Uma coisa que você não deve saber sobre hackers é que, além de invadir sistemas virtuais, muitos curtem hackear coisas do mundo real também. Uma coisa que os interessa em particular são sistemas de bloqueio. Por exemplo, concurso de abrir fechaduras e conversas relacionadas são algo comum nas conferências sobre segurança como a DEF COM ou Chaos Community Congress.
Na recente conferência 32C3 em Hamburgo, Eric Wustrow, professor da Universidade do Colorado, apresentou um relatório descrevendo como impressoras 3D podem ser usadas para forjar chaves. Para ser mais preciso, forjar chaves de fechaduras com tambores de pinos, o sistema mais comum.
Antes de a impressão 3D ser inventada, para fazer uma cópia da chave era necessário ter habilidades em metalurgia ou ao menos programação em ferramentas de máquina CNC. Além disso, restrições incluem disponibilidade de chaves em branco, acesso físico a chave a ser forjada e outras limitações do mundo físico. Obviamente, as impressoras 3D tornam tudo mais fácil e barato, tranferindo alguns problemas para o plano digital.
Mas como exatamente uma chave impressa em 3D pode ser usada? Há pelo menos três modelos de ataque (ou como é dito no mundo de cibersegurança, “vetores de ataque”) aos quais esse tipo de fechadura é vulnerável.
Primeiro de tudo, é a teleduplicação da chave. Sensores de câmeras modernas possuem grande resolução, então até uma foto digital ruim pode conter informação mais do que suficiente para produzir uma réplica com uma impressora 3D. Além disso, lentes telescópicas modernas são tão boas (e relativamente baratas) que essa foto pode ser tirada de uma distância impressionante.
O segundo modelo é o forçar a fechadura, uma técnica que envolve o uso de chaves feitas especificamente para “arrombar” a fechadura com cortes profundos e alguns truques. No fim, essa chave plástica 3D impressa pode ser até melhor que as de metal, já que as plásticas fazem menos barulho e diminuem o risco de danificar a fechadura. É claro que imprimir uma chave plástica é bem mais fácil do que mexer com metalurgia.
O terceiro cenário é provavelmente o mais interessante: tem por objetivo um sistema de chave mestra chamados por Wustow de “privilégio progressivo” como a técnica de hacking de computadores. A ideia central dos sistemas de chave mestre, usada amplamente por empresas, é fazer a fechadura “compatível” com duas chaves diferentes ao mesmo tempo. De modo a obter isso, fabricantes de fechaduras usam dois grupos de pins dentro da fechadura. Normalmente a chave mestra é compatível com várias fechaduras, já que uma das séries de pinos é feita para combinar com a chave mestra.
O problema é que as séries de pinos não são independentes. Se o hacker possui uma chave comum que abre uma das fechaduras em questão, eles podem modificar os cortes e tentar abrir a fechadura. Se não funcionar, o corte precisa ser modificado novamente, até que uma chave funcione, e a fechadura se abra. Todos os outros cortes estariam corretos para essa porta, pois eles ainda estarão de acordo com os pinos regulares.
De certa forma, um por um, o hacker pode modificar todos os cortes de modo a obter uma chave que abra todas as portas como resultado. Nesse caso a impressão 3D pode ser especialmente útil já que cada tentativa envolve uma nova amostra de chave.
No entanto, são boas as chaves impressas em 3D? Como mostra o estudo, nem todas as substâncias utilizadas são fortes o suficiente -algumas são flexíveis, outras muito frágeis. Porém há com certeza matérias primas fortes o suficiente para forjar chaves. Além do mais, para quem acha que plástico não vai funcionar, existem serviços de impressão em 3D que oferecem impressão em metais como cobre, aço e até titânio.
Vale a pena mencionar que as chaves 3D não são só um problema teórico. O software para a impressões já está por aí, então o problema são as impressoras em si. O caso mais óbvio é o vazamento de chaves mestra TSA. Há alguns meses, alguém postou uma imagem de uma coleção de chaves TSA na internet – modelos 3D imprimíveis apareceram imediatamente. E agora qualquer um pode baixar e imprimir sua própria coleção.
O que podemos fazer para nos defender? Provavelmente, a melhor forma de abordar esse problema ciber-fisico é implementar a mesma estratégia que as pessoas usam em sistemas de TI. Você pode pensar em suas chaves como senhas do mundo real e tratá-las de acordo. Dessa forma, chegamos a diversas regras simples que podem até não protegerem 100%, mas pelo menos vai dificultar o ataque de modo a fazer com que o hacker prefira ir embora.
1.Não use “senhas” simples. Como você pode ver, fechaduras de tambor com pino comum são fracas e vulneráveis, não como “123456” ou “john1975”, mas bem perto disso. Se você precisa de mais proteção, escolha fechaduras mais complexas.
2. Use autenticação de dois fatores. Duas fechaduras de tipos diferentes podem funcionar muito melhor que uma.
3. Não exponha a sua “senha”. Mantenha suas chaves longe de câmeras e não as publique online. Até uma foto ruim pode ser o suficiente para produzir uma réplica 3D.
4. Chaves-mestra são como “portas dos fundos” nas fechaduras da sua empresa. Evite usar esses sistemas em portas de salas e áreas críticas.
5. Não dói usar soluções de segurança, que nesse caso seriam sistemas de alarmes que o protegeriam de ladrões, se eles forem persistentes o suficiente para passarem por todos os meios de segurança mencionados.