07 settembre 2006

LockPicking: L’arte dello scasso nella sicurezza

LockPicking, l'arte dello scasso

L’arte dello scasso è sempre più legata a doppia mandata alla Sicurezza Informatica, soprattutto se correlata alla sicurezza fisica delle strutture in un ambito di Penetration Test (come recitano sia ISO27001 che OSSTMM).

Se anche voi, come me, avete compilato le vostre applicazioni critiche (utilizzate applicazioni Open Source, vero?) per poter sbirciarne i sorgenti ed accertarvi che tutto sia a posto, sicuramente capirete questa affezione (mania?) che mi contagia…

D’altronde, citanto il modo di dire reso celebre in italia dall’amico Alessio Pennasilico - in arte Mayhem - ricordo a tutti che:

Paranoia is a Virtue

La passione per il LockPicking e l’arte dello scasso non è però una affezione di vecchia data ma risale invece sia dalla conoscenza di talune losche individue (ciao Yv!) che si dilettano da anni a provare l’efficacia delle serrature che stanno per acquistare. Il recente furto della mia ennesima bicicletta ha dato il colpo di grazia alla mia curiosità e scatenato lo studio vero e proprio

C’è da dire che la materia non è certo recente, se è vero che già nel 1991 il celeberrimo MIT pubblicava una guida al Lockpicking (disponibile anche in PDF) che insieme alle indicazioni contenuto nell’Anarchy Cookbook hanno segnato la diffusione nel mondo hacker dello studio della sicurezza dei dispositivi di protezione fisica.

Negli anni la tecnica si è affinata ed oltre allo spettacolare blog di Berry, dall’emblematico nome BlackBag sono proliferate associazioni estremamente competenti e tecniche come la immancabile Toool.us, oltre che articoli introduttivi e concisi ma di particolare interesse per la precisione.

Come in ogni frangente della Sicurezza (non solo informatica) anche il settore delle serrature, dello scasso e delle vulnerabilità ha mostrato il suo lato debole di fronte agli attacchi hacker se è vero che solo attraverso i post su media internazionali si è venuti a conoscenza della presenza di chiavi universali denominate Bump keys del costo di 1 dollaro utilizzate dai criminali di tutto il mondo ma “sconosciute” sembrerebbe da costruttori e soprattutto da utenti finali.
E si che la loro presenza ed il loro studio è presente addirittura in una corposa e precisa presentazione accademica!

Piccoli hacker crescono

Ma come sempre ci sono voluti mezzi di spettacolo per raggiungere l’opinione pubblica, mezzi straordinari come una bimba di 11 anni che alla DefCon di quest’anno ha aperto un lucchetto in pochi secondi senza precedente addestramento ed utilizzando una bump key ed un martelletto…

E per chi voglia quindi dilettarsi e conoscere il problema? Beh, i negozi online sono tantissimi ed il più rifornito è in Germania con un sito in italiano con una vasta scelta di chiavi ad urto (bump keys) e di attrezzistica classica.

Studiate, studiate, studiate: è l’unico modo per non rimanere sguarniti e per conoscere realmente i rischi che si corrono…
E a chi mi dice che certe informazioni non vanno divulgate rispondo come mio solito che queste informazioni sono già di dominio pubblico pressi i disonesti e celate invece a chi se ne dovrebbe preoccupare maggiormente: la gente comune.


Fonte e copyright: http://www.lastknight.com/2006/09/06/lockpicking-larte-dello-scasso-nella-sicurezza/

2 commenti:

Limp ha detto...

E per fortuna non avevi tempo di scrivere!!!
Vabbè che hai fatto copia e incolla....

Cmq interessante questa notizia. Sono d'accordo, la diffusione di certe informazioni sono positive, almeno conoscendo il nemico siamo consapevoli del rischio...forse...bo...speriamo...

Dott. Marcello Seri ha detto...

Purtroppo per tante persone lasciare queste notizie in circolazione vuol dire essere criminali, al pari di chi poi queste tecniche le usa per portarti via tutto.

Sono sempre stato dell'opinione che l'informazione debba essere libera ed accessibile a tutti. Purtroppo spesso anche le cose più utili ed in principio lontane dall'illegaglità possono essere usate per scopi del tutto illeciti. In questo caso è evidente che lo scasso è nella maggioranza dei casi un illecito, ma preferisco lasciare queste notizie in prima pagina e far sapere a tutti i rischi che corrono per poter cercare delle difese adatte piuttosto che fare finta di nulla e pubblicare l'articoletto su quanto siano belli i lucchetti delle biciclette.

Vi siete mai chiesti, se vi hanno rubato la bicicletta, come hanno fatto senza tagliare la catena? Credete veramente che abbiano usato le forcine per i capelli? Ci sono metodi più efficaci e veloci delle forcine, adesso sapete che certi tipi di lucchetti sono facilemte vulnerabili per cui è bene usare qualcosaltro.

Se poi ritenete che saperlo sia offensivo allora scusatemi ma io non cambio stile, se non vi piace sapere che non è tutto oro quello che luccica non passate più da queste parti perché capiterà spesso di trovare cose come questoarticolo che offendono (ancora non capisco perché) la vostra sensibilità.

Scusate lo sfogo, non ho nemmeno tempo di rileggere il commento.

Spero di farmi risentire presto,
Marcello