Seguridad ferretera

tarjeta de ganzuasHace un par de meses, Manuel Benet escribió un interesante post sobre seguridad física; en concreto, sobre cerraduras. A mí, me llamó la atención tanto el post como los comentarios y, “curioso que es uno”, me dispuse a perder un rato en Internet buscando sobre el tema. En particular, me había llamado la atención la tendencia a hacer analogías entre el mundo informático y el físico (qué sería de los ingenieros sin las analogías). En este post, quiero compartir algunas de las ideas que me fui haciendo sobre el tema, según investigaba.

En primer lugar, yo empezaría por el artículo “Keep it secret, stupid!”, de Matt Blaze. En él, el autor explica por qué se le ocurrió meterse en el mundo de la seguridad “ferretera”. El primer párrafo se puede traducir como sigue:

«El año pasado, empecé a preguntarme si el enfoque criptológico sería útil para analizar cosas que no usan ordenadores. La elección más obvia eran las cerraduras mecánicas, puesto que, para empezar, proporcionan muchas de las metáforas que solemos utilizar al pensar en la seguridad informática.»

Impulsado por esta curiosidad, Mr. Blaze hizo trizas la base de la mayoría de los sistemas de cerraduras que utilizan llaves maestras. Como saben, se trata de cerraduras (y llaves) organizadas jerárquicamente, de manera que quien tiene privilegios puede abrir las cerraduras por debajo en su jerarquía.

El artículo científico que publicó a consecuencia de esta “inquietud” se titula Cryptology and Physical Security: Rights Amplification in Master-Keyed Mechanical Locks y apareció en IEEE Security & Privacy (que no está nada mal). Fíjense en que lo único que hizo este señor fue aplicar conocimiento del área de la criptología a un sistema mecánico, con resultados devastadores.

En su sitio web, publicó una explicación práctica de la vulnerabilidad que puso de manifiesto en el artículo y una interesante discusión sobre si es conveniente discutir (y publicar) las vulnerabilidades. El eterno tema de la seguridad por oscuridad o por ocultación.

Siempre es interesante la visión de nuestro amigo Schneier sobre el tema. En su opinión, la batalla de las cerraduras mecánicas está perdida: «Parece que hay un límite para el nivel de seguridad de una cerradura totalmente mecánica, así como al tamaño e incomodidad de la llave. Como resultado, hay un creciente interés en otras tecnologías». Claro que, una de las alternativas planteadas por Schlage, permite la apertura por varios medios, incluido Internet. No sé yo si osaría instalar una de esas. Bueno, sí que lo sé.

Otras referencias interesantes:

MIT Guide to Lock Picking, que una de las guías más antiguas, Lock Picking 101, que es uno de los foros más famosos o el artículo de la Wikipedia sobre Lock Picking, que es un buen punto para comenzar con estos conceptos.

Y, por supuesto, dénse una vuelta por youtube y busquen “lock picking” o “key bumping” (como abrir, literalmente, a martillazos… pero sin violencia). Y si alguien se aficiona, que comparta sus experiencias.

(Imagen original de vissago en Flickr)

Comments

  1. Muy bueno, lastima no tener tiempo ahora para leer todos los enlaces con detenimiento. Espero acordarme de esto cuando llegue a casa.

  2. Alberto Hervalejo Sánchez says

    Cerca de principios de verano estuve interesado en la seguridad física, y le eché un vistazo a la guía de referencia que propones (MIT guide to lockpicking) y he de decir que es estupenda. Conseguí abrir todas las cerraduras/candados de las que disponía en casa. Cada una tardaba una media de 15/20 segundos en abrirse.

    Realmente, la analogía con la segurida informática es bastante similar, ya que cuando consigues abrir una cerradura en particular, una vez descubres el fallo, puedes abrirlo en menos de 5 segundos. Es una cuestión de búsqueda (o de prueba y error) hasta que lo abres por primera vez. Es como la búsqueda de fallos en aplicaciones, ¿verdad?

    Un saludo, que a pesar de que ya no estoy en s2, sigo leyendoos.