LockPicking: L’arte dello scasso nella sicurezza

L

![LockPicking, l’arte dello scasso](http://fast.mgpf.it/20060906_lockpick.jpg)
L’**arte dello scasso** è sempre più **legata a doppia mandata** alla **Sicurezza Informatica**, soprattutto se correlata alla **sicurezza fisica delle strutture** in un ambito di **Penetration Test** (come recitano sia ISO27001 che OSSTMM).
Se anche voi, come me, avete **compilato le vostre applicazioni critiche** (utilizzate applicazioni Open Source, vero?) per poter **sbirciarne i sorgenti** ed accertarvi che tutto sia a posto, sicuramente **capirete questa affezione** (mania?) che mi contagia…
D’altronde, citanto il modo di dire reso celebre in italia dall’amico Alessio Pennasilico – in arte Mayhem – ricordo a tutti che:
> Paranoia is a Virtue
La passione per il LockPicking e l’arte dello scasso **non è però** una affezione di vecchia data ma risale invece sia dalla conoscenza di talune **losche individue** (*ciao Yv!*) che si dilettano da anni a **provare l’efficacia** delle serrature che stanno per acquistare. Il **recente furto** della mia ennesima bicicletta ha dato il colpo di grazia alla mia curiosità e scatenato lo **studio vero e proprio**…
C’è da dire che la materia **non è certo recente**, se è vero che già nel 1991 il **celeberrimo MIT** pubblicava [una guida](http://www.lysator.liu.se/mit-guide/mit-guide.html) al Lockpicking (disponibile anche in [PDF](http://www.lysator.liu.se/mit-guide/MITLockGuide.pdf)) che insieme alle indicazioni contenuto nell’Anarchy Cookbook hanno segnato la **diffusione nel mondo Hacker** dello studio della sicurezza dei **dispositivi di protezione** fisica.
Negli anni la tecnica si è affinata ed oltre allo spettacolare [blog di Berry](http://www.toool.nl/blackbag/), dall’emblematico nome [BlackBag](http://www.toool.nl/blackbag/) sono proliferate **associazioni estremamente** competenti e tecniche come la immancabile [Toool.us](http://toool.us/), oltre che [articoli introduttivi e concisi](http://www.crypto.com/papers/notes/picking/) ma di particolare interesse per la precisione.
Come in ogni frangente della Sicurezza (non solo informatica) anche il settore delle serrature, dello scasso e delle vulnerabilità ha **mostrato il suo lato debole** di fronte agli attacchi hacker se è vero che **solo attraverso** i [post su media internazionali](http://www.engadget.com/2006/08/24/the-lockdown-locked-but-not-secure-part-i/) si è venuti a conoscenza della presenza di [chiavi universali](http://www.engadget.com/2006/08/07/bump-keying-1-keys-open-any-lock/) denominate *Bump keys* del costo di 1 dollaro **utilizzate dai criminali** di tutto il mondo ma **”sconosciute” sembrerebbe da costruttori** e soprattutto da **utenti finali**.
E si che la loro presenza ed il loro studio è presente addirittura in una corposa e precisa [presentazione accademica](http://www.engadget.com/videos/lockdown/bumping_040206.pdf)!
![Piccoli hacker crescono](http://fast.mgpf.it/20060906_bimba.jpg)
Ma come sempre ci sono voluti **mezzi di spettacolo** per raggiungere l’opinione pubblica, mezzi straordinari come una **bimba di 11 anni** che alla DefCon di quest’anno ha [aperto un lucchetto in pochi secondi](http://www.engadget.com/videos/lockdown/lockdown_defcon.wmv) **senza precedente addestramento** ed utilizzando una *bump key* ed un martelletto…
E per chi voglia quindi **dilettarsi e conoscere** il problema? Beh, i **negozi online** sono tantissimi ed il più rifornito è in Germania con un [sito in italiano](http://www.shop.multipick-service.cc/?language=it) con una vasta scelta di [chiavi ad urto (bump keys)](http://www.multipick-service.cc/htdocs/it/werkzeug/36100/36100.php) e di [attrezzistica classica](http://www.multipick-service.cc/htdocs/it/werkzeug/picksets/pick99/).
Studiate, studiate, **studiate**: è l’unico modo per **non rimanere sguarniti** e per conoscere realmente i rischi che si corrono…
E a chi mi dice che **certe informazioni non vanno divulgate** rispondo come mio solito che queste informazioni **sono già di dominio pubblico** pressi i **disonesti** e celate invece a chi se ne **dovrebbe preoccupare** maggiormente: la **gente comune**.

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.