Conferencia DEFCON 27. Duplicación de llaves mecánicas con acceso limitado. Parte 1

Discurso de información:

Las claves restringidas, o mecánicas con acceso limitado, difieren de las claves normales en que no se permite duplicarlas. Por lo tanto, los fabricantes de tales claves (y bloqueos) controlan estrictamente que los espacios en blanco para hacer duplicados no aparezcan en el dominio público o desarrollan claves que son extremadamente difíciles de recoger espacios en blanco terminados. Los sistemas de cerraduras protegidas en los EE. UU. Usan sistemas de cerraduras como Medeco, Abloy, Assa y Mul-T-Lock, en parte para resistir el agrietamiento mecánico de las cerraduras, pero en mayor medida para evitar la posibilidad de duplicados para la entrada no autorizada en habitaciones cerradas. Lugares como la Casa Blanca y las Casas del Parlamento de Canadá usan un perfil clave especial exclusivamente para estas instalaciones para garantizar que nadie pueda obtener los espacios en blanco,hacer duplicados

Sin embargo, hay decenas de miles de perfiles en blanco clave que son adecuados para hacer duplicados incluso para series muy limitadas de bloqueos. Como las llaves son solo piezas de metal, los hermanos Bill y Robert Graydon contarán en su discurso cómo hacer llaves duplicadas para las cerraduras mecánicas de los sistemas de alta seguridad Medeco, Mul-T-Lock y Abloy. También abordarán todos los aspectos del control de la fabricación de claves, incluidas las patentes, y considerarán cómo la administración de objetos secretos puede evitar la ruptura de la cerradura con claves duplicadas.



Bill Graydon es el Director de GGR Security Consultants y se dedica activamente a la investigación en el campo de la vigilancia electrónica y la señalización, la psicología humana en un entorno seguro y el análisis de sistemas de bloqueo. Obtuvo una maestría en ingeniería informática y un certificado en ingeniería forense de la Universidad de Toronto y utiliza su conocimiento para desarrollar modelos matemáticos para mejorar la seguridad en el mundo físico.

Robert Graydon es el director técnico de GGR Security, quien investiga las vulnerabilidades de las cerraduras mecánicas y electrónicas para detectar y evaluar posibles fallas de diseño o métodos de ataque. Él personalmente tiene habilidades bien perfeccionadas para romper cerraduras, plomería y un profundo conocimiento de la mecánica y las funciones de muchos tipos de cerraduras de alta seguridad, así como de los sistemas de seguridad electrónicos y sus componentes. Este conocimiento y experiencia le permite buscar y probar efectivamente métodos de piratería de sistemas de alta seguridad.

Presentador: Ahora escucharemos sobre los aspectos físicos de la seguridad. ¿Cuántos de ustedes han visto estas claves etiquetadas como "No duplicar"? Por supuesto, no voy a hacer esto, pero los chicos que ahora te hablan tienen una filosofía diferente. ¡Bienvenidos Bobby y Bill a Fancy Track!



Robert: Saludos a todos, soy Bobby, y este es mi hermano Billy Graydon. Echemos un vistazo a esta diapositiva que representa las llaves para cerraduras mecánicas que están muy extendidas en América del Norte. Son muy fáciles de duplicar. Si necesita una copia de dicha llave, vaya a un cerrajero o taller de llaves.

Permítame mostrarle un video del trabajo de la máquina para hacer claves duplicadas, que se llama Profile Cutter - "cortador de perfil". La llave original se instala en un lado de la máquina y la pieza de trabajo en el otro. La máquina mueve el original escaneando mecánicamente con una sonda de metal todos los cortes y protuberancias de la barba y, al mismo tiempo, corta exactamente el mismo perfil en la pieza de trabajo.



Solo como ejemplo, mostraré una clave que simplemente se copia en una máquina de este tipo. Esta es la clave para lanzar los misiles nucleares Titan II, insertados en la consola de lanzamiento en el museo militar. Puede ir a cualquier taller con esta clave y hacerse un duplicado en el cortador de perfiles.



Afortunadamente, desde entonces, las claves de alta seguridad han recorrido un largo camino. Para que puedas imaginar cómo funciona el castillo, te mostraré un diagrama. Verá rectángulos de diferentes colores separados por una línea de desplazamiento. Cuando la llave está en la cerradura, los pasadores de bloqueo de la cerradura se alinean con los pasadores de código o pasadores de llave. En esta posición, la llave se puede girar para abrir la cerradura.



Mira el siguiente video. Cuando lleva una llave a un cerrajero para hacer un duplicado, coloca el original en el clip y ajusta con mucha precisión la posición del cortador, que corta un perfil en la pieza de trabajo que repite el contorno de los cortes de la llave original. Ahora mire esta diapositiva: muchos de ustedes reconocen estas claves, aunque no son demasiado comunes. Estas son claves de un alto grado de protección con un perfil especial en blanco, y será un gran éxito si algún cerrajero le hace un duplicado de dicha clave. Lo más probable es que no pueda o no quiera.



Hoy hablaremos sobre cómo hacer una llave de este tipo cuando traigas el original a un cerrajero, y él dice: "Lo siento, hombre, pero no puedo cortar algo así".

Cuenta:Entonces, cuando le traes a un cerrajero una llave que tiene prohibido duplicar, y un cerrajero dice que no puede duplicarla, hay dos razones para esto. La primera es que el cerrajero simplemente no tiene la pieza de trabajo necesaria. En el segundo video, mostramos que antes de comenzar a cortar la copia, debe seleccionar una pieza de trabajo cuyo perfil repita completamente la forma física del original, incluido el grosor de la clave y el perfil transversal de la barba. Una parte importante de la pieza de trabajo es lo que se llama montaje de llave: una forma en sección que le permite insertar fácilmente una llave en un ojo de cerradura. El proceso de fabricación de la llave comienza con la selección de una pieza de metal rectangular que se puede cortar para ajustarse al ojo de la cerradura.



Como resultado del recorte longitudinal de la barra de la longitud requerida, obtenemos un espacio en blanco de dicho perfil, que se muestra en la Fig. 3. En este caso, el perfil de la llave corresponderá al perfil del ojo de la cerradura que se muestra en la Fig. 5. El proceso de cortar surcos longitudinales en la pieza de trabajo, que se muestra en la Fig. 2, se llama fresado - "fabricación de piezas de trabajo". Una forma especial del pozo que evita la posibilidad de insertar la llave incorrecta en la cerradura se llama protección: "ranura protectora". La protección de las cerraduras es que todos los fabricantes intentan usar su propio perfil único del pozo, por lo que es imposible simplemente tomar la llave Schlage e insertarla en la cerradura Weiser; no irá allí. Echemos un vistazo a nuestro primer exploit de ojo de cerradura.

Lo que se muestra en la diapositiva se llama "sistema de llave maestra". Todas las llaves maestras tienen una ranura longitudinal que le permite insertarla en la cerradura. En la parte superior de la tabla se encuentran los perfiles de la clave Schlage SC1, la más común en América del Norte, que forman una familia completa de claves del mismo tipo. La tercera tecla en la esquina superior izquierda es la tecla SC8, y no entrarán en un pozo. Sin embargo, a continuación se muestra una llave maestra 1145H en un círculo azul, con el que puede abrir ambas cerraduras: SC1 y SC8. En empresas muy grandes o en edificios con un sistema de seguridad mal diseñado, una llave maestra abre casi todas las cerraduras. Si la sala A se abre con la tecla SC1, y la sala B con la tecla SC8, entonces usted, con la llave maestra H, abrirá ambas salas. Y puedes hacerlo sin querer, y este es el problema.



Supongamos que tengo una llave de la habitación B, con quien voy a un cerrajero. Sin embargo, es posible que no tenga todos los espacios en blanco que se muestran en esta figura. Por lo tanto, él puede decir: "OK, te haré una llave SC19 que abrirá todas estas cerraduras". Un cerrajero puede ahorrar en la compra de espacios en blanco para diferentes llaves en esta serie, haciendo duplicados idénticos de SC19 para todas las cerraduras. Entonces, usando una llave universal de un nivel de seguridad más alto, puedo entrar a la habitación A.



Este es el primer exploit que las personas pueden usar por completo sin darse cuenta. El tema principal de nuestra presentación son las claves de edición limitada que están prohibidas de duplicar, por lo que para la demostración usaremos el modelo de computadora de la clave Medeco M3 en blanco. Como el original es solo una pieza de metal, imprimimos nuestro modelo en una impresora 3D. Este es un blanco completamente funcional que se puede cortar según sea necesario para que funcione en la cerradura como una llave de metal real.



Si desea hacerlo de metal, puede usar la máquina que se muestra en la siguiente diapositiva. Es muy similar a las máquinas utilizadas para la producción en masa de llaves que están en el bolsillo de cada uno de ustedes.



En la parte superior, verá un molino redondo con el que se mecanizan ranuras a lo largo de la llave, lo que permitirá que se inserte en el orificio de la cerradura de una determinada forma. Hablando de claves prohibidas para la duplicación, es necesario mencionar una pequeña caja de metal roja llamada Easy Entrie. Es una fresadora automática de copia con CNC para cortar perfiles clave, fabricada en Alemania. La mayoría de las personas no tienen acceso a estas máquinas porque son demasiado caras y además tienen prohibido su uso privado. Esta es una de las razones por las que no nos detendremos en ellos en detalle.



La selección de claves para los agujeros de cerradura es un proceso muy tedioso. Si le preguntas a un cerrajero sobre esto, él dirá que esta lección es capaz de volver loco a cualquiera. Por lo tanto, decidimos automatizar este proceso mediante el desarrollo de un software que incluye una base de datos de cientos de imágenes digitalizadas de espacios en blanco clave y perfiles de bloqueo, y escribimos un lenguaje de script con una interfaz similar a MIT Scratch. Aquellos que lo conocen reconocerán algunas líneas de este lenguaje al final de la diapositiva.



Tomamos la imagen de perfil de la clave Schlage SC1 en blanco, este es el perfil negro en la parte superior y lo comparamos con el perfil SC8. Como resultado, el programa produce una imagen con perfiles superpuestos, que muestra en rojo qué parte del metal está disponible para SC8 y cuál falta para SC1, y en azul - qué parte está presente para SC1 y falta para SC8, lo que no permite que la primera llave se inserte en la cerradura para segundo. Una figura morada es un perfil que se ajusta a ambas cerraduras.

La siguiente diapositiva muestra que la versión izquierda "invertida" de la tecla Sargent 1007 RA, la tecla Sargent 1007 LA, coincide virtualmente con el perfil de ojo de cerradura de la tecla Medeco 9S. La barra morada indica que no hay metal en esta zona que sea único para una u otra llave, y qué tan gruesa debe ser la pieza de trabajo para que la llave hecha de ella ingrese al ojo de la cerradura.



Entonces, en este caso, tenemos un Medeco 9S en blanco, que es biaxial y está prohibido duplicarlo, por lo que no puede pedir una llave de este tipo en cualquier lugar, pero puede tomar una pieza de metal de 32 milésimas de pulgada de grosor que encaja perfectamente con la cerradura. Hemos agregado varios binarios con cálculos matemáticos a nuestro programa. No agregamos perfiles clave y no los restamos entre sí, pero superponemos uno sobre el otro y obtenemos un perfil con contornos comunes a ambas teclas.



Aquí se muestran los perfiles de pozo para las teclas Schlage C, E y F. Por cierto, C y E son solo otro nombre para SC1, SC8, etc., los verá en la parte superior de la siguiente diapositiva. La intersección de los perfiles combinados de estas teclas será una llave maestra que entrará en cada ojo de la cerradura. Por lo tanto, puede tomar una pieza de trabajo universal de un tamaño adecuado y cortar las ranuras que necesitamos con un cortador circular.

Entonces, tomamos la clave L más adecuada, que queremos insertar en la cerradura tanto para L como para M, la comparamos con otros perfiles y vemos cómo el programa muestra en rojo las piezas de metal que impiden que lo haga.



Luego, giramos la pieza de trabajo con una fresa de 16 pulgadas, eliminando las áreas rojas, y vemos que el perfil en la figura correcta se vuelve universal para ambos agujeros de cerradura. Aquellos de ustedes que estén familiarizados con los scripts notarán que estamos usando variables aquí. Luego, utilizamos el lenguaje de análisis de perfil de cada ojo de cerradura en nuestra base de datos para comparar con el perfil de una clave en particular.



Después de hacer tal comparación, vemos que esta clave es muy similar a sí misma en una forma "invertida". Si es así, lo excluimos de la comparación. En la diapositiva, verá un pequeño ejemplo de la salida cuando ejecutamos nuestro script y, como resultado, recibimos un montón de claves simétricas de una forma u otra. Apliquemos el mismo algoritmo para las claves de replicación denegada.

En la siguiente diapositiva, verá una llave Medeco 1515, que se compara con una llave en blanco Tipo A, que se puede comprar en casi cualquier taller de cerrajería. Este espacio en blanco es el más adecuado para el perfil de la clave que necesitamos. Es suficiente para cortar las piezas de metal marcadas en rojo y se puede usar para las cerraduras de las llaves Medeco 1515.



Si queremos usar una llave de tamaño completo y totalmente funcional, tendremos que quitar algo de metal en la parte superior del perfil de la pieza de trabajo. Esto se puede hacer usando archivos de mano. También desarrollamos un pequeño adaptador que encaja en un ajustador CNC, ampliando las posibilidades de giro preciso de la pieza de trabajo. El video muestra cómo se realiza este proceso.



Bueno, eso significa que tenemos una pieza de trabajo sujeta. Inserto la pieza de trabajo, enciendo el cortador y lentamente extraigo la abrazadera con la pieza de trabajo hacia arriba, arrastrando una ranura longitudinal a lo largo de la llave. La máquina CNC le permite determinar con precisión su ubicación y profundidad de ranura. También puede usar una máquina de perforación, como se muestra en la siguiente diapositiva. Esta es la pieza de trabajo A, modificada en una máquina CNC, que se puede modificar en un dispositivo disponible públicamente. Cualquier persona que tenga acceso a Hacker Space o Makers Space por $ 50 al mes puede usar esta técnica para dejar su clave en blanco.

Entonces, tomamos el blanco más adecuado, lo modificamos un poco e hicimos cortes de barba como Medeco 1515. Ahora tenemos un duplicado de la clave "segura", hecha de uno de los espacios en blanco más comunes en el país.



Podemos hacerlo aún más fácil. Mire esta diapositiva: el perfil más a la izquierda en la parte inferior corresponde a la tecla Medeco 1515, y a la derecha está el perfil Schlage E que coincide con el SC8. A primera vista, no son iguales hasta que note que estos perfiles son imágenes especulares entre sí. Desafortunadamente, vivimos en 3 dimensiones, no en 4, por lo que simplemente no puede girar la llave del revés para insertarla en el ojo de la cerradura.



Sin embargo, puede insertarlo en la cerradura con la parte posterior, cortando la cabeza. En este caso, idealmente ingresa al pozo. Hicimos estos lindos tocones de teclas que puedes insertar hacia atrás en la cerradura, y ahora tenemos reflejos de espejo de las teclas que funcionan perfectamente.



Puede decir que este es un tipo de trampa, y una llave con una cabeza rota solo se puede usar una vez, porque será difícil sacarla de la cerradura para volver a usarla. Pero, en cualquier caso, existe una vulnerabilidad de seguridad, porque ni siquiera necesita una pieza de trabajo para romper ese bloqueo. Es por eso que los fabricantes de cerraduras con un alto nivel de seguridad controlan estrictamente las piezas de trabajo, de lo contrario, podrían usarse para hacer cualquier clave de acceso limitado. Tan pronto como este fragmento de la llave cae en las manos equivocadas, se puede perder, vender, hacer cualquier cosa, es completamente incontrolable. Entonces, si tiene una llave de corte de este tipo, cuya barba no corresponde completamente a los contornos de la llave original, puede soldar las piezas de metal que faltan. Dicha clave se puede aplicar 100 veces,antes de soldar la soldadura. La soldadura es un material bastante blando, y esto es bueno, porque puede insertar la llave en la cerradura varias veces, y procesará la llave correctamente.

La siguiente diapositiva muestra otra clave interesante con una barba convexa, cuya cabeza se indica con una flecha con las letras USPS. Esta es la clave del cartero, que se utiliza para abrir su buzón y recoger el correo saliente desde allí. Los delincuentes emprendedores de Los Ángeles han encontrado una buena manera de copiar dicha clave, un espacio en blanco que no se puede obtener en ningún lado. A la izquierda en la diapositiva hay un montón de baratijas robadas de los buzones, y a la derecha hay herramientas domésticas modificadas, en particular tijeras que se usaron en lugar de la llave del cartero.



Hay algo más interesante en esta veta con la flecha: se hizo no girando, sino presionando. Esto es diferente de la mayoría de las llaves en su billetera. Dicha llave se "exprime" de una pieza plana de metal debajo de una prensa. En la siguiente diapositiva verá ejemplos de moldes que hicimos en una fresadora. Entre ellos, puede insertar un trozo de metal, apretarlo con una prensa y obtener palanquillas semicirculares, a partir de las cuales puede hacer una llave con una flecha.



Por supuesto, no hicimos esto, porque sería completamente ilegal. Pero tal método de fabricación nos hizo pensar: ¿qué pasa con las llaves que generalmente se fresan? ¿Es posible utilizar esta técnica para su fabricación mediante el método de prensado? Resultó que es posible.



Vamos a pensarlo. El núcleo de la cerradura se puede usar como molde cortándolo a lo largo del eje longitudinal. Entonces, tomamos la cerradura Schlage SC1 y la cortamos con un molino por la mitad. Si tienes tiempo, puedes hacerlo con un dremel. Así es como se ve el castillo por dentro.



Hemos recibido dos formas que se pueden usar para presionar una pieza plana de metal en una llave en blanco completamente funcional. Lo hicimos justamente como resultado de obtener un espacio en blanco del perfil deseado. Luego lo insertamos en el cortador de perfil y cortamos la barba que coincide con la barba de la llave Schlage SC1 original. Para los complejos agujeros de cerradura paracéntricos representados en la siguiente diapositiva, esto es mucho más fácil que el fresado, por lo que esta tecnología definitivamente necesita ser adoptada.



Puede preguntar si esto se puede hacer con las teclas restringidas, y le responderé: "por supuesto que puede". Ves un castillo de Medico cortado por la mitad. La flecha amarilla en la parte superior apunta a un perno de otro metal no ferroso, que está diseñado para evitar que corte la cerradura por la mitad. Por cierto, ella no podía hacer frente a esto. La flecha roja apunta a las ranuras rectangulares que miran hacia el lado de la cerradura. Para aquellos que saben cómo funcionan los bloqueos de Medeco, esta solución indica un alto nivel de seguridad. Utilizamos estos moldes para dejar en blanco una clave de acceso limitado de Medeco debajo de la prensa.

Todo es relativo: si pierde la llave, cambia la cerradura, pero si se pierde la llave maestra, debe reemplazar todas las cerraduras de la empresa. Tales incidentes a menudo son cubiertos por los medios, ya que este es un proceso muy costoso. ¿Qué pasa si pierdes el castillo en sí? En la mayoría de los casos, esto no causará ningún problema. Supongamos que tiene un candado que se abre con una llave maestra. Y este castillo, que cierra las puertas alrededor del perímetro del edificio, alguien corta. No le importará, bueno, lo cortaron, y está bien, porque usamos cerraduras de tal forma en todas partes que el criminal no puede hacer una llave para ellos.
Sin embargo, el criminal puede desmontarlo, cortar el núcleo y usarlo como molde para hacer espacios en blanco para las llaves maestras de todas las cerraduras de su objeto. La única dificultad es que cuando se usa el sistema de llave maestra, será mucho más difícil hacer una llave basada solo en el perfil del ojo de la cerradura.



En la diapositiva, una flecha roja indica un pin especial que le permite usar una llave maestra y una sola llave para esta cerradura. Encontrar dónde se encuentra este pin es bastante difícil, pero si tiene alguna información sobre el sistema de llave maestra, puede hacerlo. Por lo tanto, si desmonta el bloqueo en dos partes y puede considerar el trabajo conjunto del código y los pasadores de bloqueo cuando se alinean a lo largo de la línea de cambio a una posición que le permite girar la llave, esto reducirá seriamente el número de opciones posibles para la llave maestra Medeco. Por ejemplo, tenemos una clave aleatoria que abre otra cerradura del mismo sistema. Puede recopilar toda la información sobre dichas teclas juntas y reducir las combinaciones a solo 2 opciones posibles: si la primera no funciona, la segunda se prueba, y así sucesivamente.



Entonces la diferencia está disminuyendo. En nuestro programa, establecemos varios parámetros de selección, incluida la posición relativa de los pines a lo largo de la línea de corte, la ubicación de los pines adyacentes que le permiten usar una clave aleatoria en dos bloqueos diferentes, y así sucesivamente. En esta ocasión, tenemos un informe separado, que presentaremos en un futuro cercano en una conferencia vecina. Por lo tanto, sepa que si ha perdido una cerradura que se puede abrir con una llave maestra, considere que la ha perdido.

Ahora veamos el bloqueo del sistema KeyMark. Este es un tipo de solución de compromiso de Medeco, diseñada para empresas en las que la administración de claves es más importante que la resistencia a los ataques físicos. Sin embargo, esta cerradura también ofrece protección básica contra robos o penetración destructiva.



La llave levanta los 6 pares de pasadores para que pueda girar, mientras que no hay pasadores de seguridad en la cerradura. Los pasadores de seguridad están diseñados para que el uso de una herramienta que no sea la llave los active y bloquee uno o más pasadores en la línea de cambio. Cuando se activan, los pines de seguridad no permiten que el núcleo gire hasta que se elimine el voltaje y los pines vuelvan a su posición original.

Si miras esta foto, verás un surco completamente recto en la parte superior del núcleo. Un ojo de cerradura inclinado nunca interactúa con este recorte, por lo que si desea dejar en blanco dicha tecla, es muy fácil hacerlo presionando. Esta es una cerradura realmente buena, pero no es necesario que repita la forma de la llave original con una protuberancia debajo de la cabeza, que se incluye en esta ranura recta: solo necesita una pieza plana de metal que sea ligeramente más corta que la pieza de trabajo, y la cerradura funcionará perfectamente.

23:10

Conferencia DEFCON 27. Hacer duplicados de llaves mecánicas con acceso limitado. Parte 2

Un poco de publicidad :)

Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más materiales interesantes? Apóyenos haciendo un pedido o recomendando a sus amigos, VPS en la nube para desarrolladores desde $ 4.99 , un análogo único de servidores de nivel básico que inventamos para usted: toda la verdad sobre VPS (KVM) E5-2697 v3 (6 núcleos) 10GB DDR4 480GB SSD 1Gbps desde $ 19 o cómo dividir el servidor? (las opciones están disponibles con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).

Dell R730xd 2 veces más barato en el centro de datos Equinix Tier IV en Amsterdam? Solo tenemos 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV desde $ 199 en los Países Bajos.Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $ 99! Lea sobre Cómo construir un edificio de infraestructura. clase c con servidores Dell R730xd E5-2650 v4 que cuestan 9,000 euros por un centavo?