[Перевод] Конференция DEFCON 19. “Сделай сам: неразрушающий взлом”
Я узнал, что буду выступать здесь всего 20 минут назад из Twitter, и я благодарю Джейсона Скотта и вас, дамы и господа, которые сегодня окажутся в театре Penn & Teller! (Скайлер имеет в виду, что будет рассказывать о методах взлома, которые любят показывать фокусники, Пенн и Теллер — дует известных американских иллюзионистов).
Итак, я Скайлер Таун, профессиональный взломщик и исследователь проблем физической безопасности, мой персональный сайт находится по адресу schuylertowne.com, страница в Twitter — @shoebox.
Сегодня я раскрою перед вами секреты волшебства, о которых вы не знаете. Мы поговорим, как открыть автомобиль с помощью палочки от эскимо, как открыть сейф с помощью шлифовальной машинки и как открыть наручники с помощью пивной банки. Ещё мы поговорим, как открыть электронный сейф с помощью 9В аккумулятора типа «Крона», как открыть трубчатый замок с помощью шариковой ручки, как взломать кодовый замок на чемодане с помощью противокражной этикетки от коробки с DVD диском.
То есть мы обсудим такие виды взлома, как шимминг, спайкинг, декодинг, оверлифтинг, вибрационный взлом и так далее.
На сначала мы поговорим о машинах. В автомобилях обычно используются так называемый вафельный замок с тумблером, wafer tumbler lock. Он состоит из «вафелек» — тонких пластинок с фигурными отверстиями, расположенными внутри цилиндра замка. Пружины подпирают эти пластинки так, что одна «вафелька» задвинута в верхнюю часть камеры, следующая в нижнюю и так далее. Когда «правильный» ключ вставляется в прорезь замка, он собирает эти «вафельки» вместе в средней части замка, выводя их из камер, и тем самым создавая возможность повернуть ключ.
На следующих слайдах я уберу эти пружинки, чтобы они не мешали видеть, как поворачиваются пластинки. Я покажу, как выглядит работа замка в анимационном ролике.
Такой замок можно открыть с мощью технологии взлома overlifting, это его слабое место. Если вместо оригинального ключа с нарезанной бородкой ввести заготовку ключа, она будет насаживать на себя каждую пластинку так, что они будут выводиться из камер, где обычно прячутся и блокироваться в противоположных камерах, но при этом будут стремиться вернуться в «родные» камеры под действием пружин.
Это давление сохраняется, и когда вы вытаскиваете заготовку, пластины занимают положение в центре замка, как если бы вы использовали настоящий ключ.
Теперь достаточно ввести в замок только самый кончик заготовки, чтобы он подцепил первую пластинку, к которой прижаты все остальные, и повернуть её, после чего замок откроется.
Я задумался над тем, что, кроме заготовки, может заменить ключ от дверей моей машины, и решить попробовать палочки для мороженного, вы знаете, как они выглядят. Первая попытка состоялась зимой. Как вам известно, эта палочка обычно бывает влажной после мороженного, и это обстоятельство надо было учесть. Я открыл водительскую дверь и поехал, всё получилось. Но затем наступила ночь, и попавшая в замок влага от палочки превратилась в лёд, и после того как я попытался утром открыть дверь снова, замок вообще перестал работать. Зато весной я не один раз открывал так пассажирскую дверь.
Главным для меня был не сам способ взлома, а его идея. То есть я мог выйти из дома без всяких отмычек, но всё равно имел возможность угнать автомобиль с помощью подручных средств. Позже мы поговорим об этической стороне проблемы, но уверяю, я даже ни разу не использовал отмычки для дверей своего дома, потому что он мне не принадлежит, я его арендую. Я очень строго отношусь к вопросам этики. Я часто езжу на большие расстояния. Если я совершаю 24-х часовую поездку и мне хочется выпить Кока-Колу, а всё закрыто, я бы мог «впустить» себя в магазин, взять бутылочку и оставить деньги на прилавке, но это рецепт действий, который ведёт к катастрофе.
Моей следующей идеей стал взлом замка для велосипедов Cryptonite с помощью обычной шариковой ручки BIC. Замок Cryptonite 4 был создан в 1976 году Майклом и Питером Зейнами для замены традиционных цепных замков для велосипедов. Благодаря своей революционной концепции этот U-образный замок является экспонатом Музея Современного Искусства.
Сейчас я вам продемонстрирую, как я это делаю.
Скайлер раскручивает авторучку, вытаскивает пишущую часть с шариковым стержнем, берёт в одну руку корпус с полой верхней частью и вставляет эту часть ручки в отверстие замка. Он объясняет, что сердечник замка поворачивается в одну сторону, но ручку надо прокручивать туда-сюда, чтобы освободить замок. Затем Скайлер начинает прокручивать её в отверстии в разные стороны, слегка надавливая на замок, и через 10–25 секунд скоба замка отсоединяется.
Почему мне удалось это сделать? «Криптонайт» представляет собой трубчатый замок, который состоит из подпружиненных шпилек в цилиндрическом корпусе. Одна часть корпуса неподвижна, вторая вращается. Прошу извинить меня за эти слайды, так я всё-таки не графический дизайнер.
В конце ключа, который представляет собой полый цилиндр, расположены вырезы, которые соответствуют высоте шпилек внутри замка. Каждая шпилька имеет уникальную высоту, которая, в свою очередь, должна совпасть с глубиной соответствующего выреза ключа. Вставленный ключ поджимает каждую шпильку так, что она освобождает вращающуюся часть корпуса замка и она свободно поворачивается ключом. Когда вы вставляете что-то мягкое в отверстие ключа, шпильки противодействуют его нажиму по разному в зависимости от своей длины. Но так как пластик намного мягче металла ключа, они, в конце концов, устанавливаются все в одно положение и опускаются ниже вращающейся части корпуса, что позволяет её повернуть и открыть замок.
Когда я изучал замки «Криптонайт», то узнал что существует два вида трубчатых замков. Один вид называется ACE II — в нём используются пружины из разного металла, поэтому вы не сможете сжать шпильки одновременно одним инструментом так, чтобы они заняли одинаковое положение по высоте — одни шпильки утопятся вовнутрь, а другие будут торчать. Однако есть инструменты для взлома и таких замков, но они не идеальны.
В конце 80-х годов какой-то человек предложил размещать систему ACE II внутри дешёвых китайских трубчатых замков, что ещё более ухудшило их надёжность. Марк Тобиас, эксперт в области замков, отмечал, что этот же недостаток повторили замки Kingsman. В Смитсоновском институте имеется 17 корпоративных записей, сделанных в период с 1972 по 2001 годы, пока Cryptonite не был приобретён компанией инструментов и оборудования Ingersoll Rand. Я их изучу, и если мне удастся разыскать имя этого человека, я, вероятно, опубликую его в качестве предостережения.
А сейчас перейдём к открыванию наручников с помощью пивной банки. Я немного нервничаю, но на всякий случай взял сюда с собой ключ от наручников на тот случай, если что-то пойдёт плохо с моей банкой пива Coors. Рассмотрим, как работает механизм наручников.
Снизу расположен механизм захвата — запорная планка, которая фиксирует зубцы скобы наручника. Над ней расположена пружина, которая толкает планку вниз, чтобы зубцы вошли в зацепление после того, как наручники защелкнутся. Сверху расположена дублирующая запорная планка. При повороте ключ прижимает запорную планку вверх, зубцы расцепляются, и наручник открывается. Важным является то, что эта синяя штука наверху препятствует отжиманию запорной планки вверх, пока не будет использован ключ.
Меня несколько раз арестовывали, три раза из пяти я был в наручниках.
На следующем слайде показано, как зубцы запорной планки входят в зацепление с зубцами скобы наручника.
Если вам удастся вставить тонкую металлическую пластинку между зубцами обеих частей, она заблокирует зубцы и предотвратит их зацепление.
Сейчас я покажу вам, как это работает. У меня с собой есть выпуклая полоска, вырезанная из стенки пивной банки Coors, которые продаются по $14 за 6 штук. Я отрезаю от неё ножницами полоску небольшой ширины и беру наручники. Как я уже говорил, я придерживаюсь строгих этических правил, но много представляю себе, как бы я поступил в самых разных ситуациях. Так вот, если бы меня заковали в наручники и на земле валялась какая-нибудь жестяная банка, я бы пинал её ногами, рвал зубами, пока не отодрал бы от неё такую тонкую полоску металла, чтобы освободиться от моих похитителей.
Скайлер защелкивает наручники сначала на одной руке, затем на другой, берёт отрезанную полоску металла и начинает просовывать её между зубцами наручников, говоря, что максимальное время, которое понадобилось ему для открывания, составило 10 секунд. Проходит несколько секунд, в наручниках что-то щелкает и Скайлер произносит: «Плохо пошло!». Видимо, пластинка сломалась в замке. После этого Скайлер берёт ключ и по очереди открывает наручники ключом. В зале раздаётся смех.
Ну что же, на этот раз не получилось, но я заверяю, что с банками диетического напитка Sunkist это удаётся, они действуют потрясающе. Вероятно, банка Coors сделана из слишком тонкой жести. Если пружина достаточно сильная, то тонкая жесть при продавливании её между зубцами складывается в гофрированную полоску, что может сделать вам ещё хуже, так как она застрянет в наручниках.
К докладчику подходит доброволец, который хочет попробовать этот эксперимент на себе. Скайлер отдаёт ему наручники, а ключ кидает другому парню из присутствующих в зале.
А сейчас я расскажу вам о технологии взлома кодовых замков. Это замки обычно используются для «дипломатов» и чемоданов. Они содержат внутри себя несколько колёсиков с номерами на наружной стороне обода. Каждое из таких колёсиков (красного цвета) содержит внутри колесико меньшего диаметра (синего цвета) с прямоугольным вырезом под цифрой. Этот вырез взаимодействует с зубцом замка. Обычно в замке расположено 3 зубца, и если все 3 войдут в прорези колёсиков, то они высвободят скобу и замок откроется.
Нужно взять небольшую полоску металла, вынутую из противокражной этикетки, которая обычно приклеивается к коробке с DVD диском. Это небольшой прямоугольный кусочек пластика белого или чёрного цвета, который служит для защиты от краж коробок с видеоиграми, фильмами и так далее.
В этих этикетках содержатся 2 полоски металла, очень тонкие и прекрасно подходящие в качестве клиньев — отмычек. Такую полоску можно использовать для самых разных операций, например для заклинивания частей замка. В случае с кодовыми замками такой тонкий клин вводится в прорезь колёсика и поворачивает его. Сейчас я покажу вам анимацию, где виден весь процесс взлома кодовых, цифровых замков.
Мы вставляем полоску между внешним номерным колёсиком так, чтобы она упёрлась в обод внутреннего колёсика, и начинаем вращать номерное колёсико.
Когда установится соответствующая цифра, полоска опустится в прорезь внутреннего колёсика.
Итак, первая цифра это 5. Продолжаем дальше, переставляем нашу отмычку к следующему колёсику и начинаем вращать его. Следующая верная цифра это тоже 5.
Последняя цифра 1, и в этом положении при комбинации »551» все прорези всех колёсиков находятся в одном положении. Теперь, если вращать все колёсики одновременно, то они также все 3 одновременно войдут в зацепление с зубцами.
Итак, поворачиваем все 3 колёсика вместе, пробуем открыть, опять поворачиваем все три, пробуем открыть и продолжаем так, пока не раздастся щелчок и замок не откроется.
Таким образом, мы взломали замок, правильным кодом которого была комбинация »995».
А сейчас перейдём к шлифовальной машинке. Её можно использовать для вскрытия сейфов. Сейчас я быстро объясню, как работают сейфы.
Основной частью замка сейфа являются диски, или колёсики с прорезями, похожие на колёсики цифрового замка.
Скайлера зовут из зала — парню удалось освободиться от наручников!
— Открыли? Замечательно! — Скайлер аплодирует добровольцу, и его поддерживает весь зал. — Ему удалось сделать это, использовав двойную полоску металла, так как одинарная оказалась слишком тонкой.
Продолжим. Между каждым колёсиком имеется выступ, который мы называем «мушкой». Каждая «мушка» зацепляет следующее колёсико так, что они связываются в одно целое. Когда вы вращаете кодовую ручку замка несколько раз, вы поднимаете каждое колёсико замка с помощью одного колёсика, которое непосредственно связано с ручкой кодового циферблата. Так что как только вы поднимите последнее колёсико, вы отведёте его назад. Затем вы дважды быстро поворачиваете колесо со второй кодовой цифрой и отводите его назад. То же самое нужно проделать с третьим колёсиком, то есть вывести их из зацепления друг с другом.
Важным в таком замке является то, что каждое колёсико может вращаться независимо от другого. Вот как выглядят эти колёсики — красным прямоугольником обозначена запорная планка.
Когда все колёсики расположены в правильном направлении, запорная планка падает в прорезь и сейф открывается — это очень просто.
В обычном, не «суперужасном» сейфе запорная планка закрытого замка расположена в таком положении.
Если приложить к циферблату замка вибрационное воздействие, то под его воздействием колёсики будут стремиться занять такое положение, чтобы тяжёлая часть диска повернулась вниз, а лёгкая, то есть часть с прорезью, оказалась вверху. Таким образом, всё колёсики постепенно займут положение прорезью вверх, после чего туда упадёт запорная планка и сейф откроется.
Для тестирования вибрационного способа взлома я выбрал небольшой огнестойкий «сапфировый» сейф весом 30 кг. Я разобрал его на части, чтобы изучить, как работает замок. На слайде вы видите, что запорная планка расположена не сверху, а немного сбоку. Поэтому я перевернул сейф так, чтобы она оказалась сверху и после того, как колёсики от вибрации встанут прорезями вверх, опустилась в эту общую канавку.
Когда я рассказываю людям о способах взлома с применением традиционных инструментов, я говорю, что часто мы уже знаем достаточно информации о замке, к которому собираемся «приступить». Мы знаем информацию о ключе, глубину вырезов бородки ключа, знаем, что это система с мастер-ключом и так далее, и храним всю эту информацию в памяти. Если мы подходим к замку, то можем сказать: «О, это Schlage Primus, дверной замок с подпружиненными шпильками производства компании «Шлэг»!». Вы знаете, в чём заключается его уязвимость и какой именно инструмент нужно использовать.
Вы можете найти схемы этого замка, использованные патенты, можете даже купить его, чтобы разобраться, как он работает. Можно посмотреть, под каким углом расположена запорная планка, и если это наружный сейф, который ни к чему не прикручен, его можно перевернуть на нужный угол.
Есть интересная история о военном корабле и замках, собственно, две истории. Суть первой в том, что на всех палубах одного корабля сами собой открывались сейфы, возникла даже теория о призраке, который это делает, но причина была в том, что под действием вибрации корабельных двигателей и турбулентности воды замки сейфов самопроизвольно открывались. Не знаю, насколько это правда, потому что выходит, что достаточно хорошо потрясти сейф, чтобы запорная планка упала в прорези и замок открылся.
А вторая история рассказывает о фантастически красивой молодой русской даме, которую пригласили на военный корабль, чтобы она могла совершить небольшой круиз. Она обратилась к молодому флотскому офицеру, мол, здесь так чудесно, но я немного беспокоюсь о своих драгоценностях, они принадлежали ещё мой бабушке, не могу ли я их вам передать, чтобы вы спрятали их в надёжном месте. Офицер взял её ожерелье и спрятал в своём сейфе. Позже она подошла к этому сейфу с листом бумаги, затем вернулась опять, открыла сейф и всё оттуда забрала, потому что на самом деле этот лист бумаги был рентгеновской плёнкой, а её ожерелье было радиоактивным. В общем, так она получила отпечаток замка на плёнке и смогла открыть сейф.
Есть ещё несколько интересных вещей, которые я хочу вам продемонстрировать и показать, как они работают. У меня нет слайдов на эту тему, так что я покажу вам всё «вживую».
Вы видите у меня в руках обычный автомобильный «дворник».
Внутри этого «дворника» находятся две фантастически прочные, упругие и гибкие стальные пластины, которые можно использовать для изготовления отмычек. Если вы достаточно терпеливы, то можете обточить их вручную, если терпения не хватает, вы можете использовать точильный круг за $10 и быстро изготовить свой инструмент для взлома. Прежде чем вы отсюда уйдёте и начнёте мастерить свои отмычки из «дворника», хочу рассказать, как его следует разобрать. Это просто — сначала подцепите резинку на краю дворника за середину и сорвите её вниз по направлению к другому концу, и вы получите две прекрасных полоски пружинистой стали. Если вы попытаетесь вытащить эти пластинки, не снимая с них резины, они превратятся в натянутый лук и могут нанести вам вред, так что будьте осторожны.
Далее я покажу вам мастер-замок 175, это кодовый цифровой замок. Я собираюсь открыть его очень быстро, а потом расскажу, как это сделал.
Скайлер вставляет в замок отмычку, и он открывается буквально через секунду.
Да, именно так, как я показал! Итак, мы опытные взломщики, поэтому можем подойти к процессу взлома самыми различными путями. Когда мы приступаем к «обработке» замка, нужно испробовать все известные нам способы взлома, действуя методом подбора, и какой-то из них сработает.
Внутри этого замка есть пластина, которая взаимодействует с колёсиками замка. Я уже рассказывал, как открывать кодовый замок, взаимодействуя с каждым колёсиком. К этому замку нужен другой подход — мы прижимаем дужку замка вниз, чтобы освободить пластинку от давления пружины и дать ей возможность двигаться свободно. Затем не слишком глубоко вводим полоску от «дворника» в прорезь, надавливаем на пластину, и она освобождает дужку замка.
Использование материалов или инструментов, которые вы сделали сами, доставляет много удовольствия. Идея поговорить на эту тему пришла ко мне после того, как я сломал замок дверцы своей машины и сам себя наказал, потому что потом возился с ним целый день. Не забывайте, что вы можете сломать вещь, поэтому не взламывайте замки, которые могут понадобиться вам или кому-то ещё. Но если вы действительно рассчитываете на себя, пожалуйста, пробуйте, если не боитесь оказаться в моём положении.
И ещё один способ взлома, о котором я чуть не забыл рассказать — это «спайкинг», его идея базируется на свойствах электроники. Она состоит в том, что большинство электронных сейфов используют соленоиды — катушки индуктивности, чтобы двигать засовы или запорные планки, и большинство соленоидов управляется с помощью электронной кнопочной панели.
Так, после ввода правильного кода соленоид отодвигает засов, однако этот способ аутентификации можно легко обойти, просверлив отверстия в «правильном» месте замка и использовав аккумулятор напряжением 9В. Ещё раз повторюсь — перед тем, как приступить к замкам, нужно изучить о них всю информацию и понимать схемы, которые можно загрузить из Интернета. Мы должны иметь перед собой лист, который покажет, что именно здесь нужно просверлить два небольших отверстия, куда можно будет вставить проводки от батареи, чтобы обойти механизм аутентификации и воздействовать на соленоид напрямую. Я пропустил технологию «спайкинга», потому что это не моя область, я больше специалист по механическим способам взлома.
Меня спрашивают, нельзя ли использовать для взлома наручников не стенку пивной банки, а ту маленькую штучку на крышке, с помощью которой открывают банку. Я думаю, она всё-таки шире, чем нужно, но обладает большей прочностью, так что можете попробовать её использовать.
Ещё один вопрос касается того, как долго нужно использовать шлифовальную машинку, чтобы открыть сейф. У меня это получилось очень быстро, потому что там были большие допуски в размерах вырезов под запорную планку, можно сказать, что относительно дорогая цена этого сейфа не соответствовала качеству замка. С другим аналогичным сейфом мне пришлось возиться дольше, но напомню ещё раз — я не работал с сейфами повышенной безопасности.
Не существует универсальных методов взлома. Я смог взломать эти замки из-за их инженерной уязвимости с помощью инструментов из серии «сделай сам». Большая часть моей работы в основном касается истории инженерных разработок замков и как изменения физической безопасности затрагивают целую культуру. Когда был создан «Криптонайт», многие люди пострадали от его несовершенной конструкции. До сих пор, видя замки трубчатой конструкции, они думают, что такте замки легко открыть с помощью обычной ручки. Я хочу знать, почему так произошло, почему человек, который придумал этот замок, принял такое решение, и если я узнаю его имя, обязательно сообщу об этом всем.
Повторю ещё раз — если вы рассчитываете и дальше пользоваться замком, не пытайтесь его взломать с помощью отмычки.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5–2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5–2650v4 128GB DDR4 6×480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5–2650 v4 стоимостью 9000 евро за копейки?