13/05/2019

Dlaczego nie warto kupować „inteligentnych” kłódek

Technologie

Niedawno znalazłem kanał w serwisie YouTube o nazwie LockPickingLawyer. Z udostępnianych na nim filmów można dowiedzieć się wiele przydatnych rzeczy, zwłaszcza jeśli nie ma się doświadczenia w branży zabezpieczeń w postaci zamków. Jednak największe wrażenie zrobiło na mnie to, że „inteligentne” kłódki nie są odporne na ataki… fizyczne.

Uwaga: w niniejszym tekście zrezygnowałem ze znaku cudzysłowu: za każdym razem, gdy użyję słowa inteligentny, mam na myśli — „inteligentny”.

Zacznijmy od inteligentnego zamka firmy eGeeTouch służącego do zabezpieczania bagażu, który ma się otwierać za pomocą aplikacji na smartfona lub przy użyciu technologii bliskiego zasięgu (ang. Near-Field Communication, NFC) w postaci znacznika. Co ciekawe, klucz główny TSA można sobie wydrukować na drukarce 3D i otworzyć nim każdy podobny zamek, przez co wszystkie podobne zabezpieczenia bagażowe stają się bezużyteczne. Niestety ta niewielkich rozmiarów kłódka jest jeszcze gorsza: jest tak fatalnie skonstruowana, że z łatwością można ją rozczłonkować i otworzyć przy użyciu scyzoryka — a pewnie nawet i plastikowej karty.

To samo dotyczy kłódki Pavlit otwieranej za pomocą odcisku palca. Wystarczy usunąć plastikowy panel przedni przy użyciu śrubokręta lub kieszonkowego noża, aby naszym oczom ukazał się element zwalniający. Nawiasem mówiąc, kłódka ta ma jeszcze inną ogromną wadę — jest podatna na otwieranie z użyciem specjalnych podkładek.

Inny przykład: inteligentna kłódka TurboLock TL-400KBL dla rowerów. Z założenia można ją otwierać przy użyciu aplikacji dla smartfona, z którym łączy się poprzez Bluetooth, lub wprowadzając kod PIN na klawiaturze. Nawet jeśli nie jesteś ekspertem ds. bezpieczeństwa, z łatwością znajdziesz jej słaby punkt: jest wykonana z plastiku, więc raczej nietrudno ją załamać, a nawet stopić. Jednak tak destrukcyjne działania nie są w tym przypadku konieczne, ponieważ kłódkę można spokojnie rozmontować przy użyciu śrubokręta. To proste jak niszczenie plastikowej zabawki.

Teraz weźmy pod lupę kłódkę Uervoton otwierają przy użyciu odcisku palca. Ma ona metalowy korpus, który wygląda dosyć solidnie. Wydaje się, że nie można jej otworzyć przy użyciu scyzoryka lub śrubokrętu, jednak ostatecznie okazuje się, że i ona ma fatalną konstrukcję: kilka śrub znajdujących się na wierzchu znacznie ułatwia zadanie. W efekcie kłódka dosłownie się rozpada.

Na koniec sprawdzimy BoxLock — prawdopodobnie najlepszy przykład inteligentnego zamka. Kłódka ta reaguje na kody kreskowe. Można ją zaprogramować tak, aby otwierała się na widok kodu nadrukowanego na dostarczonej paczce. Na pierwszy rzut oka kłódka ta wygląda dość solidnie, jednak rzeczywistość zaskakuje i tym razem: można ją rozmontować przy użyciu śrubokrętu nawet wtedy, gdy jest zamknięta.

Na kanale LockPickingLawyer znajduje się wiele innych recenzji inteligentnych zamków. Niemal wszystkie mają ten sam problem: są one urządzeniami elektronicznymi przeznaczonymi dla konsumentów indywidualnych, a ze względu na swoją konstrukcję są podatne na najprostsze ataki fizyczne.

Konwencjonalne zamki mają całkowicie inną konstrukcję. Po pierwsze, ich korpusy zawsze są wykonane z metalu. Po drugie, śruby są zwykle ukryte, a dostęp do nich można uzyskać tylko wtedy, gdy kłódka jest odblokowana. Po trzecie, w celu zapewnienia odporności na atak z użyciem specjalnych podkładek, w dobrej jakości kłódkach mechanizmy odblokowujące zawierają łożyska kulkowe. Oczywiście takich cech porządnego zamka jest o wiele więcej, jednak te są stosowane nawet w niedrogich kłódkach. Dobrym przykładem jest tu kłódka marki Yale:

Niestety producenci inteligentnych zamków wydają się być nieświadomi tych cech konstrukcyjnych i narażają klientów swoich produktów na najłatwiejsze ataki. Zanim więc kupisz inteligentną kłódkę, dokładnie ją przeanalizuj: bardzo prawdopodobne jest, że cena, którą w efekcie zapłacisz, będzie znacznie wyższa, a zapewniany przez nią poziom bezpieczeństwa — tylko pozorny.