07 settembre 2006

LockPicking: L’arte dello scasso nella sicurezza

LockPicking, l'arte dello scasso

L’arte dello scasso è sempre più legata a doppia mandata alla Sicurezza Informatica, soprattutto se correlata alla sicurezza fisica delle strutture in un ambito di Penetration Test (come recitano sia ISO27001 che OSSTMM).

Se anche voi, come me, avete compilato le vostre applicazioni critiche (utilizzate applicazioni Open Source, vero?) per poter sbirciarne i sorgenti ed accertarvi che tutto sia a posto, sicuramente capirete questa affezione (mania?) che mi contagia…

D’altronde, citanto il modo di dire reso celebre in italia dall’amico Alessio Pennasilico - in arte Mayhem - ricordo a tutti che:

Paranoia is a Virtue

La passione per il LockPicking e l’arte dello scasso non è però una affezione di vecchia data ma risale invece sia dalla conoscenza di talune losche individue (ciao Yv!) che si dilettano da anni a provare l’efficacia delle serrature che stanno per acquistare. Il recente furto della mia ennesima bicicletta ha dato il colpo di grazia alla mia curiosità e scatenato lo studio vero e proprio

C’è da dire che la materia non è certo recente, se è vero che già nel 1991 il celeberrimo MIT pubblicava una guida al Lockpicking (disponibile anche in PDF) che insieme alle indicazioni contenuto nell’Anarchy Cookbook hanno segnato la diffusione nel mondo hacker dello studio della sicurezza dei dispositivi di protezione fisica.

Negli anni la tecnica si è affinata ed oltre allo spettacolare blog di Berry, dall’emblematico nome BlackBag sono proliferate associazioni estremamente competenti e tecniche come la immancabile Toool.us, oltre che articoli introduttivi e concisi ma di particolare interesse per la precisione.

Come in ogni frangente della Sicurezza (non solo informatica) anche il settore delle serrature, dello scasso e delle vulnerabilità ha mostrato il suo lato debole di fronte agli attacchi hacker se è vero che solo attraverso i post su media internazionali si è venuti a conoscenza della presenza di chiavi universali denominate Bump keys del costo di 1 dollaro utilizzate dai criminali di tutto il mondo ma “sconosciute” sembrerebbe da costruttori e soprattutto da utenti finali.
E si che la loro presenza ed il loro studio è presente addirittura in una corposa e precisa presentazione accademica!

Piccoli hacker crescono

Ma come sempre ci sono voluti mezzi di spettacolo per raggiungere l’opinione pubblica, mezzi straordinari come una bimba di 11 anni che alla DefCon di quest’anno ha aperto un lucchetto in pochi secondi senza precedente addestramento ed utilizzando una bump key ed un martelletto…

E per chi voglia quindi dilettarsi e conoscere il problema? Beh, i negozi online sono tantissimi ed il più rifornito è in Germania con un sito in italiano con una vasta scelta di chiavi ad urto (bump keys) e di attrezzistica classica.

Studiate, studiate, studiate: è l’unico modo per non rimanere sguarniti e per conoscere realmente i rischi che si corrono…
E a chi mi dice che certe informazioni non vanno divulgate rispondo come mio solito che queste informazioni sono già di dominio pubblico pressi i disonesti e celate invece a chi se ne dovrebbe preoccupare maggiormente: la gente comune.


Fonte e copyright: http://www.lastknight.com/2006/09/06/lockpicking-larte-dello-scasso-nella-sicurezza/

Una capatina veloce...

Ciao a tutti,
scusate se non c'è niente di nuovo sul blog ma sono alle prese con la tesi ed è un lavoro tutt'altro che facile e veloce... cacchio mi sta impegnando un sacco di forze e di tempo!
In più dall 11 al 23 Settembre sarò alla Scuola Estiva di Fisica Matematica di Ravello, poi vi racconto.
Non ho più tempo nemmeno per dormire...

Per tutti quelli che stanno aspettando gli album fotografici di feset, gite, ... purtroppo dovrete aspettare ancora un pò, probabilmente fino al giorno della laurea. Prometto che appena avrò un giorno libero carico su ogni cosa!!!

Ciao a tutti,
Marcello