Znanost in tehnologija

Spodrsljaj varnostne agencije: 'Za kopijo česarkoli potrebujemo le fotografijo, 3D-tiskalnik in nekaj iznajdljivosti’

Arlington, 11. 09. 2015 12.19 |

PREDVIDEN ČAS BRANJA: 4 min

V času, ko je 3D-tiskalnik nekaj vsakdanjega, je za izdelavno dvojnika ključa dovolj že fotografija originala. Zato strokovnjaki za varnost vedo, da je nespametno fotografirati pomembne ključe. A ravno to je storila ameriška agencija, ki skrbi za varnost na letališčih, fotografija pa je seveda prišla v javnost.

Ključavnice za prtljago, ki jih je za varne potrdila agencija, so z objavo ene same fotografije postale popolnoma ranljive.
Ključavnice za prtljago, ki jih je za varne potrdila agencija, so z objavo ene same fotografije postale popolnoma ranljive. FOTO: Thinkstock

Na ameriških letališčih za varnost skrbi agencija Transportation security administration (TSA). Podjetja, ki izdelujejo ključavnice za prtljago, lahko izdelajo ključavnice po navodilih agencije, na ključavnicah pa je tako zapisano, da so potrjene s strani TSA. To naj bi za uporabnika pomenilo, da je ključavnica narejena po visokih varnostnih standardih. Hkrati pa agenciji, ki je lastnica glavnega ključa, ki odpira vse tovrstne ključavnice, omogoča, da v nujnih primerih na letališču z glavnim ključem odklene ključavnice in pregleda kovček.

Čeprav varnostna agencija, je TSA te dni sama prejela močno varnostno lekcijo. Namreč v dobi, ko je 3D tiskanje že zelo razširjeno, je precej nespametno svoje glavne ključe, ki odpirajo ključavnice, katerih uporabo priporočiš milijonom ljudi, fotografirati in objaviti v javnih medijih.

Če imate set ključev, ki lahko odklenejo ključavnice, za katere ste prosili milijone ljudi, naj jih uporabljajo zaradi večje varnosti, potem je najbrž precej nespametno njihovo fotografijo objaviti na spletu.

Skupina navdušencev nad varnostjo in vlomom v ključavnice je v sredo na spletni strani za deljenje kode in gradnjo programske opreme Github objavila zbirko CAD datotek. Te datoteke lahko uporabi kdorkoli in natisne natančno izmerjen set glavnih ključev za odpiranje s strani TSA potrjenih ključavnic. V nekaj urah od objave je vsaj en lastnik 3D tiskalnika na svoj računalnik naložil omenjene datoteke, enega izmed glavnih ključev pa natisnil in nato objavil posnetek, v katerem je pokazal, da odpre njegovo s strani TSA potrjeno ključavnico.

Prejšnji mesec je Washington Post v članku o "skrivnem življenju prtljage" na letališčih nenamerno objavil (in nato hitro zbrisal) fotografijo glavnih ključev. Fotografija je takoj zakrožila po spletu, in tako to, da so jo hitro zbrisali s svoje strani, ni več imelo nobenega vpliva, bilo je prepozno.

Fotografije so takoj uporabili za natančne meritve glavnih ključev. Natančne mere pa lastnikom 3D tiskalnika ali rezkalnega stroja omogočajo, da v nekaj minutah izdelajo svojo kopijo.

"Iskreno, nisem pričakoval, da bo delovalo, čeprav sem skušal biti čim bolj natančen. To sem storil za zabavo," je zapisal Xylitol, uporabnik Githuba, ki je objavil datoteke. Xylitol, ki naj bi bil iz Francije, ni želel razkriti svojega imena. "Toda če bo kdo pisal o tem, da moji 3D modeli delujejo, no, to bi bilo super in bi pokazalo, kako preprosta fotografija seta ključev lahko ogrozi celotni sistem," je povedal za Wired.

Čeprav je Xylitol opozoril, da sam ni preizkusil CAD datotek, je administrator večopravilnega večuporabniškega računalniškega operacijskega sistema Unix Bernard Bolduc le nekaj ur kasneje potrdil, da datoteke delujejo. Buldoc je povedal, da je v petih minutah natisnil enega izmed ključev na svojem 3D-tiskalniku, za to je uporabil poceni plastiko in takoj odprl eno izmed svojih s strani TSA potrjenih ključavnic za prtljago. "Delovalo je v prvem poskusu," je povedal za Wired.

Povedal je tudi, da ne ve, katere znamke je ključavnica za prtljago, ki jo je odprl, a ima na dnu zapis TSA. Nevarnost torej obstaja za več znamk, saj glavni ključi, katerih dimenzije so prišle v javnost, vključujejo tiste, ki odprejo vse s strani TSA odobrene ključavnice, ki so jih izdelala različna podjetja, kot so Master Lock, Samsonite in American Tourister.

Transportation security administration (TSA) je varnostna agencija, ki na letališčih izvaja varnostne preglede.
Transportation security administration (TSA) je varnostna agencija, ki na letališčih izvaja varnostne preglede. FOTO: Reuters

Seveda nobeno od teh podjetij ni krivo, saj so le sledili navodilom izdelave, ki jih je izdala TSA. Glavno varnostno nepremišljena napaka so storili TSA in Washington Post, ki je na svoji spletni strani objavil fotografije.

Strokovnjaki za varnost že dolgo vedo, da je objavljanje fotografij pomembnih ključev nekaj, česar se ne počne. Raziskovalci namreč že vrsto let opozarjajo, da je za to, da nekdo naredi dvojnik ključa, dovolj že fotografija originala in to celo, če je ta fotografiran z razdalje kar 60 metrov.

Githubova objava datotek o tisku TSA ključev bi naj uporabnikom teh ključavnic dokazala, da jim le-te ne nudijo več prav veliko varnosti, je povedal eden izmed tistih, ki so dešifrirali fotografijo glavnih ključev.

"Živimo v času, ko za to, da naredimo kopijo skoraj česarkoli na svetu, potrebujemo le fotografijo, 3D-tiskalnik in nekaj iznajdljivosti," je dejal Shahab Sheikhzadeh, varnostni strokovnjak iz New Jerseya.

Blaze je še povedal, da ta nespametno objavljena fotografija kaže, kako hitro se lahko tehnični spodrsljaj sprevrže v resno grožnjo varnosti. Povedal je še, da bi TSA morala biti pametnejša in vedeti, da ne sme dovoliti fotografiranja glavnih ključev.

  • 8
  • 7
  • 6
  • 5
  • 4
  • 3
  • 2
  • 1

KOMENTARJI (7)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Mb128
21. 09. 2015 14.40
Ne pretiravat, lepo vas prosim! Obstajajo namreč ključi in KLJUČI. Jaz imam enega takega. Če ne predložim ustrezne kartice mi ne morejo narediti duplikata.
Mb128
21. 09. 2015 14.40
Ne pretiravat, lepo vas prosim! Obstajajo namreč ključi in KLJUČI. Jaz imam enega takega. Če ne predložim ustrezne kartice mi ne morejo narediti duplikata.
rissp1
19. 09. 2015 10.09
+1
Sem že sam uspel po SLIKI ROČNO narediti ključ, seveda za navadno 5 pinsko ključavnico. Obstaja tudi javno dostopen software ki ti avtomatsko izračuna globino PINov ter vrsto ključa (sicer samo za klasične 5pinske ključavnice). In si kupiš blank ključ in ga zbrusiš. Na žalost ga pri ključavničarjih ter v velikih prodajalnah kjer izdelujejo kopije ključev nočejo narediti če jim poveš globino, trdijo da delajo samo kopije že narejenih. Toda v 30min ga doma z najcenejšim kompletom brusilk sam narediš (potrebueš le malo trikotno ter okroglo). Vem iz PRVE roke, pa nisem noben vlomilec, nisem nikoli tega izkoristil. To je najlažja pot do odklenitve klasičnih 5pinskih kličavnic, še lažja kot uporaba bumpKey-ov (ki so ključi, izbrušeni na globino 10, vseh 5 pinov, konec ključa je za milimeter odpiljen , ga porineš v klljučavnico do konca, potegneš ven za 1 pin, ter zelo rahlo pritisneš v smer odklepanja, med pritiskom z kladivcem (gumijastim) udariš po njem in tisti trenutek malo močneje zasučeš kot si prej pritiskal). Ko enkrat zvadiš timing, lahko z bumb key-em odkleneš 80% 5pinskih ključavnic. Brez kakršnihkoli lock-pickov (ki pa jih lahko komot izdelaš sam ,jaz sem jih sprintal na papir v pravi velikosti, izstrigel s škrajami, nato nalimal na žago (list ročne žage za železo) in sem s fleksarco počasi izpilil obliko, potem lepo še s šmirglpapirjem obdelal. In sem si v enem dnevu naredil cel komplet, ki na netu stane 100€, skupaj s tension-wrenchi), ki sem jih naredil iz imbus ključev (enostavno zbrusiš mali imbus klljuč, najbolje tiste v z obliki, samo en rob spiljiš da je tanek točno tako da gre na vrhu v ključavnico. Le-tega uporabiš za pritisk, medtem ko z lockpickom najprej posusiš rejkanje (rineš ven in noter picklock oblike "snake" , če to ne prime (prime v 50% primerih, pri lažjih ključavnicah), če ne prime poskusiš z obliko half-diamond ali polkrogom, vsak pin posebej. najdeš pin, ga rineš dol in gor počasi, medtem na rahlo tiščiš tension-wrench. Ko bo pin na pravi višini, boš začutil kako tensionwrench premakne malo levo (oz v smer v katero jo čisto narahlo tiščiš. In greš na naslednji pin. Vendar to z lockpicki vzame veliko časa, preden zvadiš občutek v rokah, še posebej če se ti tresejo. Tako , da najbolje je slikati ključ ter ga doma narediti (30min dela). Na hackersih konferencah imajo posebne delavnice za fizične ključavnice, tam lahko komot vadiš z najboljšimi orodji ali pa si sam izdelaš orodje, imajo pa skoraj vse države tudi klube lock-pickarjev, nekoč me je društvo iz nizozemske prosilo če jim pošljem TITAN ključavnice ter ključe, ker tam štejejo za eksotične, hkrati pa za bolj profi, težje odklenljive Tako da tole s slikanjem ključa je STARA ZGODBA, že pred skoraj 10 leti smo slikali ključe in jih naredili po sliki, ter imeli na voljo software za avtomatski izračun na podlagi slike. Le brez 3D printerjev, pilili smo na roke. IN , DA NE BO POMOTE, TO NIMA NOBENE VEZE Z VLAMLJANJEM, S KRIMINALOM, SPADA POD KATEGORIJO VARNOST, DOLOČENE FIRME POLEG PREVERJANJA VARNOSTI Z AKTIVNO PENETRACIJO (IT VARNOSTI) NAROČIJO TUDI PREVERBO FIZIČNE VARNOSTI . ZA TO GRE , NE ZA KRIMINAL.
mastablasta
15. 09. 2015 15.20
+1
ene 4x ali petkrat je eno in isto napisano v članku. prav tako....: "večopravilnega večuporabniškega računalniškega operacijskega sistema Unix " - tudi windows je večopravilni večuporabniški rač. OS. pa ne vem če se unix kje še uporablja (razen na kakih zelo starih strežnikih). Ali je bil BSD ali pa GNU/Linux. GNU/Linux pa ni unix.v glavnem povsem nepotrebno dejstvo.
AlternativeFacts
11. 09. 2015 14.49
-6
Neverjame v to, ker bi morala biti slika v 1:1 razmerju in zajemati bi morala vsaj 2 strani ključa, kar pa je nemogoče.....
brusilec
13. 09. 2015 21.02
+2
Pikolo moj... ti je moralizator vse povedal.. vse kar potrebuješ je ena fotka pod pravim kotom.. potem pa malo uporabljanja možganov in pa tehnike. meni osebno gre na živce ker skoz povdarjajo to 3d tiskanje.. sej se z frez mašino da narediti bolj natančno in iz močnejših materialov
yarrick
11. 09. 2015 14.33
+4
še eden izmed(pre) mnogih kiksov TSA...