Menu
Carrello 0

$ Blocco 400 aperto con un magnete.

Pubblicato da Chris Dangerfield on

L'affare KABA Simplex
 

Ora tornerò tra qualche anno qui - voglio dire, questo è un vecchio - ma caro! È una di quelle storie che dovresti sapere, dice tanto di tanti aspetti diversi di questo peculiare gioco di serrature in cui ci troviamo a suonare che vale la pena ripeterlo. Se sei nuovo per bloccare la raccolta, o in qualche modo questo affare è scivolato sotto il tuo radar - è mio dovere - come qualcuno che non è nuovo, e chi è il radar che non è scivolato sotto - per darti la storia, la storia di un $ Blocco 400 che può essere aperto - da tua nanna - con un magnete.

Piuttosto che tagliare e incollare vari altri articoli, con una trasparenza totale, riproduco qui l'articolo come scritto da Marc Tobias, leggenda del lock picking, divertiti ....

Il lucchetto che vedi nella foto a destra può essere trovato in migliaia di località: hotel, banche, casinò, edifici per uffici, aeroporti. E, secondo a azione legale collettiva, non è affatto sicuro. Kaba-Ilco, il creatore dell'onnipresente  Serie Simplex di serrature a pulsante, è stato citato in giudizio per aver venduto un prodotto difettoso che può essere rotto in pochi secondi da una persona non qualificata che brandisce solo un potente magnete. Praticamente tutte queste serrature, ad eccezione del modello 5000 della serie Kaba, sono vulnerabili, secondo la denuncia presentata dai ricorrenti in questo caso. Kaba è una delle più grandi società di serrature al mondo e probabilmente ha venduto milioni di serrature a pulsante meccaniche Simplex incredibilmente popolari negli ultimi trentacinque anni. Vendono per $ 300 a $ 400 ciascuno. Non è affatto economico. Se la società perde il caso o si deposita, potrebbe essere sul gancio per milioni di dollari in crediti di responsabilità.

Il problema è che il Simplex è stato progettato utilizzando un componente critico chiamato camera di combinazione è stato scoperto che è sensibile a un forte campo magnetico. Kaba ha riferito di aver scoperto questa vulnerabilità della sicurezza solo ad agosto 2010. Il contenzioso è importante perché riguarda migliaia di installazioni che si basano su questi blocchi per il controllo degli accessi e la sicurezza.

Kaba, nella sua mozione alla corte per un cambio di sede, si sostiene che i magneti in terre rare non fossero "commercialmente fattibili" quando le serrature furono progettate e costituirebbero un attacco allo stato dell'arte per il quale non dovrebbe essere responsabile. Il mio problema con questa logica è che le serrature hanno continuato a essere prodotte negli anni con lo stesso difetto di progettazione, anche se molti produttori di serrature ed esperti di sicurezza sono stati consapevoli della disponibilità di potenti magneti in grado di aprire alcuni meccanismi di blocco.

Il Simplex non è l'unico esempio di blocco che può essere compromesso da questa tecnica, come abbiamo documentato in DAME (Defense Against Methods of Entry), una delle edizioni multimediali del mio libro.

Riconoscerete molte di queste serrature perché possono essere trovate praticamente in ogni luogo da strutture di alta sicurezza come aeroporti, infrastrutture critiche, banche, casinò, ospedali, uffici, scuole, strutture per il trattamento di carte di credito e persino residenze private. Molti di loro sono vulnerabili a un attacco incredibilmente semplice con un magnete in terre rare e possono essere aperti in circa due secondi. L'attacco non richiede praticamente abilità, esperienza o formazione, una volta compreso l'exploit del difetto di progettazione fatale.

Questo magnete in terre rare può consentire l'apertura senza difficoltà di molte serrature Kaba Simplex, senza lasciare traccia.

Il nostro laboratorio di sicurezza ha condotto un'analisi della serie Simplex 1000 e ha documentato l'elemento critico all'interno di questi blocchi che consente loro di essere bypassati. Abbiamo realizzato un video che è disponibile solo per i professionisti della sicurezza, i fabbri, i gestori del rischio e le forze dell'ordine. Qualsiasi fabbro che ha accesso a ClearStar (un forum online sicuro per fabbri) può visualizzare il video per consentire loro di fornire informazioni dettagliate ai propri clienti sulla minaccia alla sicurezza creata da questo attacco.

Puoi anche contattarmi a  mwtobias@security.org per il collegamento se fornisci la conferma del tuo bisogno di sapere.

Le serrature (almeno quelle prodotte prima di settembre 19, 2010) a mio parere hanno un difetto di progettazione fatale nella camera di combinazione. Questo è l'elemento critico che reagisce quando ciascun pulsante viene premuto utilizzando la combinazione corretta. Il difetto consente a un forte campo magnetico di spostare un componente critico all'interno della camera che può consentire di ritirare il bullone come se fosse stata inserita la sequenza di pulsanti corretta. Kaba crede di aver capito come rendere le loro serrature altamente resistenti o invulnerabili a questo particolare attacco.

Abbiamo ottenuto l'ultima versione della camera combinata venerdì 28 di gennaio per testare, e anche esaminato l'interazione dell'alloggiamento della serratura con la camera. Non siamo stati in grado di aprirlo con la calamita che abbiamo impiegato per compromettere la loro versione precedente. Non siamo pronti a dichiarare che il Simplex non può essere compromesso da un campo magnetico più forte e sagomato, soprattutto a causa del linguaggio accuratamente elaborato nel movimento che è stato depositato nel mese di dicembre 29.

Se la causa legale collettiva è autorizzata a procedere, Kaba potrebbe potenzialmente essere ritenuta responsabile per milioni di dollari a causa dell'uso diffuso di queste serrature, anche se la loro correzione risulta essere relativamente minore. Ogni blocco vulnerabile deve essere aggiornato per ridurre la minaccia da questo tipo di attacco, specialmente nelle applicazioni ad alta sicurezza.

Questo contenzioso, a mio avviso, potrebbe esporre altri produttori a responsabilità simili per progetti di sicurezza carenti o difettosi. Lo chiamo ingegneria insicurezza, e deriva da una mancanza di esperienza nei metodi di ingresso da parte degli ingegneri quando progettano serrature. Abbiamo documentato centinaia di casi di "insicurezza ingegneristica" da parte di produttori di serrature di grandi e piccole dimensioni in tutto il mondo e stiamo lavorando con molti di loro per esaminare i progetti e le possibili vulnerabilità e per eliminare tali minacce.

Sebbene la legge sulla responsabilità per tali problemi di progettazione non sia risolta, ritengo che Kaba possa stabilire il precedente e stabilire i livelli minimi di competenza richiesti dal settore quando si tratta di scoprire e tutelare da progetti insicuri che possono mettere a rischio i consumatori, soprattutto perché sembra che Kaba è stata in grado di ridurre o eliminare in modo significativo la minaccia alle loro serrature con un cambiamento relativamente semplice. La domanda rilevante è perché non hanno scoperto e progettato attorno a questa minaccia molto tempo fa, evitando così possibili violazioni della sicurezza che si verificano in migliaia di strutture?

Credo che la questione rilevante in questo contenzioso riguardi tanto la responsabilità dei produttori di serrature di tenere il passo con gli attuali metodi di bypass (e di misurare costantemente i prodotti correnti contro tali minacce), quanto lo è la responsabilità di Kaba.

Molte serrature "di sicurezza" sono soggette a diverse forme di bypass, da semplici attacchi a sofisticati. Alcune serrature di alta sicurezza possono essere aperte in pochi secondi, nonostante il loro rating da UL o BHMA che essenzialmente garantisce la loro resistenza a metodi di ingresso segreti e forzati per un determinato periodo di tempo, che sono decisamente più di pochi secondi!

Parte del problema spetta alle organizzazioni di standard che determinano i criteri di test che forniscono una guida alle agenzie governative, alle strutture commerciali e ai consumatori in merito a ciò che è sicuro e ciò che non lo è. Sfortunatamente, gli standard promulgati da Underwriters Laboratories (UL), Costruttori Costruttori di hardware(BHMA) e i gruppi europei non proteggono da molte forme di ingresso segreto e forzato che vengono utilizzate da criminali e agenti governativi nel "mondo reale" con cui ho a che fare.

Nel mio libro Serrature, Casseforti e Sicurezza, Ho documentato almeno cinquanta metodi di attacco che non sono affrontati negli standard, spesso lasciando tutti a rischio, soprattutto per infrastrutture critiche e strutture che richiedono un livello di sicurezza più elevato.

Questo fallimento degli standard per proteggere adeguatamente l'utente lascia al consumatore pochi rimedi o informazioni sulla reale sicurezza di una serratura o di un pezzo di hardware. Un consumer Grade 1, (ANSI / BHMA 156.5), che è uno standard a livello commerciale, dovrebbe denotare il massimo livello di sicurezza per le serrature commerciali e residenziali. È, a mio avviso, privo di significato quando si tratta di metodi di accesso nascosti e persino forzati. Può trasmettere un falso senso di sicurezza al consumatore. Lo standard non tiene conto degli attacchi magnetici.

Sembra che la serie Simplex 1000 avesse una valutazione 156.2 BHMA / ANSI in una volta, secondo le memorie depositate dall'attore e nei depliant pubblicitari. Un controllo degli elenchi di certificazione 2011 di BHMA mostra solo le serie 5000 come elencate sotto questo standard. Quella serratura non è soggetta a bypass magnetico. Ho notato nel mio post originale che la serratura aveva un punteggio 156.5. Questo era in realtà sbagliato.

Se la causa Kaba procede a un verdetto oa un accordo, i fabbricanti di serrature presteranno sicuramente attenzione, perché molti di loro potrebbero essere il prossimo obiettivo di un'azione legale simile.

Quando ho parlato con due diversi staff di supporto tecnico a Kaba all'inizio di questo mese, hanno negato che le serrature potessero essere aperte con magneti, e mai menzionato che il problema fosse mai esistito o che Kaba avesse rilasciato un nuovo design per combattere l'attacco. Ancora più preoccupante, ho contattato cinque diversi rivenditori negli Stati Uniti. Nessuno di loro aveva sentito parlare di un attacco magnetico.

Anche se il problema è stato risolto da Kaba, ci sono ancora potenzialmente milioni di serrature in servizio in applicazioni critiche che possono essere facilmente aperte.

Ho scritto una descrizione molto dettagliata post sul blog on in.security.org discutere del problema di sicurezza di Kaba Simplex in relazione al fabbro e alla responsabilità del produttore.

Pubblicheremo una relazione successiva sull'efficacia delle correzioni che Kaba ha implementato. In questo momento, la società prevede di occuparsi del retrofit della base attualmente installata.

Ti potrebbe interessare anche: l'intervista a Marc Tobias.

 

NOTA: Vorrei correggere un errore che ho riscontrato in merito alla certificazione delle serrature a pulsante Kaba oggetto di questo articolo. Ho notato che il blocco della serie 1000 Simplex portava una certificazione 156.5 di grado 1 BHMA / ANSI per la sicurezza. Un controllo con la lista di certificazione 2011 BHMA mostra solo la serie 5000 con certificazione GNXX sotto il 156.2 standard (non 156.5). Le memorie depositate dall'attore si riferiscono alle serrature oggetto della causa come certificate secondo lo standard 156.2. I criteri 156.2 per i test di sicurezza si riferiscono principalmente agli attacchi al corpo della serratura e alla maniglia della leva e non includono l'ingresso nascosto. Lo standard BHMA / ANSI 156.5 descrive diversi test di sicurezza per i cilindri delle serrature. Ho affermato erroneamente che Kaba aveva una valutazione del genere, mentre in realtà non lo avevano. Ho letto male le memorie e mi scuso per la confusione e l'errore.

(I punti di vista e le opinioni espresse in questo articolo non riflettono necessariamente quelle di UK BUMP KEYS Ltd o di LockPickWorld.Com o dei suoi dipendenti)


Condividi questo post



← Post precedente Newer Post →