Por último, HID afirma que “hasta donde sabe”, ninguna de sus claves codificadoras se ha filtrado ni se ha distribuido públicamente, y “ninguno de estos problemas ha sido explotado en las instalaciones de los clientes y la seguridad de nuestros clientes no se ha visto comprometida”.
Javadi replica que no hay forma de saber quién podría haber extraído en secreto las claves de HID, ahora que se sabe que su método es posible. “Hay mucha gente inteligente en el mundo”, dice Javadi. “Es poco realista pensar que somos los únicos que podríamos hacer esto”.
A pesar de la advertencia pública que HID emitió hace más de siete meses y de las actualizaciones de software que lanzó para solucionar el problema de extracción de claves, Javadi afirma que la mayoría de los clientes cuyos sistemas ha probado en su trabajo no parecen haber implementado esas correcciones. De hecho, los efectos de la técnica de extracción de claves pueden persistir hasta que los codificadores, lectores y cientos de millones de tarjetas de acceso de HID sean reprogramados o reemplazados en todo el mundo.
Es hora de cambiar las cerraduras
Para desarrollar su técnica de extracción de las claves de los codificadores HID, los investigadores comenzaron por deconstruir su hardware: utilizaron un cuchillo ultrasónico para cortar una capa de epoxi en la parte posterior de un lector HID, luego calentaron el lector para desoldar y retirar su chip SAM protegido. Luego colocaron ese chip en su propio zócalo para observar sus comunicaciones con un lector. El SAM en los lectores y codificadores de HID es lo suficientemente similar como para que esto les permitiera aplicar ingeniería inversa a los comandos del SAM dentro de los codificadores también.
En última instancia, ese hackeo de hardware les permitió desarrollar una versión mucho más limpia e inalámbrica de su ataque: escribieron su propio programa para indicarle a un codificador que enviara los secretos de su SAM a una tarjeta de configuración sin cifrar esos datos sensibles, mientras que un dispositivo “rastreador” RFID se ubicaba entre el codificador y la tarjeta, leyendo las claves de HID en tránsito.
De hecho, los sistemas HID y otras formas de autenticación con tarjetas RFID han sido… agrietado repetidamenteen varios manerasen las últimas décadas. Pero vulnerabilidades como las que se presentarán en Defcon pueden ser particularmente difíciles de proteger por completo. “Lo desciframos, ellos lo arreglan. Lo desciframos, ellos lo arreglan”, dice Michael Glasser, investigador de seguridad y fundador de Glasser Security Group, que ha descubierto vulnerabilidades en sistemas de control de acceso desde 2003. “Pero si su solución requiere reemplazar o reprogramar cada lector y cada tarjeta, eso es muy diferente de un parche de software normal”.
Por otra parte, Glasser señala que evitar la clonación de tarjetas de acceso representa solo una capa de seguridad entre muchas para cualquier instalación de alta seguridad y, en términos prácticos, la mayoría de las instalaciones de baja seguridad ofrecen formas mucho más fáciles de ingresar, como pedirle a un empleado que le sostenga la puerta abierta mientras tiene las manos ocupadas. “Nadie le dice que no a un tipo que tiene dos cajas de donas y una caja de café”, dice Glasser.
Javadi dice que el objetivo de su charla en Defcon no fue sugerir que los sistemas de HID sean particularmente vulnerables (de hecho, dicen que enfocaron sus años de investigación en HID específicamente debido al desafío de descifrar sus productos relativamente seguros), sino más bien enfatizar que nadie debería depender de una sola tecnología para su seguridad física.
Ahora que han dejado claro que las llaves del reino de HID pueden extraerse, la empresa y sus clientes pueden enfrentarse a un proceso largo y complicado para recuperar esas llaves. “Ahora los clientes y HID tienen que recuperar el control y cambiar las cerraduras, por así decirlo”, afirma Javadi. “Cambiar las cerraduras es posible, pero va a ser mucho trabajo”.
