Sul sito del Washington Post della fotografia non è rimasta più traccia, ma in rete se ne sono diffuse mille copie nei mille modi resi possibili dai social network come possiamo ben vedere, tanto per fare un esempio, su Twitter.
Does the @washingtonpost & brilliant TSA know that they just compromised their locking system by putting this out pic.twitter.com/DBPHB0qclK
— Luke Rudkowski (@Lukewearechange) August 21, 2015
Sono le impronte delle chiavi di sicurezza TSA, il sistema introdotto dalla Transportation Security Administration americana per permettere agli ispettori aeroportuali di aprire le valigie dei passeggeri senza danneggiarne i lucchetti a combinazione.
L’immediata conseguenza della pubblicazione di una foto così ingenuamente precisa ha reso facile il lavoro del francese Steven K che ha facilmente riprodotto tutte le versioni delle chiavi “master” utilizzando una comune stampante 3D e pubblicandone i risultati usando GitHub, piattaforma di condivisione ben conosciuta da chiunque abbia una propensione da maker.
L’autore di questo semplice lavoro di stampa cerca anche di alleviare la diabolica portata della sua impresa con una affermazione innocente:
Questo set di chiavi non è stato testato, ho solamente cercato di ricreare precisamente quelle delle immagini di @darksim905 (la foto di cui sopra, N.d.A.) e questi modelli 3D sono solo per collezionisti e non destinati ad essere inseriti in una serratura.
Ci permettiamo di dubitare che dello stesso parere siano i proprietari dei milioni di bagagli in sfilata davanti agli occhi degli ispettori TSA ogni giorno. Con le semplici forme di plastica create da Steven e da chiunque voglia provarci, non c’è più lucchetto con serratura TSA che tenga.
Peraltro era prevedibile che un sistema a chiave comune potesse essere violato. Se ne parlava già nel 2002, quando Matt Blaze dei laboratori AT&T pubblicò un interessante articolo che metteva in guardia rispetto all’uso dei sistemi a serratura apribili anche da una chiave “master”.
Oggi dovrebbe comunque ampliare il suo profetico articolo con la possibilità di duplicare una chiave dall’analisi software di una foto che la riprenda, cosa che mette a rischio chiunque di noi nel momento stesso in cui si estraggono le chiavi dalla borsa, essendo sempre possibile essere ripresi anche a distanza da un fotografo con un buon teleobiettivo.
Come difendersi? Probabilmente adottando massicciamente qualche metodo di autenticazione analogo all’elettronico RFID, sistema di riconoscimento passivo via radio, sempre che qualche hacker buontempone non metta su web la descrizione di come intercettarne le funzionalità. Detto, fatto.