Cómo una vulnerabilidad fácilmente explotable llevó a KABA a los tribunales.
Ahora voy a retroceder unos cuantos años en el tiempo, quiero decir, es una historia vieja, pero buena. Es una de esas historias que deberías conocer, dice tanto sobre tantos aspectos diferentes de este peculiar juego de cerraduras en el que nos encontramos jugando que vale la pena repetirla. Si eres nuevo en esto de abrir cerraduras, o de alguna manera este asunto se te escapó de la cabeza, es mi deber, como alguien que no es nuevo y a quien no se le escapó, contarte la historia, la historia de una cerradura de $300 que puede ser abierta, por tu abuela, con un imán.
En lugar de cortar y pegar varios otros artículos, con total transparencia reproduzco aquí el artículo tal como lo escribió la leyenda del ganzúas Marc Tobias, disfrútelo…
El Kaba Simplex 1000 es atractivo, especialmente para los imanes de tierras raras.
La cerradura que se ve en la imagen se puede encontrar en miles de lugares: hoteles, bancos, casinos, edificios de oficinas, aeropuertos. Y, según una demanda colectiva , no es segura en absoluto. Kaba-Ilco , el fabricante de la omnipresente serie Simplex de cerraduras con pulsador , está siendo demandado por vender un producto defectuoso que puede ser forzado en segundos por una persona no experta que empuñe únicamente un imán potente.
Según la denuncia presentada por los demandantes en este caso, prácticamente todas estas cerraduras, con excepción del modelo Serie 5000 de Kaba, son vulnerables. Kaba es una de las mayores empresas de cerraduras del mundo y probablemente haya vendido millones de estas increíblemente populares cerraduras mecánicas de botón pulsador Simplex durante los últimos treinta y cinco años.
Se venden por entre 300 y 400 dólares cada uno. No es nada barato. Si la empresa pierde el caso o llega a un acuerdo, podría verse obligada a pagar millones de dólares en reclamaciones por responsabilidad civil.
El problema es que la Simplex ha sido diseñada utilizando un componente crítico llamado cámara de combinación , que se ha descubierto que es sensible a un campo magnético fuerte. Kaba informó que recién se enteró de esta vulnerabilidad de seguridad en agosto de 2010. El litigio es importante porque afecta a miles de instalaciones que dependen de estas cerraduras para el control de acceso y la seguridad.
Kaba, en su moción al tribunal para un cambio de jurisdicción, sostiene que los imanes de tierras raras no eran “comercialmente viables” cuando se diseñaron las cerraduras y constituirían un ataque de última generación por el que no debería ser responsable. Mi problema con esta lógica es que las cerraduras siguieron fabricándose a lo largo de los años con el mismo defecto de diseño, a pesar de que muchos fabricantes de cerraduras y expertos en seguridad conocían la disponibilidad de imanes potentes que son capaces de abrir algunos mecanismos de cierre.
La Simplex no es el único ejemplo de una cerradura que puede ser comprometida mediante esta técnica, como hemos documentado en DAME (Defensa Contra Métodos de Entrada), una de las ediciones multimedia de mi libro.
Reconocerás muchas de estas cerraduras porque se pueden encontrar en prácticamente cualquier lugar, desde instalaciones de alta seguridad como aeropuertos, infraestructuras críticas, bancos, casinos, hospitales, oficinas, escuelas, instalaciones de procesamiento de tarjetas de crédito e incluso residencias privadas. Muchas de ellas son vulnerables a un ataque increíblemente simple con un imán de tierras raras y se pueden abrir en unos dos segundos. El ataque prácticamente no requiere habilidad, experiencia ni entrenamiento, una vez que se comprende la forma de aprovechar el defecto de diseño fatal.
Este imán de tierras raras puede permitir que muchas cerraduras Kaba Simplex se abran sin dificultad y sin dejar rastro.
Nuestro laboratorio de seguridad realizó un análisis de la serie Simplex 1000 y documentó el elemento crítico dentro de estas cerraduras que permite que se las pueda evadir. Producimos un video que solo está disponible para profesionales de seguridad, cerrajeros, administradores de riesgos y agencias de aplicación de la ley. Cualquier cerrajero que tenga acceso a ClearStar (un foro seguro en línea para cerrajeros) puede ver el video para poder brindar información detallada a sus clientes sobre la amenaza de seguridad que crea este ataque.
También puede comunicarse conmigo a mwtobias@security.org para obtener el enlace si desea confirmar su necesidad de saber.
En mi opinión, las cerraduras (al menos las fabricadas antes del 19 de septiembre de 2010) tienen un defecto de diseño fatal en la cámara de combinación. Este es el elemento crítico que reacciona cuando se presiona cada botón con la combinación correcta.
El defecto permite que un campo magnético potente mueva un componente crítico dentro de la cámara, lo que permite retirar el cerrojo como si se hubiera introducido la secuencia de botones correcta. Kaba cree que han descubierto cómo hacer que sus cerraduras sean altamente resistentes o invulnerables a este ataque en particular.
El viernes 28 de enero obtuvimos la última versión de la cámara combinada para probarla y también analizamos la interacción de la carcasa de la cerradura con la cámara. No pudimos abrirla con el imán que utilizamos para abrir la versión anterior. No estamos preparados para afirmar que la Simplex no se puede abrir con un campo magnético más fuerte y con una forma definida, especialmente debido al lenguaje cuidadosamente elaborado en la Moción que se presentó el 29 de diciembre.
Si se permite que la demanda colectiva siga adelante, Kaba podría ser responsable de millones de dólares debido al uso generalizado de estas cerraduras, incluso si su reparación resulta ser relativamente menor. Todas las cerraduras vulnerables deberían actualizarse para reducir la amenaza de este tipo de ataque, especialmente en aplicaciones de alta seguridad.
En mi opinión, este litigio puede exponer a otros fabricantes a una responsabilidad similar por diseños de seguridad deficientes o defectuosos. A esto lo llamo ingeniería de inseguridad y es el resultado de la falta de experiencia en métodos de entrada por parte de los ingenieros cuando diseñan cerraduras. Hemos documentado cientos de casos de “ingeniería de inseguridad” por parte de grandes y pequeños fabricantes de cerraduras en todo el mundo y estamos trabajando con muchos de ellos para revisar los diseños y las posibles vulnerabilidades y eliminar dichas amenazas.
Aunque la ley de responsabilidad por este tipo de problemas de diseño no está establecida, creo que Kaba puede sentar un precedente y establecer los niveles mínimos de competencia requeridos por la industria cuando se trata de descubrir y protegerse contra diseños inseguros que pueden poner en riesgo a los consumidores, especialmente porque parece que Kaba pudo reducir significativamente o eliminar la amenaza a sus cerraduras con un cambio relativamente simple. La pregunta relevante es por qué no descubrieron y diseñaron en torno a esta amenaza hace mucho tiempo, evitando así posibles violaciones de seguridad que ocurrieran en miles de instalaciones.
Creo que la cuestión relevante en este litigio se relaciona tanto con la responsabilidad de los fabricantes de cerraduras de mantenerse al día con los métodos actuales de evasión (y medir constantemente los productos actuales contra tales amenazas) como con la responsabilidad de Kaba.
Muchas cerraduras con “clasificación de seguridad” están sujetas a diferentes formas de elusión, desde ataques simples hasta ataques sofisticados. Algunas cerraduras de alta seguridad se pueden abrir en segundos, a pesar de su clasificación por UL o BHMA que básicamente garantiza su resistencia a métodos de entrada encubiertos y forzados durante un período de tiempo específico, que definitivamente es más que unos pocos segundos.
Parte del problema reside en las organizaciones de normalización que determinan los criterios de prueba que sirven de guía a las agencias gubernamentales, las instalaciones comerciales y los consumidores sobre lo que es seguro y lo que no lo es. Lamentablemente, las normas promulgadas por Underwriters Laboratories (UL), Builders Hardware Manufacturers Association (BHMA) y los grupos europeos no protegen contra muchas formas de entrada forzada y encubierta que utilizan los delincuentes y los agentes gubernamentales en el “mundo real” con el que trato.
En mi libro Cerraduras, cajas fuertes y seguridad , he documentado al menos cincuenta métodos de ataque que no están contemplados en los estándares, y que a menudo dejan a todos en riesgo, especialmente en el caso de infraestructuras y establecimientos críticos que requieren un mayor nivel de seguridad.
Esta incapacidad de las normas para proteger adecuadamente al usuario deja al consumidor con pocos recursos o información sobre la seguridad real de una cerradura o pieza de hardware. Se supone que una norma de grado 1 para consumidores (ANSI/BHMA 156.5), que es una norma de nivel comercial, denota el nivel más alto de seguridad para cerraduras comerciales y residenciales.
En mi opinión, no tiene sentido cuando se trata de métodos de entrada encubiertos e incluso forzados. Puede transmitir una falsa sensación de seguridad al consumidor. La norma no tiene en cuenta los ataques magnéticos.
Según los alegatos presentados por el demandante y en los folletos publicitarios, parece que la serie Simplex 1000 tuvo en algún momento una clasificación BHMA/ANSI 156.2. Una verificación de las listas de certificación de 2011 de la BHMA muestra que solo la serie 5000 figuraba en la lista de esta norma.
Esa cerradura no está sujeta a bypass magnético. En mi publicación original señalé que la cerradura tenía una clasificación de 156,5. De hecho, eso era incorrecto. Si la demanda de Kaba llega a un veredicto o a un acuerdo, los fabricantes de cerraduras seguramente prestarán atención, porque muchos de ellos podrían ser el próximo objetivo de una acción legal similar.
Cuando hablé con dos miembros del personal de soporte técnico de Kaba a principios de este mes, negaron que las cerraduras pudieran abrirse con imanes y nunca mencionaron que el problema hubiera existido o que Kaba hubiera lanzado un nuevo diseño para combatir el ataque. Lo que es aún más preocupante es que me puse en contacto con cinco distribuidores diferentes en Estados Unidos y ninguno de ellos había oído hablar de un ataque magnético.
Incluso si Kaba ha solucionado el problema, todavía hay potencialmente millones de cerraduras en servicio en aplicaciones críticas que se pueden abrir fácilmente.
He escrito una publicación de blog muy detallada en in.security.org donde se analiza el problema de seguridad de Kaba Simplex en relación con la responsabilidad del cerrajero y del fabricante.
Publicaremos un informe posterior sobre la eficacia de las correcciones que Kaba ha implementado. En este momento, se desconoce cómo planea la empresa abordar la modernización de la base instalada actualmente.
Nota: Me gustaría corregir un error que cometí con respecto a la certificación de las cerraduras de botón pulsador Kaba que son el tema de este artículo. Observé que la cerradura de la serie Simplex 1000 contaba con una certificación de seguridad de grado 1 de BHMA/ANSI 156.5. Una comprobación de la lista de certificaciones de BHMA de 2011 solo muestra que la serie 5000 tiene una certificación de grado 1 según la norma 156.2 (no 156.5). Los alegatos presentados por el demandante hacen referencia a las cerraduras que son objeto de la demanda como certificadas según la norma 156.2.
Los criterios 156.2 para las pruebas de seguridad se relacionan principalmente con ataques al cuerpo de la cerradura y a la manija de la palanca y no incluyen el ingreso encubierto. La norma BHMA/ANSI 156.5 describe varias pruebas de seguridad para cilindros de cerradura.
Afirmé incorrectamente que Kaba tenía esa calificación cuando, en realidad, no la tenía. Había leído mal los alegatos y me disculpo por la confusión y el error.
(Las opiniones y puntos de vista expresados en este artículo no reflejan necesariamente los de UK BUMP KEYS Ltd o LockPickWorld.Com o los empleados de las mismas)