Akhirnya, HID mengatakan bahwa “menurut pengetahuan mereka,” tidak ada kunci enkoder mereka yang bocor atau didistribusikan secara publik, dan “tidak ada masalah ini yang dieksploitasi di lokasi pelanggan dan keamanan pelanggan kami tidak terganggu.”
Javadi menolak bahwa tidak ada cara yang jelas untuk mengetahui siapa yang mungkin telah secara diam-diam mengekstrak kunci HID, sekarang bahwa metode mereka diketahui dapat dilakukan. “Ada banyak orang pintar di dunia,” kata Javadi. “Tidak realistis untuk berpikir kita adalah satu-satunya orang di luar sana yang bisa melakukannya.”
Meskipun pengumuman publik HID lebih dari tujuh bulan yang lalu dan pembaruan perangkat lunak yang dirilis untuk memperbaiki masalah ekstraksi kunci, Javadi mengatakan sebagian besar klien yang sistemnya dia uji dalam pekerjaannya tidak tampak menerapkan perbaikan tersebut. Bahkan, efek dari teknik ekstraksi kunci mungkin akan tetap ada sampai enkoder, pembaca, dan ratusan juta kartu kunci HID direprogram atau diganti di seluruh dunia.
Saatnya Mengganti Kunci
Untuk mengembangkan teknik mereka untuk mengekstrak kunci enkoder HID, para peneliti mulai dengan mendekonstruksi perangkat kerasnya: Mereka menggunakan pisau ultrasonik untuk memotong lapisan epoksi pada bagian belakang pembaca HID, kemudian memanaskan pembaca untuk mendesolder dan menarik chip SAM yang dilindungi. Lalu mereka memasukkan chip itu ke dalam soket mereka sendiri untuk melihat komunikasinya dengan pembaca. SAM di pembaca dan enkoder HID cukup mirip sehingga hal ini memungkinkan mereka untuk melakukan reverse engineering perintah SAM di dalam enkoder juga.
Pada akhirnya, peretasan perangkat keras itu memungkinkan mereka untuk mengembangkan versi serangan mereka yang jauh lebih bersih, nirkabel: Mereka menulis program mereka sendiri untuk memberi tahu enkoder untuk mengirimkan rahasia SAM-nya ke kartu konfigurasi tanpa mengenkripsi data sensitif itu—sementara perangkat “sniffer” RFID duduk di antara enkoder dan kartu, membaca kunci HID dalam perjalanan.
Sistem HID dan bentuk otentikasi kartu kunci RFID lainnya, sebenarnya, telah diretas berkali-kali, dengan berbagai cara, dalam beberapa dekade terakhir. Tetapi kerentanan seperti yang akan disajikan di Defcon mungkin sangat sulit untuk benar-benar melindungi dari. “Kami meretasnya, mereka memperbaikinya. Kami meretasnya, mereka memperbaikinya,” kata Michael Glasser, seorang peneliti keamanan dan pendiri Glasser Security Group, yang telah menemukan kerentanan dalam sistem kontrol akses sejak tahun 2003. “Tetapi jika perbaikan Anda memerlukan Anda untuk mengganti atau merekam ulang setiap pembaca dan setiap kartu, itu sangat berbeda dari patch perangkat lunak normal.”
Di sisi lain, Glasser mencatat bahwa mencegah duplikasi kartu kunci hanya mewakili satu lapisan keamanan di antara banyak untuk fasilitas apa pun yang memiliki keamanan tinggi—dan secara praktis, sebagian besar fasilitas dengan keamanan rendah menawarkan cara yang jauh lebih mudah untuk masuk, seperti meminta seorang karyawan untuk membuka pintu untuk Anda saat Anda sedang sibuk. “Tidak ada yang menolak orang yang memegang dua kotak donat dan sebuah kotak kopi,” kata Glasser.
Javadi mengatakan tujuan dari presentasi Defcon mereka bukanlah untuk menyarankan bahwa sistem HID rentan secara khusus—sebenarnya, mereka mengatakan bahwa mereka fokus pada tahun-tahun penelitian mereka pada HID secara khusus karena tantangan meretas produk-produk yang relatif aman—tetapi lebih untuk menekankan bahwa tidak ada yang seharusnya bergantung pada teknologi tunggal untuk keamanan fisik mereka.
Sekarang bahwa mereka telah membuat jelas bahwa kunci ke kerajaan HID dapat diekstrak, bagaimanapun, perusahaan dan pelanggannya mungkin tetap menghadapi proses yang panjang dan rumit untuk mengamankan kembali kunci-kunci tersebut. “Sekarang pelanggan dan HID harus merebut kembali kontrol—dan mengganti kunci, untuk berbicara,” kata Javadi. “Mengganti kunci memungkinkan. Tetapi itu akan menjadi banyak pekerjaan.”