaları daha ilginç bir şey ortaya çıkardı. Kilitler, kilit açma kodlarını unutan güvenli sahiplere yardımcı olan çilingirler tarafından kullanılmak üzere teorisinde tasarlanan kılavuzlarında belgelenmiş bir sıfırlama yöntemine sahiptir.
Varsayılan olarak “999999” olarak ayarlayın – ve bu değeri, şifreleme kodu adı verilen kilitte depolanan başka bir sayı ve ekranda görüntülenen bir kodu hesaplamak için üçüncü, rastgele değişken kullanır. Yetkili bir çilingir daha sonra bu kodu bir Securam temsilcisine telefon üzerinden okuyabilir, daha sonra bu değeri kullanır ve bir sıfırlama kodunu hesaplamak için gizli bir algoritma, çilingirin yeni bir kilitleme kombinasyonu ayarlamak için tuş takımına girebilir.