Son olarak HID, “bilgimiz dahilinde” kodlayıcı anahtarlarının hiçbirinin sızdırılmadığını veya kamuya dağıtılmadığını ve “bu sorunların hiçbirinin müşteri lokasyonlarında istismar edilmediğini ve müşterilerimizin güvenliğinin tehlikeye atılmadığını” söylüyor.
Javadi, yöntemlerinin mümkün olduğu artık bilindiğine göre, HID’in anahtarlarını gizlice kimin çıkarmış olabileceğini bilmenin gerçek bir yolu olmadığını söylüyor. “Dünyada çok sayıda akıllı insan var,” diyor Javadi. “Bunu yapabilecek tek kişilerin biz olduğumuzu düşünmek gerçekçi değil.”
HID’nin yedi aydan uzun bir süre önce yaptığı kamuya açık duyuruya ve anahtar çıkarma sorununu düzeltmek için yayınladığı yazılım güncellemelerine rağmen Javadi, çalışmalarında test ettiği sistemlerin çoğu istemcisinin bu düzeltmeleri uygulamamış gibi göründüğünü söylüyor. Aslında, anahtar çıkarma tekniğinin etkileri HID’nin kodlayıcıları, okuyucuları ve dünya çapında yüz milyonlarca anahtar kartı yeniden programlanana veya değiştirilene kadar devam edebilir.
Kilitleri Değiştirme Zamanı
Araştırmacılar, HID kodlayıcılarının anahtarlarını çıkarmak için tekniklerini geliştirmek amacıyla, donanımını parçalayarak başladılar: Bir HID okuyucunun arkasındaki bir epoksi tabakasını kesmek için ultrasonik bir bıçak kullandılar, ardından okuyucuyu ısıtarak lehimini çözdüler ve korumalı SAM çipini çıkardılar. Daha sonra bu çipi, bir okuyucuyla olan iletişimini izlemek için kendi soketlerine yerleştirdiler. HID’nin okuyucularındaki ve kodlayıcılarındaki SAM, SAM’in komutlarını tersine mühendislik yapmalarına yetecek kadar benzerdir.
Sonuç olarak, bu donanım korsanlığı onların çok daha temiz, kablosuz bir saldırı geliştirmelerine olanak sağladı: Bir kodlayıcıya, hassas verileri şifrelemeden SAM’inin sırlarını bir yapılandırma kartına göndermesini söyleyen kendi programlarını yazdılar; bu sırada bir RFID “koklayıcı” cihazı kodlayıcı ile kart arasında oturuyor ve HID’nin anahtarlarını aktarım sırasında okuyordu.
Aslında HID sistemleri ve diğer RFID anahtar kartı kimlik doğrulama biçimleri son yıllarda çeşitli şekillerde tekrar tekrar kırıldı. Ancak Defcon’da sunulacak olanlar gibi güvenlik açıklarına karşı tam koruma sağlamak özellikle zor olabilir. “Biz kırarız, onlar düzeltir. Biz kırarız, onlar düzeltir,” diyor Glasser Security Group’un kurucusu ve güvenlik araştırmacısı Michael Glasser. Glasser, 2003’ten beri erişim kontrol sistemlerinde güvenlik açıkları keşfediyor. “Ancak, düzeltmeniz her okuyucuyu ve her kartı değiştirmenizi veya yeniden programlamanızı gerektiriyorsa, bu normal bir yazılım yamasından çok farklıdır.”
Öte yandan Glasser, anahtar kart kopyalamayı engellemenin herhangi bir yüksek güvenlikli tesis için birçok güvenlik katmanından yalnızca birini temsil ettiğini belirtiyor ve pratik olarak konuşursak, düşük güvenlikli tesislerin çoğu, elleriniz doluyken bir çalışandan sizin için kapıyı açık tutmasını istemek gibi içeri girmek için çok daha kolay yollar sunuyor. Glasser, “İki kutu donut ve bir kutu kahve tutan adama kimse hayır demez,” diyor.
Javadi, Defcon konuşmalarının amacının HID sistemlerinin özellikle savunmasız olduğunu öne sürmek olmadığını, aslında HID’in nispeten güvenli ürünlerini kırmanın zorluğundan dolayı yıllardır yaptıkları araştırmaları özellikle HID üzerinde yoğunlaştırdıklarını, bunun yerine hiç kimsenin fiziksel güvenliği için tek bir teknolojiye bağlı olmaması gerektiğini vurgulamak istediklerini söyledi.
Ancak artık HID’nin krallığa ait anahtarlarının çıkarılabileceğini açıkça belirttiklerine göre, şirket ve müşterileri yine de bu anahtarları tekrar güvence altına almak için uzun ve karmaşık bir süreçle karşı karşıya kalabilir. Javadi, “Şimdi müşteriler ve HID kontrolü geri almak zorunda—ve tabiri caizse kilitleri değiştirmek zorundalar,” diyor. “Kilitleri değiştirmek mümkün. Ancak çok fazla iş olacak.”