WASHINGTON - Sveper eller knackar du på ett passerkort för att komma in på din arbetsplats? Om så är fallet kan det vara lättare än vad du tror att bryta in, berättade säkerhetsforskaren Kenny McElroy på ShmooCon-hackarkonferensen här i går (jan. 13).

Upphovsman: Andrey_Popov / Shutterstock
(Bildkredit: Andrey_Popov / Shutterstock)

Magnetiska dörrsensorer och svaga magnetiska dörrlås kan besegras av kylmagneter, sa McElroy. Grilltändare eller till och med elektriska strumpor kan öppna infraröda utgångsbrytare från insidan och trådhängare kan öppna kapacitiva beröringsutgångar som känner av människokroppens elektriska ström. (I båda fallen måste angriparen sticka enheten genom sprickan mellan dörren och ramen.)

Även radiofrekvens-ID (RFID) åtkomstkort som tappas på en väggsensor kan besegras om du skruvar loss sensorns väggplatta och klämmer fast på en spänningssensor. Två kanadensiska forskare visade hur man gör detta vid Black Hat säkerhetskonferens 2015, överföra fångade spänningsavläsningar via Bluetooth till en närliggande smartphone. Igår visade McElroy hur man kan få större räckvidd (och större chanser att inte fastna) genom att sända dessa ID-kortavläsningar via Wi-Fi istället.

MER: Bästa smarta lås

McElroy kallar sin enhet en ESPKey, och det är en liten enhet som kostar cirka 100 dollar att göra och har ett halvt dussin trådklämmor, en Wi-Fi-sändare och 4 MB minne. I en demonstration på plats visade McElroy att det tar två eller tre minuter att bryta sig in i en RFID-kortläsarväggsplatta, fästa ESPKey och installera om väggplattan. (RFID-kortläsaren som McElroy använde för sin demonstration hade en enda skruv på väggplattan.)

ESPKeys klämmor bryter inte ledningarna, men de mäter spänningsnivåerna på varje tråd. Varje gång en anställd trycker på sitt kort registrerar ESPKey den stigande och fallande spänningen som indikerar överföringen av binära kodkoder och nollor med kortläsaren. En hacker som är ansluten via Wi-Fi till ESPKey behöver bara spela upp samma sekvens av spänningspulser från en bärbar dator för att öppna dörren, som McElroy visade på scenen.

Ännu bättre för angriparen, ESPKeys 4 MB minne kan fånga ID-koder för alla på arbetsplatsen. Vissa anställda kan ha privilegierad tillgång till begränsade områden som serverrum, och det är de kortkoder som skulle vara mest värdefulla.

Biometriska åtkomstanordningar som fingeravtryck eller irisskannrar skulle inte kunna förhindra sådana attacker, sa McElroy, eftersom ESPKey fortfarande skulle kunna fånga sina interna signaler. De enda lösningarna skulle vara att göra åtkomstenheterna mycket svåra att bryta sig in fysiskt eller att kryptera signalerna i enheterna.

McEroyys enhet är inte avsedd för brottslingar, utan snarare för penetrationstestare, som är säkerhetskonsulter som betalas för att bryta sig in på arbetsplatser, både fysiskt och digitalt, för att testa deras försvar. Men det faktum att en enkel bit elektronisk utrustning kan besegra ett sofistikerat fysiskt åtkomstsystem borde få oss alla att undra hur säkra kontorsdörrlås verkligen är.

  • Hur smarta enheter släpper in cyberbrottslingar i ditt hem
  • 75 procent av Bluetooth-smartlås kan hackas
  • Hur man skapar och kommer ihåg supersäkra lösenord

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.