logo
繁体
繁体

你家的门安全吗?正义黑客撬锁视频走红网络,制锁公司明知有缺陷却知情不报

独立记者Adam Bluestein在彭博商业周刊发表文章,介绍了一位自称为道德黑客的开锁爱好者,他偶然发现了一把高级密码锁中的弱点,并联系了制造商解决这一问题。但他没想到尽管公司知道了问题并也与他合作开发了解决方法,却迟迟不对消费者公布这一问题,迫使他在网络上公布了这一弱点。这件事凸显了道德黑客和安全公司之间微妙的关系。

Photo by James Sutton on Unsplash 

2020年6月的一个清晨,多米尼克·维伦纽夫(Dominic Villeneuve)醒来,来到他地下室的工作室,拿起了一个新玩具。一个朋友给了在魁北克省德拉蒙德维尔市一家中型保险公司担任网络安全和基础设施主管的维伦纽夫一把锁,这把锁来自他正在装修的一栋大楼的门。这是一把好锁:西勒奇CO-100商业级键盘操作的锁舌锁,售价约为400美元,安全等级为1级,是美国国家标准协会和建筑商硬件制造商协会共同授予的最高等级。

大多数家庭的锁是3级,可能是2级。1级锁经过测试,可以承受100万次的开闭循环,8次80焦耳的打击(与手锤相当),以及5分钟的螺栓锯研磨。CO-100的所有电气和机械部件也都通过了美国保险商实验室(独立的产品安全认证机构)的认证,以保证其耐磨损、耐气候侵蚀也耐滥用。但维伦纽瓦知道,他可以在没有键盘密码的情况下解锁它。他知道他可以破解它。

在他的日常工作中,维伦纽夫分析并阻止对它公司网络的恶意软件攻击。像他这样的小型金融服务公司和保险企业是黑客的首选目标,因为它们的个人和财务数据往往存储在不太安全的网络中。他最喜欢的工作是扮演“红队”用比一般黑客更高明的技巧和小工具攻击他雇主的网络,以发现漏洞。(“渗透测试”是这种做法的技术术语。)

这也包括寻找秘密进入办公室或电脑的方法,例如,放置一支带有摄像头的间谍笔或USB键盘记录器来窃取登录密码。维伦纽瓦说:“我看到的任何的安全设施,都能试图破解或找到一个意想不到的方法来打开它。这已经刻在我的基因里了。”

多米尼克·维伦纽夫。来源:视频截图

维伦纽瓦的父亲在他5岁的时候就教他如何组装和拆卸化油器,很快,他就把家里的东西都拆了。他在十几岁时就开始撬锁,在旧挂锁和他家的门上练习,使用回形针和锉掉的内六角扳手。在某个时候,他获得了一本复印的书,据说是被解密的中央情报局开锁手册。

如今,他是一个由软件开发者、工匠、生存主义者(注:喜欢为各种困境做好准备的人,包括自然灾害和荒野求生等)、锁匠、律师等其他专业人士组成的亚文化的一部分,他们都喜欢同样的三维拼图。他也是他所在城镇的一个改革浸信会的共同创始人和共同牧师。

成员们聚集在一起参加聚会并参加“运动式开锁”比赛,展示无法被察觉的,用开锁界的说法是“非破坏性的”开锁方法,他们不会使用钥匙或密码。律师、安全顾问和著名的开锁者马克·韦伯·托比亚斯说:“这比国际象棋还要好。它要利用触觉和智力,而且有些锁你压根就打不开。”

在这场疫情中,人们对娱乐性开锁的兴趣激增。还有什么能比花几个小时研究在线教程更适合消磨被困在家里的日子呢?对于好奇的人来说,YouTube和亚马逊中的无尽角落提供了获取信息和工具的途径,而在这之前,这些信息和工具一般只有锁匠行会、小猫贼和保险箱破解者才能获得。

电子商务网站Sparrows Lock Picks的负责人迈克尔(他在职业中不用姓氏)说:“在旧的保险箱操作手册中,结尾处总是有一个说明,‘现在你已经读完了这本书,请确保你把它毁掉’,但现在所有的东西都会在YouTube上发布。”

这有助于爱好者们以令人眼花缭乱的速度掌握破解锁头的艺术,随着锁被打开,以及胜利的视频在网上传播,这加速了开锁者和制造者之间古老的猫捉老鼠游戏。拥有约16.9万名成员的r/lockpicking 的reddit分坛对数百种锁进行了段位排名;那些破解了最难的锁的人是黑带。

开锁者们正在大规模地扮演反派的角色,帮助暴露出人们信任的安保产品的弱点。被市场研究公司Verified Market Research称为全球物理安全行业中的制造商们(这是一个至少价值1250亿美元的市场),现在被迫要达到他们自己定下的标准。因此这两大阵营之间的关系并不融洽。

Photo by Basil James on Unsplash 

这个群体中最有名的网名是LockPickingLawyer。2020年春天,他的YouTube频道有大约20万订阅者,今天他的订阅者已经超过了360万。这位居住在华盛顿特区的退休律师要求不使用他的真实姓名,他制作了近1400个演示视频,其中许多有几十万的浏览量,在这些演示中,他剖析了从廉价挂锁到高安全性锁舌锁的所有东西,探索它们内部的工作原理。

其中的一种视频中,观众可以看到他在大约五秒钟内用“低技能”的攻击方式破解无处不在的西勒奇门把手上的锁,用叉子或勺子打开一个用射频识别(RFID)打开的枪支保险箱,用一把瑞士军刀和一个回形针破解了一个据称是防撬的中国键盘锁。

LockPickingLawyer的朋友和邻居Bosnianbill于9月退出了视频制作,他自2007年以来发布了1900多个视频演示,拥有56万多YouTube订阅用户。The Lock Noob是来自英国的后起之秀,他的频道也有超过8万名订阅者,主要关注初级和中级的开锁方法。他近20分钟的题为《学习开锁:你需要知道的一切!》(Learn Lock Picking: EVERYTHING You Need to Know!)的视频有100多万次观看。

LockPickingLawyer对揭露制锁商出售的安全假象毫无顾忌。他说:“我理解那些认为保密性在安全界是可取的人。但是,锁匠和安全专业人员几百年来的保密工作,正是我们目前的安全状况如此糟糕的原因。市场上只有少数几种消费者级别的锁,可以适当的抵抗非破坏性的破解方法。对消费者进行教育肯定能改善这种状况。”

这并不是一个新的想法。1868年,康涅狄格州的锁匠和发明家A.C.霍布斯在《锁和保险箱的构造》(Construction of Locks and Safes)中写道,如果一把锁“并不像迄今为止被认为的那样牢不可破,了解这一事实符合诚实的人们的利益,因为不诚实的人肯定会实际地应用这一知识;为了让那些可能因无知而遭受损失的人公平竞争,传播这一知识是必要的。” 问题是:你如何在传播知识的同时不给不诚实的人以权力?

道德披露的规则很复杂。在一个细节被刻意模糊了的例子中,LockPickingLawyer描述了自己在执法部门广泛使用的一把锁上发现了一个“需要零技能的漏洞,任何人只要有一点知识就可以执行”。他说他给制造这把锁的公司发了电子邮件,但公司没有理会他。

他再次发邮件,给了公司一年的时间来修补这个问题,然后他就公开了这个秘密。他说:“我只是等完了一年的时间,然后把它公之于众。”他向锁匠团体透露了他发现的情况。“我不想制造任何危险或漏洞,让人们能在现场使用。然而,如果一家公司不愿意改进他们的产品,我只能做这么多。”

在美国大部分地区,拥有开锁工具是合法的,只要它们不被用于犯罪。例如,在covertinstruments.com上,LockPickingLawyer出售一套名为Covert Companion的20合1套装,售价90美元。执法部门倾向于采用“菜刀理论”,迈克尔说,“刀没问题,直到你把它指向某人并开始大喊大叫。” 

尽管如此,运动型开锁者和安全专家指出,很少有罪犯会费心去撬锁。根据2019年联邦调查局统一犯罪报告的统计数据,约38%的入室盗窃案涉及非强制的“非法进入”,其中只有约4%的事件涉及撬锁。大多数入室盗窃案都是马虎的,利用螺丝刀、撬棍和锤子强行行事。在商业盗窃案中,最新的趋势是利用一辆被盗车辆撞穿墙壁。

这并不是说锁具并不重要。当撬锁技术被用于犯罪时,它往往是针对高价值的目标。例如,水门事件的关键在于特工成功地撬开了一把保护楼梯间的4磅重的铜锁。如果有什么有价值的东西需要保护,那么一把制作精良的锁就成了赌注。

一般来说,锁的质量随着价格的上升而上升,即使有网上的视频,或在每年的黑客大会(如Def Con)上有人透露了破解的方法,快速和简单地解开一级锁的方法仍然很少。尽管并非不可能。

在维伦纽夫井然有序的地下室里,在他用来制造开锁工具的部件和原型的3D打印设备的包围下,维伦纽夫研究了CO-100。他希望把它加入被自己所破解的,已经被装满的锁箱中。

2011年推出的CO-100是一款看起来很普通的办公室硬件,它是一个简单的长方形钢盒,有一个杠杆把手和一个12个按钮的键盘。它没有被连接到互联网,所以它不能像智能锁那样被远程重置。它必须由有实体访问权的人用三到六位数的密码进行编码。CO-100上通常还配有一把传统的钥匙锁,如果主人需要更改密码的话。

拥有西勒奇公司的安朗杰公司在营销材料中称这种锁耐用、实惠,而且 “用途广泛,可以在任何地方使用”。而CO-100和类似的CO-200型号被广泛用于办公室、商业设施、学校和多单元住宅。安朗杰没有按产品细分销售信息,但这些型号已经畅销多年。

维伦纽瓦本来可以直接去通过钥匙孔撬锁。但是,找到一种直接操纵内部机制的方法更有趣,也更不乏味。维伦纽夫卸下了CO-100的盖子,他找到了键盘下面的一个杠杆,拉动这个杠杆后,就可以滑开锁舌。换上盖子后,他考虑如何可以从外面拉动杠杆。

他试着用一块磁铁,看它是否能移动关键的弹簧,但他手上的磁铁不够强。然后他寻找可能让他在内部滑动工具的开口。他可以用一根细线穿过键盘的边缘,但无法用它拉动杠杆。而且,他不喜欢这种会留下微小痕迹的方法,这并不是一种真正的无损破解方法。

接下来,他在锁壳的底部发现了一个小的排水孔,这能让锁中的水分排出。当锁被固定在门上时,这个孔几乎不会被注意到。维伦纽瓦开始探测它,先是用薄薄的金属条,然后用各种尺寸的塑料扎带,直到他找到了合适的位置。然后,他在扎带的一端剪了一个缺口,以钩住杠杆。

来源:开锁视频截图

大约在早上6点,也就是他开始研究锁的两个小时后,他把他自制的工具推进了排水孔中,抓住杠杆,轻轻一拽,锁就弹开了。当他重新插入扎带并再次拉动时,锁又被锁住了。它再一次成功了,接着一次又一次。维伦纽瓦精力充沛,在家里的健身房里锻炼完身体后,洗了澡。在早餐时,当他向妻子介绍他的又一次成功破解时,他几乎无法抑制自己的热情。他说她没有什么反应。她回答说:“挺好啊,听起来很容易。”

当天在他的办公室里,维伦纽夫走过一条走廊,经过了十几扇门上的CO-100。他在一扇门前停下,掏出扎带,在大约五秒钟内解开了门锁。在受控条件下执行破解是一回事,在现场执行是另一回事。而用一种基本不花钱的工具来做又是另一回事,而且这工具随处可见,因为扎带是用来捆绑电脑线的。

维伦纽瓦说:“在我的生活中,我已经发现过很多漏洞。但这个漏洞是如此简单,又如此危险,以至于它与其他漏洞不同。即使警报响起,警察也不会发现违规的痕迹。”

在互联网和暗网上的搜索让他相信自己找到了新发现,作为一个自称“道德”的开锁者,他向西勒奇公司伸出了橄榄枝。1920年,德国移民沃特·西勒奇在旧金山成立了公司,这家公司拥有一些重要的早期专利;五年后,它每月生产2万把锁。当英格索兰公司在1974年收购这家公司时,它是旧金山最大的制造商。

2013年,西勒奇和英格索兰公司的其他安全技术业务被安朗杰收购。这家公司总部设在都柏林,拥有30个全球安全品牌。它在2020年取得了27亿美元的收入,股价已从2019年初的约80美元攀升至今天的约125美元。

在北美,安朗杰是控制人们进出建筑物的产品的头号制造商,包括锁和锁具、门和门框、铰链式闭门器、推杆、电子门禁系统等等。与软件制造商不同的是,黑客很容易向公司报告漏洞,而大多数锁具制造商并没有提供正式的渠道来接收关于漏洞的提示。维伦纽瓦说,他花了几天时间找人记下了他发现的细节。

2020年6月27日,他向安朗杰的公共关系主管发送了一封主题为 “CO-100(也许是CO-200)的重大漏洞”的电子邮件。他还附上了两段视频,演示了他的破解方法。维伦纽夫写道:“我想说做个诚实的人,给你一个机会,在有人发现它并在互联网上公开之前,向你的客户提供一个修复方案,”他的第一语言是法语。

在他发送电子邮件的两天后,他与安朗杰的全球网络安全总监弗兰克·卡斯帕取得了联系。在电子邮件、电话和视频聊天中,维伦纽夫解释了破解的情况。他教安朗杰的工程师如何复制破解法,并一起商量修复方案。7月10日,卡斯帕写道,工程师们正在研究一种卡入式部件,以堵塞排水孔,而且不需要从门上拆下锁。8月底,他给维伦纽夫发送了一个原型。三天后,维伦纽夫回信说,他用了一个手工制作的工具在大约10秒钟内取出了这个零件。

12月初,卡斯帕给维伦纽夫了发一个好消息。他的工程团队已经重新设计了CO-100相关产品,以解决排水孔的问题。但卡斯帕写道,由于供应链问题,交货被推迟了,“零件正在从我们在中国的供应商运往我们在墨西哥的制造厂。”

2021年2月25日,卡斯帕向维伦纽夫递送了重新设计的锁和另一个版本的卡入式改造部件。维伦纽夫对这两样东西都很满意。尽管他仍然设法撬开了带钥匙的部件,但也有点难度,他在信中说,“我无法想象在现场破解它”。他说,新的改装后的插头是“一个非常好的修复”,他无法以非破坏性的方式破解。维伦纽夫说,“弗兰克是一个好人。”

他们的互动反映了这个行业不断发展的模式,这个行业正逐步走向软件制造商与所谓的白帽黑客之间的缓解关系。在那个系统中,金钱上的“漏洞赏金”鼓励黑客报告薄弱的代码;优秀的漏洞捕捉者能将他们的技能转化为咨询工作。

律师兼安全专家托比亚斯说:“15年前,我们是业内最令人讨厌的人,”他有一连串的传奇性的破解案例。“现在他们意识到我们是他们最好的资产。撬锁者看问题的方式与锁业公司的工程师不同。他们关心的是如何能让东西运作。我们关注的是如何能破坏它们。”

十年来,在拉斯维加斯的年度黑客大会Def Con上,托比亚斯在一连串尴尬的演示中赢过了大型制锁公司。2007年,他用一把 “撞匙”,即一种定制的空白钥匙和一枚回形针破解了美迪高的高安全性M3。2013年,他又用一把螺丝刀和一根电线破解了凯特安公司最畅销的SmartKey。

最终,制造商们哭笑不得。托比亚斯开始为大多数制造商提供咨询,包括瑞典企业集团亚萨合莱(拥有美迪高、箭牌、模帝乐和耶鲁公司)和安朗杰(还拥有门和门框制造商Steelcraft和生产自行车锁的可利泰)。

在10月份发给本杂志的一封电子邮件中,安朗杰说它通过多种方式评估它们产品的安全性,包括“广泛的第三方评估”和“潜在漏洞的外部报告”。但是,托比亚斯说,“如果有人因为你知道的问题而被强奸、抢劫或杀害,你就会被起诉。” 只要有一个人在YouTube上曝光已知的漏洞就够了。

3月,卡斯帕和维伦纽夫讨论了一项咨询安排。维伦纽夫将测试新的安朗杰锁,并秘密报告其漏洞。他不想要钱作为回报;他只想试一试世界顶级制锁商之一能给他带来的最难的难题。但在7月中旬,卡斯帕写道,经理们已经否决了这个想法。不过,他说他愿意在将来偶尔给维伦纽夫送去一些产品,让他“黑”一下。

自他报告CO-100的问题以来,现在已经过去一年多了。重新设计的锁和改装部件从2月份开始就已经准备好了。维伦纽夫想知道,对公众的通知在哪里?客户什么时候才会知道这个问题?

Photo by: Todd Huffman from Phoenix, AZ, CC BY 2.0 via Wikimedia Commons

他向卡斯帕表达了他的挫折感,尽管他说他“从未下过最后通牒。我只是想让他们做正确的事情”。2021年7月16日,卡斯帕写道,他已经与高层管理人员谈过,“你引起了他们的注意”。他安排了与维伦纽夫和一位安朗杰的律师进行Zoom会议,重新讨论咨询的计划,维伦纽夫认为,这可能是一种争取时间的尝试。

律师向他保证,“正在采取行动,并通知客户进行修复”,根据电话的录像。第二天,维伦纽夫写信给卡斯帕,以他人在加拿大为一家美国公司工作的复杂性为由,拒绝了这项工作。(西勒奇现在的总部在印第安纳州的卡梅尔)但他说,他“很高兴听到你说你已经准备好提供修复方案”。

8月,由于没有收到来自安朗杰的关于通知公众的消息,维伦纽夫考虑自己宣布这个漏洞。但他结果决定不这么做,因为他想让客户先获得改正的机会。托比亚斯说,他见过有人要求开锁公司支付高达5万美元的赎金,以掩盖漏洞的存在。但对于有道德的开锁人来说,这关乎于认可。

维伦纽夫说:“如果你站在一个大公司的对立面,逼它修复一些东西,这就标志着你是一个有道德的开锁者。”当你在安全会议上发表演讲时,人们会在谷歌上搜索你,他们会看到你所做的事情,这给了你很大的可信度。” 但是,成为第一人很重要。维伦纽夫发现的破解法是如此明显,另一个人也应该会很快发现它,并发布一个视频来标明它发现的时间。

在10月发给本杂志的电子邮件中,安朗杰的一位发言人证实了这一问题,但对它轻描淡写。“重要的是,这个机械漏洞不是由于正常操作或日常使用锁而造成的,而是当一个装置被故意以不寻常的方式操纵时发生的”。这位发言人补充说,“复制这个漏洞需要一个定制的工具和一个了解锁的机械原理的人,所以它并不容易被掌握。”

维伦纽夫说这很可笑:“我很自豪,我已经掌握了操纵扎带的方法。他们的一群工程师都无法找到我是如何做到这一点的,这并不意味着这种破解法很难做到,只是因为他们没有黑客的思维方式。”

这位发言人写道,安朗杰在7月通过电子邮件发送了一份题为“西勒奇 CO系列机械安全增强”的公告。这个公告发给了在2021年2月之前购买的“有潜在漏洞的设备的客户和分销商”,其中包括CO-100、CO-200、CO-220和CO-250。这个警告敦促所有装置了这些锁的人尽快安装改造部件,公司将免费送出这个部件,但只能根据要求进行。

目前还不清楚都有谁看到了这项公告。今年秋天,我们联系了美国各地销售西勒奇产品的8家锁匠和经销商,他们都表示没有意识到问题的存在。俄亥俄州Miamisburg的GoKeyless公司的多户家庭和酒店业销售总监帕特里克·达夫写道:“事实上,在过去的几个月里,我们已经看到了CO-100锁的销售量在增加。”这家公司一年安装1.5万把锁。

维伦纽夫说,安朗杰公司没有人向他提及这份公告,他所在的保险公司也没有收到通知。网上也没有这份公告的痕迹。安朗杰通过电子邮件将公告发给了本杂志;在查看后,维伦纽夫注意到其中的一张照片是他发给公司的视频的截图。

发言人拒绝透露有多少人收到了这份公告,或者有多少改装部件已经发货,他说 “这可能对我们客户的安全产生负面影响”。公司对公告进行了辩护,称这项公告是发布在一个封闭的客户门户网站上,维伦纽夫说他无法进入这个网站,安朗杰也不愿提供链接。

发言人补充说:“这些客户最终可以帮助补救商业市场产品的问题。这个网站的目的不是为了普通大众而设,甚至与他们并无关系。”12月,另一位发言人说:“我们已经收到了许多关于公告中提供的简单、不收费的解决方案的请求;所以我们相信……客户和经销商已经收到了这些信息。”

维伦纽夫态度强硬:传播这个消息的责任在公司,而不是客户。他问道:“我理解他们没有办法亲自接触到他们的数百万客户,但他们为什么不能向每个分销商发送一堆修复工具,并在两周后发布公告?”当出现电池无故起火的召回事件时,他们会做一些公告,并在当地修理店提供免费的替换电池。在这种情况下,他们有一个便宜的修复方法,解决一种容易做到的破解法,但没有人知道。”

不管安朗杰公告的发布范围有多大,主题行标明的是一个“改进”,而不是一个重大的安全问题,这有可能造成混乱。GoKeyless的达夫说,“至少,它会让我问自己,‘他们为什么要这样做?’更重要的是,‘如果我不这样做会怎样?’”

维伦纽夫说,如果没有广泛的公共警报或召回,消费者就无法知道他们买的是改进后的锁还是旧的,因为标签上没有任何说明。

从历史上看,锁具制造商只有在被起诉或有人出面揭露问题后才会发出公开警告。2004年,英格索兰公司召回了容易被塑料比克笔的圆头撬开的可利泰自行车锁,估计花费了1000万美元的更换费用。2011年,凯拔(现名多玛凯拔)因它按钮式的Simplex锁的漏洞而被起诉,这家公司知道这种锁可以用稀土磁铁入侵;这把锁被重新设计,并免费提供改装。这两家公司都是在人们曝光了安全业内人士已经熟知的问题之后才采取行动的。

在这一点上,如果有任何损失,也很难说。这就是非破坏性破解的性质。谁知道维伦纽夫是否是第一个发现扎带技巧的人?其他人可能已经使用这个或类似的方法,多年来秘密进入办公室和房产。他设计了一个不锈钢版本的排水孔塞,在Sparrows Lock Picks网站上以几美元的价格出售,但这并不能代替公司采取行动的影响。

最后,在12月10日,维伦纽夫决定是时候公布了。安朗杰公司的改装部件可以使用,他的改装部件也是如此。他在自己名为DHack Security的 YouTube频道上发布了一段近5分钟长的视频,记录了自己的发现,5天内有3100次观看。Lock Noob发布了自己对这个视频的反应,这个视频在这段时间内又获得了近4000次观看。Lock Noob在他的视频中说:“这不是我自己能想出来的事情。”

来源:视频截图

安朗杰说,市场上受影响的锁的数量比维伦纽夫在视频中所说的“数百万”个单位要低得多。公司在12月20日的电子邮件中作出了正式回应:“安朗杰赞赏外部研究人员的有益作用,认为他们是一个分布式系统的一部分,这个系统不断监测威胁,帮助公司改进产品和工作,使最终用户和公共安全受益。我们发现了一个潜在的漏洞,解决了这个问题,并与渠道合作伙伴和分销商进行了沟通。我们觉得最好的途径是让制造商告知客户,而不是哗众取宠”。

对维伦纽夫来说,公开此事与其说是为了耸人听闻,不如说是为了确保这把锁得到修复。他说,“找到一个漏洞,把它公之于众,制造一些名声是可以的。但是,如果展示我破解它的方式能促使人们与制造商沟通,这才是目标。是为了使东西变得更安全。”