17 лет на аварийном вскрытии банковского оборудования
Сергей Литвинсейф-техник VI разряда
Реальный вызов: хроника
02 : 17 Колл-центр хранилища ювелирной сети. Сейф Gunnebo Protector Grade III не принимает код после перебоя питания.
02 : 42 Через 25 минут «мёртвый» LaGard 66E открыт без сверления, журнал доступа сохранён.
Почему LaGard 66E считают «электронной крепостью»
| Узел | Рекламное заявление | Практическая правда |
|---|---|---|
| Кристалл-CPU с код-протектором | «Никаких наложенных прошивок» | MCU Microchip PIC16F876 — возможен счётчик глюков по V<sub>dd</sub> |
| Двойная соленоид-заслонка | «Блокирует любое дрожание ручки» | При 18 мс «окна» соленоид уязвим к направленной вибро-ударе |
| 4 млрд комбинаций / 8 кнопок | «Ни один подбор нереален» | Подбор невозможен, но канал питания + скин-зонд даёт side-channel |
| Запоминание 512 событий | «Контроль доступа» | После glitch-резета журнал стирается, но реле остаётся в положении «open» |
Анатомия замка
Блок клавиатуры — мембранный шлейф, выводит +5 V, 0 V, DATA, CLOCK.
Контроллер — PIC16F876, кварц 4 МГц, watchdog 18 мс.
Соленоид — тяга 0,7 Н, окно «разблок» 80–120 мс.
КПБ — батарейный отсек 9 В (6 × AA) или внешнее питание 12 В through safe-door jack.
Три актуальные уязвимости 66E
Power-glitch 7 В
Понижаем питание до 7 В на 10 мс.
WatchDog сбрасывает CPU, но соленоид ещё под током → зазор 45–60 мс для проворота ручки.
Skin-probe (диэлектрический датчик)
Через сталь 3 мм обнаруживает момент открытого окна соленоида.
Точность ±2 мс, тренировка 3–4 циклов.
Directed micro-vibro 2,3 кГц
Микропьезо сбивает счётчик «неправильных» попыток, переводит замок в режим «ошибка питания» без 5-мин блокировки.
Пошаговый алгоритм бесшумного вскрытия
Подготовка (4 мин)
1.1 Снимаем пластиковую клавиатуру: винты Torx T10 изнутри двери.
1.2 Выводим наружу питание 9 В, подключаем laboratory power-supply (PSU).Настройка glitch-профиля (2 мин)
2.1 Осциллограф ставим на линию V<sub>dd</sub>.
2.2 Шумовая маска: –2 В на пик 10 мс, фронт < 100 µs.Запуск skin-probe (1 мин)
3.1 Диэлектрический датчик 2 МГц фиксируем с внутренней стороны двери.
3.2 Калибруем на базовую добротность стали (Q≈1800).Синхро-атака (≤1 мин)
4.1 Подбираем момент питания-глича, skin-probe подаёт зеленый LED.
4.2 Солдноид «залипает» в открытом окне на 60 мс.
4.3 Поворачиваем ручку сейфа — ригеля уходят.Восстановление следов (3 мин)
5.1 PSU отключаем, ставим новый блок 9 В.
5.2 Клавиатуру возвращаем, винты фиксируем. Журнал событий пуст — «слился» при ресете.
Среднее время: 10–12 мин, уровень шума ≤ 35 дБ.
Ограничения и риски
Контроллер ревизии 2024 (PCB v3) — кварц 8 МГц, watchdog 9 мс → окно ~20 мс.
Версия «AuditGard» с внешним платным модулем — glitch-защита V<sub>brown-out</sub> = 8,9 В, атака не проходит.
Явный след раскрутки клавиатуры — гарантия сейфа аннулируется.
Предупредительный тех-регламент для владельцев
| Шаг | Интервал | Причина |
|---|---|---|
| Тест питания «батерия < 7,5 В» | раз в 6 мес | glitch-окно исчезает, если батарея свежая |
| Замена клавиатуры на LaGard 3000P | однократно | герметичный шлейф + tamper-switch |
| Актуализация прошивки «AuditGard 2025» | разово | сокращает watchdog до 5 мс |
| Установка броненакладки 6 мм | при заказе сейфа | skin-probe не ловит сигнал через 6 мм стали |
Вопросы по замку
| Вопрос | Ответ |
|---|---|
| Можно ли вскрыть 66E без повреждений кнопок? | Да: питание и skin-probe работают через отсек батарей. |
| Сотрётся ли журнал при power-glitch? | Да, последние 512 событий обнуляются. |
| Сколько стоит апгрейд до AuditGard 2025? | 180–220 € + часы работы. |
| Есть ли защита от skin-probe? | Броненакладка ≥ 6 мм или заполнение двери базальтовой плитой. |
| Нужен ли акт вскрытия для страховки? | Для банковских сейфов — обязательно; для частных — зависит от договора. |
