Una cosa che dovreste sapere sugli hacker ed è che oltre a violare i sistemi virtuali molti di loro adorano hackerare le cose del mondo reale. Per esempio, una cosa che a loro interessa particolarmente sono le serrature e i lucchetti. Infatti durante le conferenze dedicate all’hacking, come DEF CON o il Chaos Communication Congress, sono molte le gare e le presentazioni che trattano di scassinamento di serrature.
Durante la recente conferenza 32C3 di Amburgo, Eric Wustrow, professore presso l’Università del Colorado, ha presentato un report che parlava di come le stampanti 3D possono essere usate per falsificare le chiavi, e per essere esatti, per la contraffazione delle chiavi di tipo Yale, quelle usate per le serrature a cilindro (chiamate così in quanto composte da un cilindro e da diversi pistoncini, brevettate da Yale), probabilmente tra le serrature più comuni.
Prima che la stampante 3D fosse stata inventata, per fare una copia di una chiave uno doveva essere un esperto nell’arte della metallurgia oppure saper come programmare usando una macchina CNC. Oltre a questo, bisognava tenere in considerazione che certi tipi di chiavi potevano non essere duplicabili; era necessario avere “accesso fisico” alla chiave che uno voleva copiare senza considerare molte altre limitazioni. Ovviamente, la stampante 3D ha reso tutto più facile ed economico dato che trasferisce alcuni di questi problemi alla sfera digitale.
Come è possibile creare un chiave attraverso una stampante 3D e realizzare un attacco su di una serratura a cilindro? Ci sono almeno 3 modelli di attacco (o come dicono gli “esperti” del settore, “vettori di attacco”) a cui queste serrature sono vulnerabili.
La prima si chiama “tele-duplicazione” di chiave. I moderni sensori delle videocamere sono dotati di un’alta risoluzione, perciò persino una foto di bassa qualità può contenere le informazioni sufficienti per creare un modello 3D di una chiave e realizzare una replica. Inoltre, le lenti telescopiche moderne sono così avanzate (e relativamente a buone mercato) da poter scattare foto persino da una distanza ragguardevole.
Il secondo modello di attacco si chiama key bumping o bump key, una tecnica per aprire serrature a cilindro che prevede l’uso di una speciale chiave ad urto (o bump key) con profondi tagli. A quanto pare le chiavi da bumping di plastica 3D sono persino migliori di quelle di metallo dato che la plastica produce un urto migliore, è meno rumorosa e il rischio di danneggiare la serratura è minore. Inoltre creare un modello 3D e stampare una chiave di plastica è meno complesso rispetto alla copia delle chiavi di metallo.
Il terzo modo è probabilmente il più interessante: prende di mira le chiavi Passepartout e i sistemi a Master Key ed è stato battezzato da Wurstow Privilage Escalation (inteso come “sorpasso delle autorizzazioni”) dato che assomiglia alla tecnica di computer hacking che porta lo stesso nome. Nei sistemi a Master Key, ampiamente utilizzati da un sacco di aziende, la serratura è compatibile con due chiavi diverse. Per realizzare queste serrature e lucchetti, i fabbricanti usano due set di pistoncini all’interno della serratura. Di solito le cosiddette chiavi Passepartout sono compatibili con una serie di serrature, perché uno dei due set di pistoncini contenuti al loro interno sono identici.
Il problema è che questi set di pistoncini non sono completamente indipendenti. Se il ladro ha una chiave normale che apre una delle serrature in questione, può modificare uno dei suoi tagli e cercare di aprire la serratura. Se non funziona, si avrà bisogno di modificare di nuovo il taglio della chiave e continuare a modificarlo fino a quando il “pistoncino” della chiave Passepartout si trovi nel posto giusto e si apra la serratura. Tutti gli altri tagli funzionano in questa particolare porta perché si adeguano a i pistoncini normali.
In questo modo, uno per uno, gli hacker possono modificare tutti i tagli e ottenere una chiave Passepartout che apra tutte le porte. In questo caso, la stampante 3D può essere particolarmente utile per un hacker dato che questo metodo permette un sacco di tentativi e ognuno di essi richiede un nuovo campione di chiave modificata.
Le chiavi prodotte con le stampanti 3D sono altrettanto valide per l’uso quotidiano? Come mostra uno studio, non tutti i materiali utilizzati dalle stampanti 3D sono abbastanza resistenti, alcuni sono troppo flessibili, altri sono troppo fragili. Tuttavia ci sono certi materiali che sono perfetti per la contraffazione delle chiavi. Inoltre, coloro a cui non convince la plastica, devono sapere che esistono certi servizi di stampanti 3D che offrono la creazione di chiavi in metallo come ottone, acciaio e titanio.
Vale la pena menzionare il fatto che le chiavi create con le stampanti 3D non rappresentano solo un problema da un punto di vista “teorico”. I software per la contraffazione di chiavi che funzionano con la tecnologia delle stampanti 3D sono già in circolazione, perciò lo saranno anche coloro che lo usano. Il caso più ovvio è quello del “leakaggio” che ha interessato la TSA (Transportation Security Administation) e Chiavi Passepartout di molte valigie.
REVEALED: TSA has a master key for your luggage and people are making copies @BI_Video http://t.co/P5bod70zUK pic.twitter.com/oZ9jspPXqB
— Business Insider (@BusinessInsider) September 11, 2015
Quindi che cosa possiamo fare per difenderci? Probabilmente il miglior modo per far fronte a questo problema, che ci interessa sia da un punto di vista “fisico” che “cibernetico”, è adottare la stessa strategia che dovremmo adottare per proteggere i sistemi IT. Pensate alle vostre chiavi, serrature e lucchetti come fossero delle password e trattatele nello stesso modo. Quindi ecco alcuni semplici consigli che non proteggeranno al 100% i vostri lucchetti e serrature ma vi saranno di grande aiuto!
#tips 10 simple rules for passwords https://t.co/9csfPxhHZ8 pic.twitter.com/98UMK5RYdR
— Kaspersky (@kaspersky) December 22, 2015
- Non usare password semplici. Come avete potuto osservare le serrature a cilindro sono piuttosto deboli e vulnerabili; non come le password “123456” o “luca1985”, ma quasi. Se volete una protezione maggiore, scegliete serrature più robuste.
- Usate l’autenticazione a due passaggi. Usare due serrature diverse vi proteggerà di più.
- Non fate sapere a nessuno le vostre password. Tenete le vostre chiavi lontane dalle videocamere e naturalmente non pubblicate mai le foto delle vostre chiavi online. Persino una brutta foto potrebbe essere sufficiente per copiare la vostra foto con una stampante 3D.
- Le chiavi Passpartout sono come delle backdoor inserite nella serratura delle porte della vostra azienda. Evitate di usare queste serrature per porte o stanze dove conservate cose particolarmente sensibili.
- Non fa mai male usare una buona soluzione di sicurezza: i sistemi di allarme possono proteggervi dai ladri se un aggressore è così persistente da superare tutte le misure precedentemente menzionate.