Sistemi di Elaborazione dell'Informazione (Sicurezza su Reti)
Falso senso di sicurezza: le serrature Master-Keyed
a cura di Attilio Stanziale Prof. Alfredo De Santis



  1. Introduzione
  2. Le Serrature Meccaniche
    1. Le Serrature Pin Tumbler
    2. Le Serrature Master-Keyed
  3. Dedurre la Master Key
    1. L'Attacco
    2. Considerazioni Pratiche
    3. Contromisure
  4. La Pubblicazione del Lavoro
  5. Conclusioni
  6. Glossario
  7. Bibliografia

D.I.A.

Università di Salerno

(4) La Pubblicazione del Lavoro


La tecnica descritta da Blaze sicuramente non è nuova, infatti, anche se non ne esistono esempi nella letteratura delle serrature, alcune sue varianti sono utilizzate da anni da fabbri e criminali e su internet è possibile trovare attacchi simili precedenti anche di 15 anni rispetto alla pubblicazione di Blaze come il seguente:

From gwyn@brl-smoke.arpa (Doug Gwyn) 12-Nov-1987 17:36:05
Subj: [1137] Re: mastered systems

"...
Obtain one extra key blank per pin column (7 for the typical institutional Best lock); duplicate the operating key except for one column on the blanks, omitting a different column on each blank. Then, for each blank, try it with the omitted column cut to number 0 (high), then 1, then 2, ... and record which bittings open the lock. That tells you what the splits are in that column. The whole set of trials tells you what all the splits are in all columns.
..."
Quindi Blaze ha solo il merito di essere stato il primo a pubblicare un articolo sulle serrature master-keyed e sul metodo per sfruttare le loro vulnerabilità, spiegando dettagliatamente ed in modo rigoroso i concetti alla base di questo attacco.
Per la gravità della questione, Blaze e la AT&T nel 2002 decisero di inviare il loro lavoro a tutte le autorità americane e successivamente anche ad altri colleghi, ponendosi il problema se fosse il caso o meno di pubblicare la loro ricerca.
Nel frattempo su internet cominciarono a circolare alcuni dettagli che ben presto arrivarono ad un reporter del New York Times, John Schwartz, che il 23 gennaio 2003 ne fece un articolo. A questo punto, non potendo più tenere nascosta la vulnerabilità, si decise a favore della pubblicazione del lavoro, per portarlo all'attenzione di tutta la comunità.
Dopo l'articolo del New York Times, Blaze ricevette numerose lamentele dai produttori di serrature, secondo i quali, tutti gli addetti ai lavori erano già a conoscenza dell'argomento e quindi pubblicandolo l'aveva solo fatto conoscere ai malintenzionati, che non l'avrebbero dovuto sapere. Oltre a queste, ricevette anche parecchi commenti positivi di esperti di sicurezza industriale che erano sempre stati tenuti all'oscuro di questa vulnerabilità.
Questo dimostra che nel mondo delle serrature è ancora in vigore la nozione del security through obscurity, secondo la quale è preferibile mantenere segrete le informazioni di un sistema di sicurezza per non dare vantaggi agli eventuali attaccanti. Questo è in netto contrasto con quello che sosteneva ben 150 anni fa Hobbs, uno dei più importanti inventori di serrature del 19° secolo:

"...
A commercial, and in some respects a social doubt has been started within the last year or two, whether or not it is right to discuss so openly the security or insecurity of locks. Many well-meaning persons suppose that the discussion respecting the means for baffling the supposed safety of locks offers a premium for dishonesty, by showing others how to be dishonest. This is a fallacy. Rogues are very keen in their profession, and know already much more than we can teach them respecting their several kinds of roguery.

Rogues knew a good deal about lock-picking long before locksmiths discussed it among themselves, as they have lately done. If a lock, let it have been made in whatever country, or by whatever maker, is not so inviolable as it has hitherto been deemed to be, surely it is to the interest of honest persons to know this fact, because the dishonest are tolerably certain to apply the knowledge practically; and the spread of the knowledge is necessary to give fair play to those who might suffer by ignorance.

It cannot be too earnestly urged that an acquaintance with real facts will, in the end, be better for all parties. Some time ago, when the reading public was alarmed at being told how London milk is adulterated, timid persons deprecated the exposure, on the plea that it would give instructions in the art of adulterating milk; a vain fear, milkmen knew all about it before, whether they practiced it or not; and the exposure only taught purchasers the necessity of a little scrutiny and caution, leaving them to obey this necessity or not, as they pleased.
..."
Tratto da A.C. Hobbs (Charles Tomlinson, ed.), Locks and Safes: The Construction of Locks. Pubblicato da Virtue & Co., Londra, 1853.

Sostanzialmente egli sosteneva che, se una serratura non era così inviolabile come si credeva, era giusto farlo sapere alle persone oneste che la usavano o che l'avrebbero comprata, anche perché i disonesti ne erano sicuramente già a conoscenza. Questo concetto nel campo informatico viene definito full disclosure ed indica che il modo migliore per ottenere un sistema sicuro è rendere pubblici tutti i dettagli e permettere agli esperti di analizzare ed attaccare il sistema stesso, in modo da evidenziarne i difetti.
La full disclosure deriva da un principio largamente riconosciuto in campo informatico detto "legge di Kerckhoffs" che dichiara che "un sistema crittografico dovrebbe essere sicuro anche se ogni cosa che riguarda il sistema, ad eccezione della chiave, è di pubblico dominio". Il ragionamento che sta alla base della "legge di Kerckhoffs" è il seguente: se l'algoritmo crittografico deve rimanere segreto per rendere sicuro tutto il sistema (security through obscurity), allora il sistema stesso risulta essere più fragile, poiché la sicurezza verrebbe minata nel caso in cui l'algoritmo finisse in mani nemiche. In pratica, il sistema risultante sarebbe meno sicuro, per il semplice fatto che vi sarebbero più segreti da mantenere: se l'algoritmo, il protocollo o l'implementazione devono essere tenuti segreti, allora tutto questo farà parte della chiave e dovrà essere trattato come tale. Se invece solo la chiave deve essere segreta, tutto il resto lo si deve presumere di pubblico dominio. E' da notare che la "legge di Kerckhoffs" non menziona l'effettiva pubblicazione di algoritmi e protocolli, ma soltanto che non deve esistere alcun impedimento legato alla sicurezza che sbarri la strada alla pubblicazione. Inoltre, si ottiene un enorme beneficio dalla pubblicazione, grazie alla cosiddetta "peer review", cioè la revisione tra esperti, per esaminare accuratamente un sistema. La quasi totalità dei sistemi crittografici sicuri sono stati sviluppati con algoritmi e protocolli di pubblico dominio.
Nel caso delle serrature, è relativamente facile per chiunque ottenere un qualsiasi modello che si voglia studiare per poterne trovare delle vulnerabilità. Questo implica che la sicurezza da "oscurità" verrà meno inevitabilmente e che un utente medio, non esperto di serrature, non potrà prendere decisioni in modo consapevole in merito alla sua sicurezza.
[torna su]


Valid CSS Valid HTML 4.01 Strict