هک قفل های الکترونیکی/هوشمند تنها در چند ثانیه

۱۳۹۶/۵/۱۷امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) اگر اهل فیلم دیدن خصوصا از نوع دزد و پلیسی باشید مطمئنا تا به حال فیلمی با موضوع اینکه شخصیت منفی درون فیلم قصد باز کردن درب های الکترونیکی را دارد، دیده اید. در اکثر چنین داستان هایی وظیفه ی باز کردن درب ها به عهده ی یک هکر حرفه ای است که ماهرانه می تواند درب را در عرض چند ثانیه باز کند و به اتاق مورد نظر وارد شوند. مقاله ی امروز ما هم مشابه چنین فیلم هایی است با این تفاوت که این اتفاق می تواند در واقعیت رخ دهد.

در کنفرانس 2017  Black Hat، Colin O’Flynn شخصی که گزارشی کامل در مورد شکستن قفل ها ارائه کرد، از نا امن بودن و ثانیه ای باز شدن درب هایی که قفل های الکترونیک دارند صحبت کرد.

اما تا چه اندازه این صحبت با واقعیت سازگار است؟ مسلما صحبت ما در این باره کلیت را شامل نمی شود و در همه موارد این نا امنی صدق نمی کند. اما به هر حال اخیرا قفل های الکترونیکی برای منازل شخصی وارد بازار شده اند که انطور که باید وشاید امن نیستند.

O’Flynn در این کنفرانس دو نمونه از قفل های الکترونیکی خانه ها را مورد آنالیز قرار داد. وی اولین مدل آسیب پذیر را به یک حمله ی نهان خبیثانه نسبت داد. این بدان معنی است که یک مجرم برای به دست آوردن دسترسی فیزیکی به قطعات داخلی قفل نیاز دارد. هنگامی که هکر بتواند به برنامه ی آن وارد شود، قادر خواهد بود کدهای خود را وارد و سیستم آن را مختل کند. از این رو درب به آسانی باز خواهد شد.

برای انجام این کار به دانش و مهارت خاصی نیاز نیست. دستورالعمل های گام به گام در مورد نحوه ی اضافه کردن کد در داخل محفظه ی باتری قرار گرفته است. هیچ احتیاجی به وارد کردن کد در هر مرحله نیست.

اما مدل دیگری که O’Flynn آن را مورد بررسی قرار داد، این نقوص را نداشت. ولی با این حال باز هم این قفل به یک شی که می تواند مورد حمله قرار گیرد تبدیل شده است. بخش بیرونی قفل حاوی ماژولی است که صفحه ی لمسی را برای ورود پین کد نمایان می کند. اینطور که به نظر می رسد میتوان به راحتی این ماژول را به اختیار گرفت (O’Flynn این کار را توسط یک چاقو و به راحتی انجام داد).

پس از مطالعه چگونگی تعامل بخش خارجی و داخلی قفل، O’Flynn قادر به ایجاد دستگاهی بود که دقیقا شبیه همان هایی بود که هکرها در فیلم ها درست می کنند. واضح است که این دستگاه شامل یک صفحه ی نمایش است. این دستگاه به گونه ای بود که خودش برای عملیات کدگذاری باید به اتصال کننده ی مزبور متصل می شد (مشخص نیست که بخش الکترونیک قفل به چه چیزی متصل شده است).

البته سازندگان این قفل ها هنگام ساخت حملات خشونت آمیز را هم پیش بینی کرده اند و پس از سه بار تلاش نادرست، هشدار قفل به صورت فعال درخواهد آمد. با این حال  O’Flynn  متوجه شد که به کار بردن یک ولتاژ معین برای اتصال دهنده های خارجی اتصال کوتاه الکترونیکی مدار داخلی به راه اندازی مجدد سیستم و ریست کردن تلاش های ناموفق منجر می شود.

در دستگاهی O’Flynn  ایجاد کرده است، حدود 120 کد در هر دقیقه بررسی می شود. طبق گفته ی O’Flynn پیاده سازی تمام ترکیبات پین کد 4 رقمی حدود 85 دقیقه زمان خواهد برد. در اغلب موارد این بدان معنا است که حداقل نیم ساعت زمان برای باز کردن این قفل نیاز است.

علاوه بر این O’Flynn راهی را برای باز کردن کد مستر قفل پیدا کرد. مستر کدها به نسبت کدهای معمولی طولانی تر و به مراتب قوی تر و البته 6 رقمی هستند. با این وجود یک مشکل در سیستم قفل الکترونیکی می تواند این فرآیند را کوتاه تر کند: زمانی که شما چهار رقم از 6 رقم مستر کد را وارد می کنید، سیستم پیام خطا را وارد می کند یا که منتظر می ماند دو شماره ی دیگر را وارد کنید و سپس آن را تایید می کند.

این متد هم به همان 85 دقیقه زمان برای پیدا کردن دو رقم اخر مستر کد نیاز دارد. پس از آن می توانید کد دسترسی خود را بازیابی یا همان ریست کنید. همچنین می توانید از این طریق کدهای موجود را حذف و کد دلخواه خود را بر روی دربی که به شخص دیگر متعلق است بگذارید. بله این ترفند ساده ی هکرها است.

O’Flynn در گذشته با سازنده ی قفل های الکترونیکی تماس گرفته بود و آسیب پذیری ها و برخی از مشکلات امنیتی در این قفل ها در اسرع وقت ثابت خواهد شد.

در هر صورت شاید پیغام این کنفرانس مبتنی بر قفل های هوشمند کاملا واضح باشد: قفل های الکتریکی برای کاربران خانگی در امنیت بسیار پایینی قرار دارند. شایان ذکر است که بی تردید قفل های مکانیکی هم دارای نقوص فراوان هستند که نمی توان آن را نادیده گرفت. با این حال باید مطالعات بسیاری در این مورد انجام داد و کارشناسان امنیت هریک را به طور کامل برای کاربران و مشتاقان دستگاه های هوشمند شرح دهند.

منبع:  کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.