SpiKey: attacco a suon di chiave

Le chiavi producono un particolare “click” quando vengono inserite nella serratura. Alcuni scienziati hanno trovato un modo per creare il duplicato di un chiave avendo a disposizione la registrazione di questo suono.

Una serratura è stata, almeno fino ad ora, una barriera di difesa affidabile da eventuali intrusi. Le tecnologie informatiche ci facilitano la vita ma, purtroppo, la rendono più semplice anche a chi non dovrebbe aprirle certe porte (e non stiamo parlando di gatti). Grazie alle stampanti 3D, creare un duplicato di una chiave è ora molto più facile ma, naturalmente, per la stampa è necessaria almeno un’immagine di buona qualità dell’originale.

Alcuni ricercatori di Singapore hanno da poco pubblicato uno studio su Spikey, un attacco che consente di aprire serrature senza aver bisogno dell’immagine della chiave originale. Basta soltanto servirsi di uno smartphone per registrare i suoni che emette la chiave all’entrare nella serratura.

Dal “click” alla chiave

L’attacco riguarda le serrature pin tumbler, le più comuni oggi. Il meccanismo si basa su un cilindro da girare per bloccare o aprire la porta. Il cilindro è composto di diversi pioli (o pin), caratterizzati da due parti dalle lunghezze diverse che rimangono in posizione grazie a delle molle.

Quando non è inserita la chiave, i pin riempio o completamente il cilindro e la loro parte esterna fa sì che il cilindro non possa girare. La chiave giusta, con la sua forma adatta, muove i pioli affinché il limite tra le due parti coincida con il bordo del cilindro, che ora potrà girare. Il segreto della chiave giusta è la profondità delle sue scanalature, che determinano la posizione dei pioli.

Una chiave all’interno di una serratura pin tumbler. Fonte

Quando viene inserita la chiave nella serratura, i pioli si muovono seguendo la forma della chiave: si alzano quando si presenta la sporgenza tra le scanalature e poi riscendono. Quando i pioli riscendono, producono un suono, una specie di click.

Misurando il tempo tra un click e l’altro, gli scienziati sono stati in grado di determinare la distanza tra le sporgenze sulla chiave. Tuttavia, questo metodo non serve a determinare la variabile più importante: la profondità delle scanalature, ma almeno ci si può fare un’idea della forma della chiave. Grazie a questa tecnica, i ricercatori sono riusciti a individuare i modelli di chiave che si avvicinavano di più a quella originale.

SpiKey: perché è un attacco pericoloso?

Un malintenzionato non può sfruttare l’attacco Spikey per creare una copia fedele della chiave originale. Tuttavia, c’è un altro aspetto da considerare: le chiavi non sono davvero mai casuali. Incrociando i dati sulla distanza tra le sporgenze e i requisiti delle chiavi a sei pioli prodotte da Schlage, i ricercatori sono riusciti a passare da circa 330 mila possibili chiavi a un numero davvero ridotto di modelli. Chi avesse intenzione di perpetrare l’attacco, potrebbe stampare solo 5 varianti di chiave con una stampante 3D e provarle tutte: una di queste quasi sicuramente aprirà la serratura.

Niente panico

Come la maggior parte degli attacchi sviluppati in laboratorio, SpiKey ha i suoi lati negativi ed è improbabile che i ladri eseguano un attacco di questo tipo nel prossimo futuro.

Innanzitutto, per eseguire un attacco del genere, bisogna conoscere la casa produttrice della serratura. Ogni azienda ha diversi requisiti per le proprie chiavi e i ladri dovrebbero elaborare una strategia efficace che vada bene in varie situazioni, il che è molto complicato. Vale anche la pena di ricordare che non tutte le serrature sono di tipo pin tumbler, vi sono altre alternative anche molto diffuse.

In secondo luogo, se due o più pioli fanno click allo stesso tempo, l’attacco non va in porto. Ciò vuol dire che, anche se si tratta del tipo giusto di serratura, non c’è garanzia che si possa trovare la chiave che vada bene con una determinata serratura. I ricercatori hanno scoperto che oltre la metà delle serrature Schlage è vulnerabile all’attacco ma la percentuale potrebbe cambiare per altre marche.

In terzo luogo, l’esperimento dà per scontato che l’inserimento della chiave nella serratura avvenga a una certa velocità e senza pause. Sebbene possibile, si tratta comunque di un’eventualità poco probabile nel mondo reale.

Come proteggere la vostra casa (o qualsiasi altro posto che vi stia a cuore) dai ladri

L’attacco SpiKey potrebbe essere un passo in avanti che, a lungo termine, potrebbe aiutare ladri e malintenzionati. Ecco cosa fare per difendervi:

  • Utilizzate diverse serrature e preferibilmente di tipologie differenti. Anche se un ladro dovesse creare una chiave per la prima serratura, le altre potrebbero dissuaderlo;
  • Implementate ulteriori sistemi di sicurezza. Sul mercato ci sono tante tipologie di allarmi e altre tecnologie adatte a ogni esigenza, dai sistemi più semplici ad altri molto elaborati;
  • Proteggete i vostri dispositivi, affinché nessuno possa hackerare il microfono o le funzionalità della fotocamera.
Consigli