FYI.

This story is over 5 years old.

Tech

Der Einbruchsautomat für geduldige Panzerknacker mit schmalem Budget

Australische IT-Sicherheitsforscher haben dank 3D-Druck und Open-Source-Hardware einen Autowähler entwickelt, der Tresore für einen Bruchteil des Preises von militärischen oder kommerziellen Safeknackern öffnen kann.
17.10.14

Auf der IT-Sicherheitskonferenz Ruxcon in Melbourne haben zwei Sicherheitsexperten am vergangenen Wochenende einen selbstgebauten Safeknacker vorgestellt. Ihre Demonstration trug den lässigen Titel Safecracking on a Budget und bietet für Diebe ohne große Eile eine saubere Alternative zu Brechstange und Schwarzpulver.

Das Gerät von  Luke Jahnke und Jay Davis kostet insgesamt kaum mehr als 100 Euro und knackt einen Tresor in einem Zeitraum von wenigen Minuten bis zu vier Tagen, wie The Register berichtete. Es besteht aus einem Arduino, einem Motor und einigen 3D-gedruckten Teilen und ist somit nicht nur preislich extrem attraktiv, sondern auch für jeden Hobbybastler recht einfach zu bauen. Die Überraschung darüber, dass die Erfindung im Netz heftig diskutiert wird, hält sich also in Grenzen.

Anzeige

Die beiden Entwickler brauchten für den Bau des Discount-Safeknackers lediglich zwei Wochen. Ähnliche Geräte sind bisher dem Militär oder zahlungskräftigen Kunden vorbehalten und kosten mehrere Tausend Euro aufwärts.

Der Panzerknacker, der in unangenehmer Weise einer Radkralle ähnelt, lässt sich für  Kombinationsschlösser der Gruppe 2 und Tresore mit Nummernschlössern einsetzen. Diese werden zum Beispiel gerne bei Geldautomaten oder Waffenschränken verwendet und öffnen sich, nachdem mit einem Drehknopf die passende Dreierkombination eingestellt wurde. Bei seiner Brute-Force-Attack berechnet der Arduino alle möglichen Zahlenkombinationen, während der Motor den Knopf dreht. Im Prinzip handelt es sich also um eine Art bösartigen Wählautomaten.

Ein Forumsnutzer, der sowohl in der IT als auch im physischen Sicherheitsbereich arbeitet, erklärte, dass Schlösser der Gruppe 2 meist eine viel zu schwache Sicherheitsstufe haben. Diese Exemplare öffnen sich mit einer Toleranz von +/-1, so dass für eine geforderte 50 die Eingabe einer 49 oder 51 also als ebenso korrekt akzeptiert sind. Eine hohe Sicherheit wird hier alleine dem Komfort geopfert . „Ich habe versucht einige Hersteller davon zu überzeugen diese Toleranz auszuräumen, sie meinten jedoch, das würde eine Menge Kundenbeschwerden mit sich ziehen."

Da viele Tresorbesitzer die voreingestellten Ziffernfolgen einfach übernehmen, und sich so für die Safeknacker der Aufwand nocheinmal reduziert, lassen sich Einbrüche in vielen Fällen relativ schnell und reibungslos über die Bühne bringen. Manchmal muss nur eine von zehn Standardkombinationen ausprobiert werden und der Safe öffnet sich. Als Vorbereitung sei dem ungeduldigen Dieb also geraten, den Arduino über eine SD-Karte mit diesen Standardeinstellungen zu füttern.

Anzeige

Für den Fall, dass das Knacken einmal länger dauert, wollen die Entwickler demnächst eine integrierte Speichermöglichkeit auf den Markt bringen, mit der die Straftat unterbrochen und etappenweise über die Bühen gebracht werden kann. Bei der nächsten unentdeckten Gelegenheit kann der Dieb sein Vorhaben dann praktischerweise an der gleichen Stelle inklusive der geleisteten Vorarbeit vollenden. Ein angenehmer Service für Umgebungen in denen es sich empfiehlt, schnell und konspirativ vorzugehen.

Wäre es also nicht besser an Stelle der anachronistischen Drehschlösser auf eine digitale Tastaturkombination zu setzen? Auch das wird in der Diskussion um analoge Tresor-Sicherheit schon lange thematisiert. Dagegen sprechen jedoch die Vielzahl von Sicherheitslücken an Schnittstellen digitaler Geräte, höhere Kosten für besonders sichere Alternativen, geringere Verlässlichkeit und Probleme der Instandhaltung.

Auf irgendeine Weise lässt sich jedes Schloss knacken und Brute-Force-Attacken führen letztlich naturgemäß immer zum Ziel—die Frage ist eben nur der Zeit- und Geldaufwand. Selbst wenn ein Alarm angeschlossen ist, dauert es eine ganze Weile, bis die Polizei von der nächstgelegenen Dienststelle am Einbruchsort vorgefahren ist. Wirklich einbruchssicher sind also fast nur Tresore mit einem elektromechanischen, manipulationsresistenten Schloss, die am besten auch noch unter permanenter Überwachung stehen. Doch solche zu 100 Prozent Brute-Attack-sicheren Mechanismen sind eben teuer.

Die jüngste Diskussion um den Arduino-Safeknacker der australischen IT-Bastler bot auch Safe-Händlern und -Entwicklern die Gelegenheit, ihrem Kundenfrust freien Lauf zu lassen. Sie beschwerten sich über ihre Käufer, die sich erst nach dem Preis und gleich im Anschluss nach der Benutzerfreundlichkeit des Tresors erkundigen—für die Sicherheitsprobleme der Technik interessierten sich erstaunlich wenige Kunden. Die häufigste Frage: „Ist der auch einfach zu bedienen?" Die Wertsachen liegen somit zwar im Safe, aber wenn der Besitzer sich nicht mit der Technik befasst hat und seinen Safe korrekt zu bedienen weiß, dann ist der Tresor höchstens ein bescheidenes Sicherheitsversteck.

„Abschließend will ich einfach noch mal sagen, dass Kombinationsschlösser der Gruppe 2 völlig ineffizient sind", so ein Userkommentar. „Ein erfahrener Dieb kann solch ein Schloss PER HAND in zehn Minuten aufkriegen, anstelle mit einem Koffer voller fragwürdiger Gegenstände herumzulaufen, die in einer normalen Sicherheitskontrolle schnell einmal unangenehm auffallen." Wenigstens ist das jetzt auch noch mal gesagt. Absolute Sicherheit gibt es eben nicht.