道德锁匠与制造商合作解决重大安全漏洞 - 彭博社

2020年6月的一个清晨，多米尼克·维勒纳夫醒来后去了他的地下室车间玩一个新玩具。一位朋友送给维勒纳夫，这位魁北克省德拉蒙维尔一家中型保险公司的网络安全和基础设施总监，一把来自他正在翻修的建筑物门上的锁。这是一把不错的锁：一把商用级别的、键盘操作的施拉格CO-100电子门锁，零售价约为400美元，并获得了由美国国家标准协会和建筑五金制造商协会联合颁发的1级安全评级。

大多数家庭的门锁是3级，也许是2级。1级门锁经过测试，可以承受100万次开关循环、从80焦耳开始的8次打击（相当于凿岩锤），以及用螺栓锯磨5分钟等等。CO-100的所有电气和机械部件也经过了安全标准实验室的认证，抵抗磨损、恶劣天气和滥用。但维勒纳夫知道他可以在没有键盘代码的情况下打开它。他知道他可以战胜它。

维勒纳夫摄影师：亚历克西·霍布斯，彭博商业周刊在他的日常工作中，维勒纳夫分析并阻止公司网络上的恶意软件攻击。像他这样的较小金融服务公司和保险公司是黑客的首选目标，因为它们经常在安全性不足的网络中存储个人和财务数据。他工作中最喜欢的部分是扮演“红队”——用比平均水平更好的黑客的技巧和小工具攻击雇主的网络，以找出漏洞。（“渗透测试”是技术术语。）这也包括寻找秘密进入办公室或计算机的方法，比如植入一个带摄像头的间谍笔或USB键盘记录器来窃取登录名和密码。“我看到的每种安全措施，我都尝试绕过或找到一个意想不到的打开方式，”维勒纳夫说。“这是我的天性。”

维勒纳夫的父亲在他5岁时教他如何组装和拆卸化油器。很快，他开始拆卸家里的一切。十几岁时，他开始撬锁，练习使用旧挂锁和家里的门，用回形针和磨平的安伦钥匙。在某个时候，他获得了一本据称是解密的中央情报局现场手册的复印本，内容是关于撬锁的。

如今，他是一个由软件专家、修补工、生存主义者、锁匠、律师和其他喜欢相同三维难题的专业人士组成的亚文化的一部分。（他还是他所在城镇改革浸信会教堂的联合创始人和联合牧师。）成员们聚集在一起举行聚会和“运动撬锁”比赛，展示无法检测的——在撬锁术语中称为“非破坏性”的——打开他们没有钥匙或代码的锁的方法。“这比下棋好，”律师、安全顾问和著名的撬锁专家马克·韦伯·托比亚斯说。“这是触觉的，是智力的，有些锁你是无法打开的。”

他在比赛和工作中“渗透测试”的工具包。摄影师：亚历克西·霍布斯，彭博商业周刊在大流行期间，对娱乐性撬锁的兴趣激增：有什么比通过数小时的在线教程度过被困在家里的时光更好的呢？对于探究的人来说，YouTube和Amazon.com的无尽资源提供了直到最近通常只有锁匠行会、猫贼和开锁者才能获得的信息和工具。“在旧的保险柜操作手册中，最后总是有一条注释说，‘现在你已经读完这本书，确保销毁它，’”只在职业上使用名字的迈克尔说，他是电子商务网站Sparrows Lock Picks的负责人。“现在所有的东西都发布在YouTube上。”

这帮助爱好者以惊人的速度掌握了绕过技术的艺术，加快了锁匠和制造商之间古老的猫鼠游戏，随着锁被绕过，胜利的视频在网上传播。（拥有约169,000名成员的r/lockpicking subreddit，维护着数百个锁的级别；那些破解最难的人是黑带。）锁匠们正在大规模进行红队行动，揭示人们信任用来保护自己的产品的弱点。这迫使制造商在被Verified Market Research分析师称为全球至少1250亿美元市场的全球实体安全行业中履行自己的标准。两个阵营之间的关系是紧张的。

社区中最著名的名字之一是LockPickingLawyer。2020年春天，他的YouTube频道有约20万订阅者，如今他已经拥有360万多。这位退休律师居住在华盛顿特区，并要求不使用他的真实姓名，他制作了近1400个演示视频，其中许多拥有数十万的观看次数，他在这些视频中剖析了从廉价挂锁到高安全性门锁的一切，探索它们的内部结构。

Villeneuve使用专门的挑选工具和“拉紧”工具来绕过锁。摄影师：Alexi Hobbs为彭博商业周刊除了其他刺激之外，观众还可以看到他用“低技能”攻击在大约五秒钟内击败一个无处不在的Schlage门把手锁，用叉子或勺子打开RFID枪柜，以及用瑞士军刀和回形针绕过一把据称防篡改的中国键盘锁。LockPickingLawyer的朋友和邻居Bosnianbill于9月停止上传视频，自2007年以来已发布了1900多个演示视频，拥有56万多名YouTube订阅者。来自英国的新秀Lock Noob在他的频道上拥有超过80,000名订阅者，专注于初学者和中级锁挑选。他的将近20分钟的*学习锁挑选：你需要了解的一切！*视频已经有超过100万次观看。

LockPickingLawyer毫不犹豫地揭露了锁匠销售的安全幻觉。“我理解认为保密在安全社区中是可取的人们，”他说。“但是锁匠和安全专业人员几百年来的保密就是我们的安全如此糟糕的原因。市场上几乎没有几种广泛使用的消费级锁能够对非破坏性进入方法提供足够的抵抗。消费者教育只会改善这种情况。”

这并不是一个新的想法。1868年，康涅狄格州的锁匠和发明家A.C.霍布斯在 《锁和保险柜的构造》中写道，如果一个锁“并非像过去认为的那样不可侵犯，那么诚实的人就有必要了解这一事实，因为不诚实的人几乎肯定会实际应用这种知识；而这种知识的传播对于那些可能因无知而受害的人来说是必要的。” 问题是：如何在不授权不诚实的人的情况下传播这种知识？

“在我的生活中，我发现了许多漏洞。但这一个如此简单，如此危险，与其他不同”

道德披露的规则很复杂。在一个故意模糊的例子中，开锁专家描述了一种“零技能漏洞，任何具有一点知识的人都可以执行”的情况，这种漏洞存在于执法部门广泛使用的一种锁上。他说他给制造这种锁的公司发了电子邮件，但公司无视了他。他再次发邮件，给了他们一年的时间来修复问题，否则他就会公开。他说：“我只是等了一年的时间，然后将其公之于众”，将他的发现泄露给了锁匠团体。“我不想制造任何可能在实践中被使用的危险或漏洞。然而，如果一家公司不愿意改变他们的产品，我能做的就只有这么多了。”

在美国的大部分地区，拥有撬锁工具是合法的，只要不用于犯罪目的。例如，在covertinstruments.com上，开锁专家出售一套名为Covert Companion的20合1套装，售价90美元。迈克尔说，执法部门倾向于应用“菜刀理论”。“只要你不拿着它指着别人并大声喊叫，一切都没问题。”然而，运动撬锁者和安全专家指出，很少有罪犯会费心去撬锁。根据2019年FBI统一犯罪报告统计数据，大约38%的入室盗窃是非强迫性的“非法入侵”，而这些事件中只有约4%涉及撬锁。大多数家庭入室盗窃是粗心的、强迫性的行为，涉及螺丝刀、撬棍和锤子。在商业入室盗窃中，最新的趋势是用偷来的车辆冲破墙壁。

锁并不是说无关紧要。当撬锁用于犯罪时，通常是针对高价值目标。例如，沃特盖特事件的发生，关键在于成功撬开一把固定楼梯的4磅黄铜锁。如果有值得保护的贵重物品，一把做工精良的锁是基本要求。一般来说，锁的质量随价格上升——即使有在线视频或者在年度黑客大会上揭示的绕过方法，绕过一把1级锁的快速简便方式仍然很少见。但并非不可能。

在他整洁的地下室里，周围摆放着他用来制作锁具零件和原型的3D打印设备，维勒纳夫考虑了CO-100。他希望将其添加到他已经击败的锁的盒子中。

CO-100看起来很普通，是一款办公硬件，2011年推出，是一个简单的矩形钢盒，带有一个手柄和一个12按钮键盘。它不连接互联网，因此无法像智能锁那样远程重置。必须由有物理访问权限的人使用三到六位数字的PIN码进行编程。CO-100通常还配备传统的钥匙锁，以防业主需要覆盖PIN码。 Allegion，拥有施拉格品牌的公司，将这款锁在营销材料中宣传为耐用、价格合理，并且“足够多功能，可以在任何地方使用”。CO-100和类似的CO-200型号广泛应用于办公室、商业设施、学校和多单元住宅物业。Allegion没有按产品拆分销售信息，但这些型号是长期畅销产品。

流行的锁，用于保护办公室和其他商业和住宅物业的锁，比如Schlage CO-100锁，可能存在漏洞。摄影师：亚历克西·霍布斯（Alexi Hobbs）为彭博商业周刊拍摄维勒纳夫本可以直接进入钥匙孔。但找到一种直接操纵内部机制的方法更有趣——也不那么乏味。打开CO-100的盖子后，维勒纳夫聚焦在键盘下方的一个杠杆上，拉动它会滑动开死锁。重新安装盖子后，他考虑如何从外部拉动杠杆。

他尝试使用磁铁看是否能移动一个关键弹簧，但他手头的那个不够强。然后他寻找可能让他将工具插入的开口。他可以将一根细线穿过键盘的边缘，但无法用它拉动杠杆。他不喜欢这样留下微小的痕迹——这不是一种真正无损的方法。接着，他尝试了锁壳底部的一个微小排水孔，用于让湿气逸出。当锁安装在门上时，这个孔几乎不易察觉。维勒纳夫开始用细金属条探测它，然后用各种尺寸的尼龙扎带，直到找到合适的。然后他在尼龙扎带的一端切割了一个凹槽，用于勾住杠杆。

大约在早上6点，他开始操作锁两个小时后，他将自制工具穿过排水孔，勾住了杠杆，轻轻一拉，锁就打开了。当他重新插入尼龙扎带并再次拉动时，锁上了。它再次奏效，一次又一次。维勒纳夫充满活力，去家里的健身房锻炼并洗了个澡。在早餐时，他难以掩饰自己的热情，向妻子展示了另一个黑客技巧。他说她毫不在意。“酷，听起来很简单，”她回答道。

在那天的办公室里，维勒纳夫走过一条走廊，经过了十几扇门上的CO-100。他停在一扇门前，拿出他的拉紧带，大约五秒钟就打开了它。在受控条件下执行绕过是一回事，而在野外执行则是另一回事。而用一种成本几乎为零、到处都是的工具来执行，因为拉紧带被用来整理电脑线。维勒纳夫说：“在我的生活中，我发现了许多漏洞。但这个漏洞如此简单，如此危险，与其他漏洞不同。即使警报响起，警察也找不到任何违规的痕迹。”

维勒纳夫正在打开一个已经从门上取下的锁。摄影师：亚历克西·霍布斯，为彭博商业周刊拍摄在互联网和暗网上的搜索使他相信自己发现了新东西，作为一个自称“道德”的开锁者，他联系了施拉格。这家公司于1920年由德国移民沃特·施拉格在旧金山创立，拥有一些重要的早期专利；五年后，它每月生产2万把锁。1974年，当英格索尔·兰德公司收购了这家公司时，它是该市最大的制造商。

2013年，施拉格和英格索尔·兰德的其他安全技术业务被阿勒金收购。这家公司总部位于都柏林，拥有30个全球安全品牌。2020年，公司收入达到27亿美元，其股价从2019年初的约80美元上升到今天的约125美元。在北美，阿勒金是控制人们如何进出建筑物的产品的第一大制造商——锁和锁具、门和门框、铰链门闭器、推杆、电子进出系统等。与软件制造商不同，软件制造商让黑客报告漏洞变得容易，大多数锁制造商没有正式渠道接收有关漏洞的提示。维勒纳夫说，他花了几天时间找到一个人来记录他的发现的细节。

2020年6月27日，他向 Allegion 的公共关系负责人发送了一封标题为“CO-100（也许是CO-200）中的重大漏洞” 的电子邮件。他附上了两个演示他绕过的视频。“我想诚实地给你一个机会，在有人发现并在互联网上公开之前，为你的客户提供一个修复方案，”Villeneuve 写道，他的母语是法语。

在他发送电子邮件两天后，他与 Allegion 的全球网络安全总监 Frank Kasper 取得了联系。在电子邮件、电话和视频聊天中，Villeneuve 解释了这个绕过方法。他教 Allegion 的工程师如何复制它，并共同想出解决方案。7月10日，Kasper 写道，工程师们正在研究一种可插入的部件，用于堵住排水孔，而不需要从门上拆下锁。在八月底，他向 Villeneuve 发送了一个原型。三天后，Villeneuve 回信说，他用一个手工工具在大约10秒钟内拆除了这个部件。

12月初，Kasper 给 Villeneuve 发来了好消息。他的工程团队已经重新设计了 CO-100 和相关产品，以解决排水孔的问题。但 Kasper 写道，由于供应链问题，交付被延迟了——“零件正在从我们在中国的供应商那里运往我们在墨西哥的制造工厂。”2021年2月25日，Kasper 发送给 Villeneuve 重新设计的锁和另一种插入式改装部件。Villeneuve 对两者都很满意。尽管他仍然设法挑选了带钥匙的部件，但这是一个挑战，他写信给 Kasper，补充说，“我无法想象在现场挑选它。”他说新的改装插头“是一个非常好的修复方案”，他无法以非破坏性的方式绕过它。“Frank 是一个非常棒的人，”Villeneuve 说。

他们的互动反映了行业中不断发展的模式，这种模式正在朝着软件制造商与所谓的白帽黑客之间的缓和方向发展。在那种系统中，金钱“漏洞赏金”鼓励黑客报告弱代码；优秀的漏洞捕捉者将他们的技能转化为咨询工作。“十五年前，我们是行业中最受憎恨的人，”律师兼安全专家托比亚斯说，他有一系列传奇的绕过技术。“现在他们意识到我们是他们最宝贵的资产。撬锁者以一种不同的方式看待事物，与锁公司的工程师不同。他们关心如何使事物运作。我们关注他们如何破解。”

在拉斯维加斯举办的年度黑客大会Def Con上，托比亚斯在一连串令人尴尬的演示中占据主导地位。2007年，他用“撬锁钥匙”或定制空白钥匙和一根回形针击败了 Medeco的高安全性M3。2013年，他用螺丝刀和一根金属丝击败了 Kwikset畅销的SmartKey。最终制造商们认输了。托比亚斯为他们中的大多数提供了咨询服务，包括瑞典企业 Assa Abloy AB（Medeco、Arrow、Mul-T-Lock和Yale的所有者）和 Allegion（也拥有Steelcraft（一家门和门框制造商）和生产自行车锁的Kryptonite的所有者）。

在十月份给Bloomberg Businessweek的一封电子邮件中， Allegion表示他们通过多种方式评估其产品的安全性，包括“广泛的第三方评估”和“潜在漏洞的外部报告”。但是，托比亚斯说，“如果有人因为你知道的问题而被强奸、抢劫或杀害，你将会被起诉。”只需要一个YouTube上的人揭露已知的漏洞。

在三月份，卡斯帕和维勒纳夫讨论了一项咨询安排。维勒纳夫将测试新的 Allegion 锁，并保密地报告漏洞。他并不想要钱作为回报；他只是想要挑战世界顶级锁匠之一可能给他的最难的难题。但是在七月中旬，卡斯帕写道经理们否决了这个想法。不过，他说他想要偶尔给维勒纳夫发送产品以供“黑客”未来使用。

自从他报告了 CO-100 的问题已经一年多了。重新设计的锁和改装部件自二月份就已经准备好了。维勒纳夫想知道，公众通知在哪里？客户什么时候会知道？

他向卡斯帕表达了他的挫败感，尽管他说“我从未提出最后通牒。我只是想让他们做正确的事情。”2021年7月16日，卡斯帕写道他已经与高层管理层交谈，“你引起了他们的注意。”他安排了一次Zoom会议，与维勒纳夫和一位 Allegion 律师重新讨论咨询的想法——维勒纳夫认为，这可能是为了争取时间。根据通话录像，律师向他保证，“正在采取行动通知客户有关修复措施。”第二天，维勒纳夫写信给卡斯帕拒绝了这份工作，理由是在加拿大为美国公司工作会有复杂性。（Schlage 现在总部位于印第安纳州卡梅尔市。）但他说他“很高兴听到你说你准备提供修复措施。”

八月份，由于 Allegion 没有关于通知公众的消息，维勒纳夫考虑自己公布这个漏洞。但他最终决定不这样做，因为他希望客户先获得改装的机会。托比亚斯说他看到人们要求锁匠支付高达5万美元的赎金来保密漏洞。但对于道德锁匠来说，这是关于认可的问题。“如果你站出来要求一个大公司修复问题，那会让你成为一个道德锁匠，”维勒纳夫说。“当你在安全会议上演讲，人们搜索你，他们会看到你所做的事情，这会给你很多信誉。”但重要的是要第一个发现问题。维勒纳夫发现的绕过方法是如此明显，只是时间问题，另一个人也会找到，并发布视频来记录这一发现。

在十月份给*《商业周刊》*的邮件中， Allegion 公司发言人确认了但淡化了这个问题：“重要的是，这种机械漏洞并不是由于锁的正常操作或日常使用引起的，而是在单位被故意以一种不寻常的方式操纵时发生的。” 发言人补充说，“要复制这种漏洞需要一个定制工具和一个了解锁机械原理的人——所以并不容易掌握。”

Villeneuve 表示这种说法可笑：“我很自豪地掌握了用拉链扎带的操纵技巧。事实上，他们的一群工程师无法找出我是如何做到的并不意味着绕过是难以做到的，只是说明他们没有黑客的思维方式。”

发言人写道， Allegion 公司在七月份发送了一封名为“Schlage CO 系列机械安全增强”的公告。这封公告发给了在 2021 年 2 月之前购买的“潜在易受攻击的单位”的“客户和分销商”，包括 CO-100、CO-200、CO-220 和 CO-250。警报敦促所有锁的所有者安装这个改装部件，公司将免费发送，但需要提出请求。

目前还不清楚谁看到了这份公告。今年秋天联系了来自美国各地销售 Schlage 产品的八名锁匠和分销商，他们表示他们不知道有这个问题。“事实上，在过去几个月里，我们看到 CO-100 锁的销量增加了，” GoKeyless 公司位于俄亥俄州迈阿密斯堡的多户和酒店行业销售总监帕特里克·达夫写道，该公司每年在全国安装多达 15,000 把锁。

维勒纳夫表示， Allegion 公司没有向他提及这份公告，他所在的保险公司也没有收到通知。在网上找不到任何迹象。 Allegion 公司将这份公告通过电子邮件发送给了*《商业周刊》*；在审阅后，维勒纳夫注意到其中包含的一张照片是他向该公司发送的视频截图。

发言人拒绝透露有多少人收到了这份公告，或者已经发货了多少个改装零件，称“这可能会对我们客户的安全造成负面影响。” 公司为这份通知进行辩护，称其已发布在一个维勒纳夫表示自己无法访问的封闭网络客户门户，并且 Allegion 公司也不提供链接。发言人补充道：“这些客户最终可以帮助解决商业市场产品的问题。该门户并非面向普通公众，甚至与之无关。”（去年十二月，另一位发言人表示“我们收到了许多要求提供公告中提供的简单、免费解决方案的请求；因此我们相信……客户和分销商已经收到了这些信息。”）

维勒纳夫坚决表示：责任在公司，而不在客户，传播这个消息。“我理解他们没有办法亲自联系他们数百万的客户，但为什么他们不只是向每个分销商发送一堆修复方案，然后在两周后进行公开声明呢？” 他问道。“当有一个关于手机电池无缘无故着火的召回时，他们会发布一则公告，并在当地商店提供免费更换电池。而在这种情况下，他们有一个廉价的解决方案来应对一个易于实施的黑客攻击，但却没有人知道。”

无论 Allegion 公告得到了多广泛的发布，主题行标志着一个“增强”，而不是一个重大的安全问题，这可能会让人感到困惑。“至少，这会让我问自己，‘他们为什么这样做？’ 更重要的是，‘如果我不这样做会发生什么？’” GoKeyless 的 Duff 说道。Villeneuve 表示，没有广泛的公开警报或召回，消费者无法知道他们是在购买改进后的锁还是旧的锁，因为标签上没有任何指示。

从历史上看，只有在被起诉或有人站出来揭露问题之后，锁制造商才会发布公开警报。2004年，Kryptonite 自行车锁的回收行动使 Ingersoll-Rand 公司估计损失了1000万美元，因为这些锁容易被用塑料圆珠笔的圆头打开。2011年，Kaba（现在是 Dormakaba Holding AG）因其按键式 Simplex 锁存在漏洞而被 起诉，公司知道这种锁可以被稀土磁铁黑客入侵；锁经过重新设计，并发出了免费的改装。这两家公司都是在有人 揭露了安全内部人士早已知晓的问题之后才采取行动。

此时造成了什么样的损害，很难说。这就是非破坏性旁路的性质。谁知道 Villeneuve 是否第一个发现用拉链扎带的窍门？其他人可能多年来一直在使用它，或者类似的方法，秘密进入办公室和财产。他在 Sparrows Lock Picks 网站上设计了一个不锈钢版本的排水孔塞，售价几美元，但这并不能替代公司采取行动。

终于，在12月10日，维勒纳夫决定是时候公开了： Allegion的翻新部件可用，他的也可用。 他在他的DHack Security YouTube频道发布了一段将近五分钟长的视频，记录了这一发现，五天内观看次数达到了3100次。 Lock Noob发布了一个反应视频，在这段时间内观看次数接近4000次。 “这不是我自己会想出来的东西，” Lock Noob在他的视频中说。

Allegion表示市场上受影响的锁的数量“明显低于”维勒纳夫在视频中声称的“数百万”个单位。 该公司在12月20日的一封电子邮件中发表了正式反应：“ Allegion赞赏外部研究人员的有益作用，并将他们视为不断监视威胁并帮助公司改进产品并为最终用户和公共安全带来利益的分布式系统的一部分。 我们发现了一个潜在的漏洞，加以解决，并向渠道合作伙伴和分销商通报。 我们认为最佳途径是让制造商通知客户，而不是进行煽动性报道。”

对于维勒纳夫来说，公开并不是为了炒作什么，而是确保锁得到修复。 “发现漏洞，公之于众，树立声誉是可以的，”他说。 “但如果展示我处理问题的方式能激励人们与制造商沟通，那就是目标。 使事物更加安全。” 阅读下一篇： 窃贼如何在土耳其用喷漆涂岩石窃取了4000万美元的铜