12:23
14/3/2024

Tajne kody otwierające zamki w sejfach, o których producenci nie mówią klientom

Autor: redakcja | Tagi:  

Dwóch dużych producentów zamków do sejfów wbudowało w niektóre ze swoich zamków backdoory w postaci nieujawnionych w dokumentacji “kodów resetujących”. Te firmy to amerykańska Sargent and Greenleaf (S&G) oraz chińska SECURAM. O sprawie poinformował senator Ron Wyden.

Tajne kody serwisowe w sejfach

Kody serwisowe zwane także kodami administratora lub superadministratora, to nic nowego. Ma je wiele zamków w sejfach różnych klas, a ich domyślną wartość można poznać z dokumentacji producenta (por. Nie ufaj sejfom w hotelowych pokojach). Tu przykład otwarcia hotelowego sejfu takim właśnie, niezmienionym przez obsługę hotelu, kodem:

W przypadku kodów serwisowych używanych przez Sargent and Greenleaf (S&G) oraz SECURAM w niektórych z produkowanych przez nich zamków szyfrowych jest jednak trochę inaczej. Tych kodów użytkownik nie znajdzie w dokumentacji.

Senator Wyden dowiedział się o nich przypadkiem — z ostrzeżenia amerykańskiego ministerstwa obrony narodowej, które zakazywało korzystania z konkretnych produktów w sejfach służących do przechowywania dokumentów z klauzulą poufności. Senatora zbulwersowało to, że wiedza o backdoorach w zamkach szyfrowych jest dostępna tylko wąskiemu gronu administracji publicznej które ma dostęp do not Ministerstwa Obrony Narodowej, a nie opinii publicznej — w tym firmom, które mogą być narażone na szpiegostwo gospodarcze. Dlatego sprawę postanowił ujawnić w liście do National Counterintelligence and Security Center.

Mam sejf, co robić, jak żyć?

Niestety, jeśli nie masz umiejętności elektroniczno-programistycznych, ciężko Ci będzie sprawdzić samodzielnie, czy Twój elektroniczny zamek ma backdoora w postaci “dodatkowego” rodzaju kodu serwisowego, niż te typy kodów, które zostały opisane w instrukcji do Twojego zamka.

Dlatego, dla osób, które cenią sobie bezpieczeństwo przechowywanych w sejfie rzeczy mamy 3 rady:

  1. Jeśli możesz kupuj sejfy z podwójnymi zamkami, z których jeden to zamek kluczowy lub cyfrowy-mechaniczny. Wtedy obejście zamka elektronicznego lub biometrycznego nie wystarczy.
  2. Jeśli sejf już kupiłeś, zapoznaj się z instrukcją (niekoniecznie w wersji otrzymanej od sprzedawcy — poszukaj oryginału instrukcji na stronie producenta zamka) i sprawdź jakie typy kodów serwisowych/superadministracyjnych ma twój zamek. Jeśli jakieś ma, zmień je z domyślnych wartości.
  3. Dla bezpieczeństwa, samodzielnie nadpisz wszystkie “sloty użytkowników”, tworząc kody dla maksymalnej dopuszczalnej przez sejf liczby użytkowników.
     

    🔴 Wiele osób po zakupie sejfu definiuje sobie 1 lub 2 użytkowników, ba! zmieniają nawet kod superadministratora/serwisowy, ale zapominają, że ich zamek ma jeszcze 8 dodatkowych “zwykłych” użytkowników, z których jeden może już być aktywny, bo został zdefiniowany przez sprzedawcę…

I na koniec jeszcze jedna rada. Pod żadnym pozorem nie zostawiajcie wartościowych dla Was rzeczy w sejfach hotelowych. Hasła serwisowe do nich nie są tak strzeżone wśród personelu, jak Wam się wydaje. A nawet gdyby było, czasem w taki hotelowy sejf wystarczy umiejętnie uderzyć, aby się otworzył ;) Wartościowe przedmioty lepiej zdeponować w sejfie na recepcji, jeśli taki jest dostępny.

Jak szpiedzy wykradają dane?

Jeśli interesują Cię historie (prawdziwe!) tego jak faktycznie komunikują się szpiedzy, jak przełamują zabezpieczenia i jak wykradają dane, to polecamy nagrania naszych webinarów z Tomkiem Awłasewiczem, który na swoim koncie ma 2 książki poświęcone temu zagadnieniu, a pół życia spędził w archiwach IPN wyciągając z nich ciekawe historie o polskich oficerach i pracownikach wywiadu (potem ich odnajdował z nimi rozmawiał!). Niektórymi z tych historii, ale przede wszystkim opisem warsztatu pracy “szpiegów”, Tomasz podzielił się w ramach 2 spotkań z nami.

🔴 Dziś, ale tylko do końca dnia, kupując dostępy do obu nagrań razem, otrzymacie niższą cenę aż o 68 PLN (bez obaw, na zapoznanie się z materiałem macie 30 dni, więc zdążycie). Oto link bezpośrednio do koszyka z naliczonym rabatem znajdziecie go tutaj.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

17 komentarzy

Dodaj komentarz
  1. Valdyn 2024.03.14 16:09 | # | Reply

    Szef zakupił sejfik. Bumpnąłem i otwarłem w sekundę. :)

  2. jijiji 2024.03.14 18:12 | # | Reply

    tylko dwóch? kodu nie podali

  3. Lol 2024.03.14 23:09 | # | Reply

    A nie martwią Was urządzenia szyfrujące end-end w bankach i instytucjach, które mają identyczne nieudokumentowane kody obejściowe?
    Kiedyś pracownik, który był na takim tajnym szkoleniu opowiedział mi, że kluczyk zawsze trafia do NSA. I wcale nie blefował.

    • Leszek 2024.03.15 14:59 | # |

      Ale chodzi o urządzenia w sensie “sprzęt (hardware) kryptograficzny”?

      W którym kraju to było i dlaczego NSA miałaby pozwalać, by – nawet na “tajnych” szkoleniach – takie informacje się pojawiały?

    • Macius 2024.03.18 14:39 | # |

      Przypomniało mi się jak sąsiad kiedyś robił remont i po d koniec remontu podjechał do niego czarny jak smoła bus (w stylu Druzyny A) oklejony:

      Sejfy, bo każdy ma coś do ukrycia :)

      Chłopaki byli malo dyskretni

    • Józef 2024.03.20 14:05 | # |

      Dlatego unikam amerykańskich produktów jak tylko mogę. W 1997 weszła w USA ustawa “znosząca” zakaz eksportu technologii kryptograficznych z kluczem większym niż 56 bit bez zgody Departamentu Stanu. W zamian w ustawie z 1997 jest wymóg, by “była możliwość dostępu do danych, gdy użytkownik utraci klucz lub hasło” jak eufemistycznie w ustawie określono backdoory. Do tego mamy jeszcze Cloud Act. I USA oraz Polin zakazuje sprzętu Huawei nie dlatego, że jest niebezpieczny, ale przeciwnie: w smartfonach Huawei rootowanie jest zablokowane, oraz, o co Google i USA dostawały furii i bezpodstawnie groziły Huawei sądem, w smartfonach Huawei każdy proces, który nie jest na białej liście Huawei, jest po godzinie wyłączany przez “menadżera energii”…, więc Pegasusy, przynajmniej zachodnie (chińskie są mniej szkodliwe, bo Chińczycy nie stosują prawa eksterytorialnie i nie porywają obywateli innych państw na terenie trzecich państw za jego łamanie!), mają utrudnione działanie. I mimo oskarżania Huawei o szpiegowanie, jakoś USA nigdy nie dostarczyły na to dowodów, a w Cisco, Juniperach, Ubiquiti jakieś backdoory wychodzą co miesiąc…

  4. JarekN 2024.03.15 01:09 | # | Reply

    “z ostrzeżenia amerykańskiego ministerstwa obrony narodowej,”

    Tam jest Departament Obrony Stanów Zjednoczonych.

    “Senatora zbulwersowało to, że wiedza o backdoorach w zamkach szyfrowych jest dostępna tylko wąskiemu gronu administracji publicznej które ma dostęp do not Ministerstwa Obrony Narodowej”

    Kosiniak-Kamysz ma te noty?
    Ministerstwo Obrony Narodowej jest w Polsce. Nie w USA, nie w Rosji. W Polsce.

    • Józef 2024.03.20 14:13 | # |

      Ciekawe co senator zrobi, jak się dowie, że za wyj. instytucji rządowych USA, nie ma możliwości kupienia komputera na Intelu bez Intel Management Engine… AMD ma to samo, tylko nazywa się AMD Platform Security Processor… I nie przeszkadza to USA oskarżać Chińczyków o backdoory i szpiegowanie… Dlatego Rosja czy Chiny dla instytucji rządowych i poufnych, produkują własne procki i chipsety…

    • Krovitsk 2024.03.21 22:53 | # |

      A nie jest tak, że to się zmieniło i już można IME wyłączyć? Są narzędzie na GitHubie, a poza tym chyba sam producent umożliwia wyłączenie IME na życzenie. Poprawcie mnie, jeśli się mylę.

  5. Szymon 2024.03.15 20:48 | # | Reply

    Najlepiej w ogóle nie używać sejfów hotelowych. Kuzyn był na Majorce czy gdzieś i dzień przed powrotem do Polski zniknął cały sejf ze ściany z nowym laptopem i aparatem w środku. Podobno takich przypadków jest pełno i robi to obsługa hotelowa. Wiedzą że tuż przed wyjazdem nikt nie będzie się bujał po posterunkach.

  6. skarpeciarz pieniężny, bilonowy 2024.03.16 21:15 | # | Reply

    A jak się otwiera taki sejf jeżeli bateria wyleje?

    • Imię 2024.03.17 21:52 | # |

      “Rosyjskie kody do rakiet i młot kowalski”

    • jj 2024.03.20 09:40 | # |

      Zamki mają na zewnątrz styki do podłączenia awaryjnego zasilania. Więc jak bateria padnie, przykłada się nową, by otworzyć.

    • rysiek 2024.03.24 18:08 | # |

      Z reguły są dwa sposoby. Część sejfów ma normalnie na wierzchu styki gdzie przykłada się baterię 9v wpisuje kod i tyle. Opcja 2, to zewnętrzna kaseta na baterie, ją podłącza się pod slot zasilania w sejfie i można odblokować zamek.

  7. Andy 2024.03.20 09:46 | # | Reply

    W firmie w dziale IT posiadamy duży sejf pewnego producenta, w którym trzymamy poufne dokumenty, backupy odmiejscowione, hasła w formie drukowanej w zalakowanych kopertach itd…
    I teraz ta zabawna część. Sejf otwierany jest kombinacją ‘C hasło #’ natomiastr zmiana hasła to ‘C hasło * nowe_haslo #’. Kolega chciał sejf otworzyć, ale zamiast zatwierdzić # wybrał *. Nieświadom wpisał kombinację ponownie ale wpisał inne hasło bo myślał że to pierwsze zostało źle wprowadzone. Efekt taki, że do sejfu nie można się było dostać. Oczywiście najpierw padło na baterie, ale po kilku różnych kompletach sięgneliśmy do dokumentacji i stąd wywnioskowaliśmy co mogło się stać. Napisaliśmy do producenta, a ten poprosił o kopię dowodu sprzedaży. W księgowości odnaleźli nam starą fakturę, którą wysłaliśmy do producenta poza EU. Ten zapewne nie maił jak zweryfikowac faktury, mogła to być fałszywka odesłał nam mastercode do zamka po podaniu jego numeru seryjnego.
    Fajna sprawa jak chcesz odzyskac dostęp bez prucia sejfu, słabe jeżeli trzymasz tam naprawdę ważne dokumenty. Teoretycznie każdy z pracowników mógłby przeprowadzić atak socjotechniczny na producenta i otworzyć zamek.

  8. rysiek 2024.03.24 18:05 | # | Reply

    Dobra dobra, ale artykuł miesza wszystko w jednym worze… mowa o sejfach czy blaszanych puszkach chińskiej produkcji które nie mają żadnej certyfikacji? W hotelach w szafach z reguły spotykam jakiś najtańszy szajs z chin. Takie coś to ja dzieciom kupiłem do trzymana słodyczy i “majątku” jaki od babci dostają. W Polsce mamy systemy certyfikacji. Rzeczy cenne, broń, dokumenty trzymamy w sejfach klasy s1 lub wyższej. Czy redakcja zasięgała lub zamierza sięgnąć informacji do producentów tego typu sprzętu jak sytuacja wygląda w tym przypadku. Przypuszczam że takie firmy bez problemu udzielą komentarza. Artykuł w obecnej formie to taki pudelkowo/faktowy bubel. Przykro mi, ale słabo to wyszło. PS: ten “sejf” co dzieciom ostatnio kupiłem, chiński, nawet w internecie nie ma instrukcji, mimo wielu godzinom szukania. Ostatecznie programowanie kodu otwarcia znalazłem w instrukcji innego chińskiego “sejfu” o podobnej funcjonalności. Kodów super-admina ni widu ni słychu. Ciekawostka: W polskich sejfach S1, z którymi miałem do czynienia, nie ma możliwości ustawienia doku dodatkowego użytkownika nie zmianiając kodu głównego. Czyli nie ma szans ustawienia backdora w tym rozumieniu.

    • Piotr Konieczny 2024.03.24 18:35 | # |

      Artykuł dotyczy nie sejfów, a zamków montowanych w sejfach (różnych klas).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: