Mettere sottochiave i propri beni personali è una pratica di sicurezza che si perde nella notte dei tempi. Già gli antichi egizi proteggevano gli oggetti preziosi con delle serrature e questo metodo, seppur migliorato, continua ad essere utilizzato anche oggi: solo chi è in possesso della chiave giusta, potrà aprirle. Questa concezione di sicurezza comincia però a vacillare: grazie a una moderna stampante 3D e a semplici conoscenze di base, chiunque potrebbe duplicare agevolmente una chiave.
Una foto postata sul Web può compromettere la sicurezza di tutti
Una semplice foto, apparsa nel novembre 2014 in un articolo del Washington Post , ha fatto nascere un caso che ha suscitato grande scalpore: l’immagine (in seguito rimossa) mostrava un set di sette chiavi universali a norma TSA (Transportation Security Administration) che funzionari doganali e forze di polizia usano per aprire e richiudere agevolmente le valigie di chiunque in caso di dubbi su contenuti sospetti. L’immagine, che mostrava chiaramente la dentatura delle chiavi, divenne immediatamente virale sul Web e non passò inosservata all’hacker francese Steven K . La foto pubblicata sul Washington Post ha fatto scattare in lui l’idea di poter duplicare tramite stampante 3D i passepartout TSA. Non potendo però sperimentare la sua realizzazione, non disponendo di una serratura TSA, ha provveduto a rilasciare sul suo account Github i modelli utilizzabili con le stampanti 3D nella speranza che qualcun altro potesse confermare i suoi sospetti. Ossia che la copia di una chiave è facilmente realizzabile tramite una stampante 3d e una semplice fotografia. In poco tempo, utenti da tutto il mondo hanno cominciato a pubblicare video che mostravano l’effettivo funzionamento delle copie così realizzate.
OMG, it’s actually working!!! pic.twitter.com/rotJPJqjTg
– Bernard Bolduc (@bernard) 9 settembre 2015
I nostri test di laboratorio
È veramente così semplice? Abbiamo sperimentato questo “metodo” e in effetti è risultato che la duplicazione delle chiavi sulla base di modelli prelevati da Internet funziona perfettamente. Tramite queste chiavi siamo riusciti ad aprire in un attimo tutte le valigie con serratura TSA che eravamo riusciti a procurarci. Ne consegue che oramai le serrature certificate TSA non offrono più alcuna sicurezza. Con estrema facilità siamo riusciti a duplicare anche la chiave di un container, pur non disponendo di un modello prelevato da Internet. Abbiamo avuto bisogno semplicemente di due foto. Con uno smartphone è possibile ottenere in un attimo l’immagine di qualsiasi chiave. I duplicati, realizzati tramite stampanti di ottima qualità (nella fascia di prezzo intorno ai 1.000 euro o anche più costose) hanno funzionato perfettamente. Le copie ottenute con stampanti economiche sono invece risultate poco accurate e non fedeli alle chiavi originali. Le chiavi duplicate non si rivelano perfette solo per aprire serrature di valigie o armadi, ma pare che gli esperti siano in grado di riprodurre anche chiavi di massima sicurezza, sempre servendosi di due semplici foto. In alternativa, si potrà ricorrere anche al codice numerico impresso sulla chiave, per copiare gli intagli del pettine della chiave. Pare, inoltre, che sia sufficiente scattare una foto del buco della serratura per ricavare la forma della chiave idonea e realizzarne un modello 3D. Tutto questo è stato dimostrato nell’agosto 2015 da Eric Wustrow dell’università del Michigan: tramite il Web tool Keysforge da lui sviluppato, infatti, è stato possibile attuare questa procedura in modo quasi completamente automatico. Dovrebbe addirittura essere possibile “ricostruire” anche le cosiddette chiavi di sicurezza, dotate di una sagoma con solo poche scanalature (da cinque a sei).
Il sito Keysforge.com è ormai down, ma i sorgenti della sua ricerca sono disponibili nel Github ufficiale di Wustrow.
Passepartout nel mirino
Le chiavi passepartout vengono a trovarsi particolarmente in pericolo, come dimostrato dal caso della TSA. Su Internet circolano anche modelli per manette, vetrine e addirittura grimaldelli attraverso i quali è possibile manomettere serrature di vario tipo. Chi desidera duplicare una chiave non necessita neppure di una stampante 3D, poiché servizi di stampa online come i.materialise provvedono a realizzare la chiave in plastica per pochi euro e ad inviarla al cliente tramite posta. La chiave tradizionale, oltre ad essere poco funzionale, sta diventando anche insicura? Wustrow è convinto che la chiave classica avrà vita breve. Quanto più rapida sarà l’evoluzione delle stampanti 3D, tanto più semplice sarà la duplicazione non autorizzata di una chiave. Esperti come Christoph Clasen della polizia federale tedesca sono invece di avviso contrario: chiavi di elevata qualità, ad esempio con elementi mobili o calamite inserite nel congegno da infilare nella serratura, renderebbero “quasi” impossibile la realizzazione di duplicati. Gli scassinatori non estremamente abili continuano a preferire altri metodi, come chiavi “ad urto” appositamente sagomate o grimaldelli elettrici (lock picking) che non richiedono la chiave originale, ritenendo troppo complicato procurarsi duplicati tramite una stampante 3D.
Alternative moderne alla classica serratura
Le chiavi si rivelano pesanti, poco pratiche e, se smarrite, si è costretti a sostituire tutte le serrature. Da tempo, però, si può ricorrere ad alternative “smart”.
NFC – Serrature come la Iseo Libra Smart potranno essere aperte, a scelta, mediante un’app dello smartphone, un chip transponder o una carta di credito. Nel corso dei nostri test il cilindro intelligente della serratura ha funzionato perfettamente, ma purtroppo i prezzi a partire da 420 euro non si rivelano molto convenienti.
Bluetooth – Danalock è una serratura che consente di aprire la porta dell’abitazione mediante un’app o, se desiderato, anche in via automatica mentre ci si avvicina alla porta. Purtroppo, il cilindro meccanico in dotazione offre solo una qualità standard. Se equipaggiata con un cilindro di massima sicurezza, come il Keso 4000s, il prezzo della serratura aumenta e il Danalock, anziché 229 euro arriverà a costare 339 euro.
Secondo Christoph Clasen, la sicurezza di queste serrature intelligenti “dipende dai meccanismi di chiusura elettronici impiegati. Fino ad oggi non sono state registrate effrazioni su questo tipo di serrature. È certo che esiste la possibilità teorica che anche i cilindri elettronici possano essere manomessi. I costi si rivelano però decisamente più elevati rispetto al cilindro meccanico. Nel caso in cui dovesse rendersi nota una falla di questo genere nella sicurezza, il produttore provvederà a modificare velocemente il proprio software e a riparare la falla”.
Come abbiamo duplicato in 3D le nostre chiavi durante i test
Abbiamo disposto la chiave da clonare su un foglio di carta millimetrata e scattato due foto.
Abbiamo poi “mixato” tramite un programma CAD le immagini della parte superiore e inferiore.
In questo modo è stato possibile iniziare a lavorare sul modello tridimensionale ottenuto tramite il software della stampante.
In base al modello di stampante utilizzato abbiamo applicato le necessarie impostazioni di stampa.
In pochi minuti (il tempo dipende dalla velocità della stampante) la chiave è stata realizzata in materiale plastico.
Provandola ci siamo resi conto, con grande stupore, che funziona perfettamente (se la stampante è di qualità) e che nessuna serratura ormai sarebbe da considerarsi sicura.
A ben vedere si tratta di un’operazione semplice per chi mastica di informatica, grafica e stampanti 3D. Viene dunque da chiedersi: quali serrature dovremmo usare in futuro per mettere al sicuro le nostre abitazioni da possibili effrazioni? In linea di principio, secondo Christoph Clasen, “dovrà trattarsi sempre di cilindri che offrano un elevato livello di sicurezza e, qui, l’elettronica vince sui congegni meccanici. I cilindri elettronici si rivelano comunque più costosi. Dovendo trattarsi di cilindri meccanici, i modelli sicuri potranno essere identificati dalla sagoma della chiave, che dovrebbe consentire di essere “riconosciuta” su più lati, dalla serratura. Un cilindro di questo tipo richiede però un certo prezzo e non è possibile ottenerlo con soli 20 euro”.