2013. augusztus 3., szombat

A 21.század üt rést a pajzsunkon.....

A pénteki Hackers On Planet Earth néven futott, New Yorkban megtartott konferencián egy német hacker hívta fel a figyelmet a karperecek egy biztonsági réséről.



Meglehetősen rendhagyó témát feszegetett egy németországi hacker az múlt héten megtartott Hackers on Planet Earth (HOPE) nevű rendezvényen. Az előadó nem egy virtuális, hanem egy való világbeli biztonsági kockázatra hívta fel a közönség figyelmét. A biztonsági rés a rendőrség és egyéb rendvédelmi szervek által használt, klasszikus bilincseket érinti: ezeket az eszközöket a mai napig hagyományos zárakkal és kulcsokkal látják el, amik a 3D-s nyomtatási technológiának köszönhetően könnyen és költséghatékonyan reprodukálhatóak.
Hogy bizonyítsa állítását, a csak „Ray”-ként ismert biztonsági konzulens két gyártó – a német illetőségű Bonowi, valamint az angol székhelyű Chubb – termékén mutatta be, hogy mennyire könnyen is nyithatóak a műanyag kulcsokkal ezek a karperecek. Az alapvető probléma, hogy ezekhez a sorozatgyártással készülő bilincsekhez egy adott rendőrség minden tagjának van egy kulcsa (ergo, az egyik rendész bilincsre verhet egy gyanúsítottat, míg egy másik akár szabadon is engedheti őt), aminek tükrében egy minta megszerzése egy replika megalkotásához egyáltalán nem számít lehetetlen kihívásnak. Ray beszédében rávilágít arra, hogy minden gyártó bilincséhez ugyanaz a specifikus kulcs tartozik – amíg ezen nem változtatnak (mondjuk úgy, hogy egy adott bilincshez csak korlátozott számú, egyedi kulcs tartozik), addig a probléma továbbra is a levegőben fog lógni. Az említett két cég karperecei annyival különlegesebbek egy rendőrségi kiegészítőket árusító boltban található alternatívától, hogy a termékeiket csak és kizárólag tőlük lehet megrendelni, továbbá a hozzájuk tartozó kulcsokat rögtön az ügyfél kezébe adják.
 
 
 
 
Ray beszámolójában elmondta, hogy a bemutatóhoz a Chubb-márkás kulcsot az eBayről szerezte be (állítása szerint időszakonként megjelenik egy-egy darab), a Bonowi kulcsot pedig egy megnevezni nem kívánt forrásból kapta meg. A bevásárlás után pontosan megmérte a két zárnyitót, majd a kapott adatok alapján egy-egy CAD-modellt készített róluk, ami alapján aztán egy Repman 3D-nyomtató és egy lézervágó segítségével elkészítette a tárgyakat. A kulcsok ABS-műanyagból készültek; a beszámoló szerint az alkotó plexiüvegből is elkészítette a kulcsokat, ám azok a bilincsek biztonsági mechanikája miatt túl gyengének bizonyultak a zárfeltöréshez. Apropó zárfeltörés: az előadás után egy tolvajkulcsárustól bárki megvásárolhatta a bemutatott darabokat és azok másolatait, mindössze négy dollárért.
Az előadást tartó szakember ígéretet tett arra, hogy az által készített CAD-fájlok még a héten, a kifejezetten zárfeltöréssel foglalkozó konferencia (LockCon) előtt felkerülnek a 3D-s nyomtatási rajzokkal foglalkozó Thingiverse oldalára.
 
 
 
 
Ray – aki amellett, hogy biztonsági tanácsadó, a német rendőrségnél is dolgozik – kifejtette, hogy azzal, hogy felfedi a bilincsek biztonsági hibáit, nem az a célja, hogy degradálja azok megbízhatóságát. A másoláshoz felhasznált eszközök már rég a bűnözök tulajdonában vannak: „Ha valaki meg akar szökni a börtönből vagy a bíróság elől, azt a mi segítségünk nélkül is megteheti. Mi csak figyelmeztetjük mindenkit, mind a rendőröket, mind a hackereket” – nyilatkozta. A továbbiakban kijelenti, hogy ugyan a rendőrtiszteket úgy képezték ki, hogy folyamatosan figyeljék a megbilincseltet, ha úgy gondolják, hogy stabilan rögzítve van a fogoly, beleeshetnek abba a hibába, hogy erről megfeledkeznek. Egy másik veszélyforrás még, hogy a műanyag minden gond nélkül átvihető a reptereken található fémdetektorokon.
 
 
 
 
A HOPE-on tartott demonstrációja nem az első volt Raynek: 2009-ben egy hasonló témájú holland konferenciára szintén legyártott egy műanyag replikát a rendőrség által használt bilincsek kulcsából, ám az ottani hatóságot nem igazán érdekelte a biztonsági rés ténye. Beszédének zárásaként elmondta, hogy hisz abban, hogy munkájával rávilágít egy igazán súlyos problémára, nem pedig egy újabbat generál vele: „Akik egy nagyobb ügyért küzdenek, azoknak nem számít az ár. A bűnözőket sem érdekli, hogy egy kulcsot egy dollárért vagy százért tudnak lemásolni, ha ezzel elérhetik céljukat. A zárak biztonságát már rég feltörték, amit én csináltam pusztán annyi, hogy könnyebbé tettem ezt a folyamatot.”
 
 
Forrás: itcafe.hu

Nincsenek megjegyzések:

Megjegyzés küldése