Menú
Carrito 0

$ Bloqueo 400 abierto con un imán.

Publicado por Chris Dangerfield on

El asunto KABA Simplex
 

Ahora vuelvo unos años aquí. Quiero decir, esto es un viejo, ¡pero bueno! Es una de esas historias que debes saber, que dice tanto sobre tantos aspectos diferentes de este peculiar juego de cerraduras en el que nos encontramos jugando que vale la pena repetirlo. Si eres nuevo en la selección de la cerradura, o de alguna manera este asunto se deslizó bajo tu radar, es mi deber, como alguien que no es nuevo, y quién es el radar por el que no se deslizó, para contarte la historia, la historia de un $ Cerradura 400 que puede abrirse, con su imán, con un imán.

En lugar de cortar y pegar otros artículos, con total transparencia reproduzco aquí el artículo, tal como lo escribió Marc Tobias, leyenda de la selección de la cerradura, disfrute ...

La cerradura que ve en la imagen de la derecha se puede encontrar en miles de ubicaciones: hoteles, bancos, casinos, edificios de oficinas, aeropuertos. Y, según una demanda colectiva, no es seguro en absoluto. Kaba-Ilco, el creador de la ubicua  Simplex serie de pulsadores de bloqueo., está siendo demandado por vender un producto defectuoso que puede ser roto en segundos por una persona no calificada que maneja solo un imán poderoso. Prácticamente todos estos bloqueos, con la excepción del modelo 5000 de Kaba, son vulnerables, de acuerdo con la queja presentada por los demandantes en este caso. Kaba es una de las compañías de cerraduras más grandes del mundo y es probable que haya vendido millones de estas increíblemente populares cerraduras de botón mecánico Simplex durante los últimos treinta y cinco años. Se venden por $ 300 a $ 400 cada uno. No es barato en absoluto. Si la empresa pierde el caso o se resuelve, podría estar pendiente de millones de dólares en reclamaciones de responsabilidad.

El problema es que el Simplex ha sido diseñado utilizando un componente crítico llamado cámara de combinación que se ha descubierto que es sensible a un campo magnético fuerte. Kaba informó que solo se enteró de esta vulnerabilidad de seguridad en agosto 2010. El litigio es importante porque afecta a miles de instalaciones que dependen de estos bloqueos para el control de acceso y la seguridad.

Kaba, en su moción a la corte para un cambio de sede, se afirma que los imanes de tierras raras no eran "comercialmente factibles" cuando se diseñaron las cerraduras y constituirían un ataque de vanguardia por el cual no debería ser responsable. Mi problema con esta lógica es que las cerraduras se siguieron fabricando a lo largo de los años con el mismo defecto de diseño, a pesar de que muchos fabricantes de cerraduras y expertos en seguridad han sido conscientes de la disponibilidad de imanes potentes que pueden abrir algunos mecanismos de bloqueo.

El Simplex no es el único ejemplo de un bloqueo que puede ser comprometido por esta técnica, como hemos documentado en DAME (Defensa contra los métodos de entrada), una de las ediciones multimedia de mi libro.

Reconocerá muchos de estos bloqueos porque se pueden encontrar en prácticamente todos los lugares, desde instalaciones de alta seguridad como aeropuertos, infraestructura crítica, bancos, casinos, hospitales, oficinas, escuelas, instalaciones de procesamiento de tarjetas de crédito e incluso residencias privadas. Muchos de ellos son vulnerables a un ataque increíblemente simple con un imán de tierras raras, y pueden abrirse en unos dos segundos. El ataque no requiere virtualmente ninguna habilidad, experiencia o entrenamiento, una vez que se comprende la vulnerabilidad del defecto de diseño fatal.

Este imán de tierras raras puede permitir que muchas cerraduras Kaba Simplex se abran sin dificultad, sin dejar rastro.

Nuestro laboratorio de seguridad realizó un análisis de la serie Simplex 1000 y documentó el elemento crítico dentro de estos bloqueos que les permite pasarlos por alto. Producimos un video que solo está disponible para profesionales de seguridad, cerrajeros, administradores de riesgos y agencias de cumplimiento de la ley. Cualquier cerrajero que tenga acceso a ClearStar (un foro en línea seguro para cerrajeros) puede ver el video para permitirles proporcionar información detallada a sus clientes sobre la amenaza a la seguridad que crea este ataque.

También puedes contactarme en  mwtobias@security.org para el enlace si va a proporcionar la confirmación de su necesidad de saber.

Las cerraduras, (al menos las producidas antes de septiembre 19, 2010) en mi opinión tienen un defecto de diseño fatal en la cámara de combinación. Este es el elemento crítico que reacciona cuando se presiona cada botón con la combinación correcta. El defecto permite que un campo magnético fuerte mueva un componente crítico dentro de la cámara que puede permitir que se retire el perno como si se hubiera ingresado la secuencia de botones correcta. Kaba cree que han descubierto cómo hacer que sus cerraduras sean altamente resistentes o invulnerables a este ataque en particular.

Obtuvimos la última versión de la cámara de combinación el viernes enero 28 para probarla, y también observamos la interacción de la carcasa de la cerradura con la cámara. No pudimos abrirlo con el imán que empleamos para comprometer su versión anterior. No estamos listos para afirmar que el Simplex no puede verse comprometido por un campo magnético más fuerte y con forma, especialmente debido al lenguaje cuidadosamente diseñado en la Moción que se presentó en diciembre 29.

Si se permite que la demanda colectiva continúe, Kaba podría ser responsable por millones de dólares debido al uso generalizado de estos bloqueos, incluso si su solución resulta ser relativamente menor. Cada bloqueo vulnerable debe actualizarse para reducir la amenaza de este tipo de ataque, especialmente en aplicaciones de alta seguridad.

Este litigio, en mi opinión, puede exponer a otros fabricantes a una responsabilidad similar por diseños de seguridad deficientes o defectuosos. Yo llamo a esto ingenieria de inseguridad, y resulta de una falta de experiencia en los métodos de entrada por parte de los ingenieros cuando diseñan cerraduras. Hemos documentado cientos de casos de "ingeniería de inseguridad" por parte de fabricantes de cerraduras grandes y pequeñas en todo el mundo, y estamos trabajando con muchos de ellos para revisar los diseños y posibles vulnerabilidades y eliminar tales amenazas.

Aunque la ley de responsabilidad por tales problemas de diseño no está resuelta, creo que Kaba puede sentar las bases y establecer los niveles mínimos requeridos de competencia de la industria cuando se trata de descubrir y protegerse contra diseños inseguros que pueden poner a los consumidores en riesgo, especialmente porque parece que Kaba pudo reducir significativamente o eliminar la amenaza a sus bloqueos con un cambio relativamente simple. La pregunta relevante es ¿por qué no descubrieron y diseñaron alrededor de esta amenaza hace mucho tiempo, evitando así que ocurran posibles brechas de seguridad en miles de instalaciones?

Creo que la cuestión relevante en este litigio se relaciona tanto con la responsabilidad de los fabricantes de cerraduras para mantenerse al día con los métodos actuales de desvío (y medir constantemente los productos actuales contra tales amenazas), como con la responsabilidad de Kaba.

Muchos bloqueos de "clasificación de seguridad" están sujetos a diferentes formas de desvío, desde ataques simples a sofisticados. Algunos bloqueos de alta seguridad pueden abrirse en segundos, a pesar de su clasificación por UL o BHMA que esencialmente garantiza su resistencia a los métodos de entrada encubiertos y forzados por un período de tiempo específico, ¡que son definitivamente más que unos pocos segundos!

Parte del problema recae en las organizaciones de estándares que determinan los criterios de prueba que proporcionan una guía para las agencias gubernamentales, las instalaciones comerciales y los consumidores en cuanto a lo que es seguro y lo que no lo es. Desafortunadamente, los estándares promulgados por Underwriters Laboratories (UL) Asociación de fabricantes de hardware de constructores(BHMA) y los grupos europeos no protegen contra muchas formas de entrada encubierta y forzada que son utilizadas por criminales y agentes gubernamentales en el "mundo real" con el que trato.

En mi libro Cerraduras, cajas fuertes y seguridad, He documentado al menos cincuenta métodos de ataque que no se abordan en los estándares, lo que a menudo deja a todos en riesgo, especialmente para instalaciones e infraestructura críticas que requieren un mayor nivel de seguridad.

Esta falla de los estándares para proteger adecuadamente al usuario deja al consumidor con pocos recursos o información en cuanto a la seguridad real de una cerradura o pieza de hardware. Se supone que un consumidor de Grado 1, (ANSI / BHMA 156.5), que es un estándar de nivel comercial, indica el nivel más alto de seguridad para cerraduras comerciales y residenciales. En mi opinión, no tiene sentido cuando se trata de métodos de entrada encubiertos e incluso forzados. Puede transmitir una falsa sensación de seguridad al consumidor. El estándar no tiene en cuenta los ataques magnéticos.

Parece que la serie Simplex 1000 tuvo una calificación de BHMA / ANSI 156.2 a la vez, de acuerdo con los alegatos presentados por el demandante y en los folletos publicitarios. Una verificación de los listados de certificación 2011 por parte de BHMA muestra solo que la serie 5000 está incluida en esta norma. Esa cerradura no está sujeta a bypass magnético. Noté en mi publicación original que el bloqueo tenía una clasificación de 156.5. Eso fue de hecho incorrecto.

Si la demanda de Kaba procede de un veredicto o acuerdo, los fabricantes de cerraduras seguramente prestarán atención, ya que muchos de ellos podrían ser el próximo objetivo de una acción legal similar.

Cuando hablé con dos miembros diferentes del personal de soporte técnico de Kaba a principios de este mes, negaron que las cerraduras pudieran abrirse con imanes, y nunca mencionaron que el problema existió o que Kaba había lanzado un nuevo diseño para combatir el ataque. Aún más preocupante, me puse en contacto con cinco distribuidores diferentes en todo Estados Unidos. Ninguno de ellos había oído nada sobre un ataque magnético.

Incluso si el problema ha sido solucionado por Kaba, todavía hay potencialmente millones de bloqueos en servicio en aplicaciones críticas que pueden abrirse fácilmente.

He escrito un muy detallado.  blog on in.security.org Discutir el problema de seguridad de Kaba Simplex en relación con la responsabilidad del cerrajero y el fabricante.

Publicaremos un informe posterior sobre la efectividad de los arreglos que Kaba ha implementado. En este momento, se desconoce cómo planea la compañía lidiar con la modernización de la base instalada actualmente.

También te puede interesar: La entrevista de Marc Tobias.

 

<b>Nota:</b> Me gustaría corregir un error que cometí con respecto a la certificación de los bloqueos de pulsador Kaba que son el tema de este artículo. Noté que el bloqueo de la serie Simplex 1000 llevaba una certificación BHMA / ANSI 156.5 Grade 1 para seguridad. Una comprobación con la Lista de Certificación BHMA de 2011 solo muestra que la Serie 5000 tiene una certificación de Grado 1 según la 156.2 estándar (no 156.5). Los alegatos que fueron presentados por el Demandante se refieren a las cerraduras que están sujetas a la demanda como certificadas bajo el estándar 156.2. Los criterios 156.2 para las pruebas de seguridad se relacionan principalmente con los ataques al cuerpo de la cerradura y la manija de la palanca y no incluyen la entrada encubierta. El estándar 156.5 de BHMA / ANSI describe varias pruebas de seguridad para cilindros de cerradura. Dije incorrectamente que Kaba tenía tal calificación cuando en realidad no la tenían. Había leído mal los alegatos y me disculpo por la confusión y el error.

(Los puntos de vista y las opiniones expresadas en este artículo no reflejan necesariamente las de UK BUMP KEYS Ltd o LockPickWorld.Com o los empleados que aparecen en él)


Comparte este artículo



← Publicación anterior Publicación más reciente →