nrk.no

Vi printet en nøkkel som kan åpne kofferten din

Kategori: Sikkerhet

Nå kan alle med en 3D-printer kopiere TSAs nøkkelsett.

Et bilde som ble publisert ved en feiltagelse gjør det mulig for uvedkommende å låse opp alle kofferter med flysertifiserte låser.

Etter 11. september ble det igangsatt en rekke sikkerhetstiltak i luftfarten. Et av disse tiltakene var en ny standard for koffertlåser. Hvis du har kjøpt en lås til kofferten din de siste årene, er det ganske stor sannsynlighet for at den er «TSA approved». Dette betyr at den har et eget nøkkelhull, som kun kan åpnes av sikkerhetskontrollen på flyplassen.

Dette tiltaket gjør det mulig for sikkerhetskontrollen å åpne kofferten din uten å klippe låsen, som i og for seg kan oppfattes som praktisk for den gjengse flypassasjer.

Dette nøkkelhullet korresponderer med syv nøkler, såkalte master keys, eller hovednøkler. Hvordan disse nøklene ser ut har vært en godt bevart hemmelighet – frem til i fjor.

Tabbe av Washington Post

Washington Post kjørte i november i fjor en sak hvor de belyste hva som skjer med en koffert etter at du legger den på bagasjebåndet.

Saken i seg selv er svært informativ og god, men publiseringen gikk tydeligvis litt fort for seg: Journalisten hadde tatt bilde av nøkkelknippet til en av de ansatte i TSA, og dermed avslørt hvordan universalnøklene ser ut.

Hackerverdenen gikk selvfølgelig bananas, og satte i gang med å replikere utseendet til nøklene. For to uker siden ble de 3D-gjenskapte filene lagt ut på den åpne kildekodenettsiden GitHub, slik at hvem som helst med en 3D-printer kunne lage nøklene.

NRKbetas 3D-printer var i ustand da filene ble sluppet, men i forrige uke fikk vi satt i gang en utskrift av nøkkelsettet og testet de på et par av låsene vi hadde liggende.

tvprint

Etter litt oppstartsproblemer med feil skalering, åpnet vi med enkelhet en av koffertlåsene vi hadde liggende:

Noen av nøklene vi printet var for skjøre til å faktisk klare å åpne låsene, men det kan løses med å printe med et mer solid materiale.

Vi oppdaget også at noen av låsene var usedvanlig enkle å dirke opp – låsen av typen «TSA 005» klarte vi å åpne på under ett minutt, uten at vi på noen måte er dyktige låsdirkere.

Man kan derfor si at dette ikke er et enormt problem – til og med TSA er enig – hvis noen vil ha tilgang til kofferten din er det gjerne like enkelt å klippe låsen, eller til nøds dirke den opp. Men det er likevel et godt eksempel på at hovednøkler, både i den fysiske og virtuelle verden, potensielt sett er et svært sårbart konsept.

18 kommentarer

  1. Arnt Joakim Wrålsen

    Dette er en veldig fin illustrasjon på hvorfor man ikke bør tillate at NSA eller andre sikkerhetsmyndigheter får tilgang til dine personlige data via en «bakdør», under påskudd av å stoppe terrorister og andre uhumskheter. Før eller siden blir detaljene rundt bakdøren lekket, og da kan hvermannsen få tilgang til dine private data.

    Svar på denne kommentaren

  2. Arnt Joakim Wrålsen

    Selv ser jeg på slike bagasjelåser først og fremst som en foranstaltning for å hindre den fra å åpne opp av seg selv mens den kastes hit og dit av bagasjestuere. Verdisaker legges i håndbagasjen og passes godt på. Så denne «avsløringen» vil ikke endre så veldig hvordan jeg ser på sikkerheten til min egen bagasje.

    Svar på denne kommentaren

  3. Steinar Mathiesen

    Det som forundrer meg er at det tilsynelatende ikke er noen som tror at diverse terror / kriminelle organisasjoner ikke for lengst har skaffet seg disse nøklene. Med tanke på hvor mange sett som må til for å dekke alle flyplasser (minst et sett pr flyplass), vil det overaske meget om ikke en og annen utro tjener alt har lekket.

    Svar på denne kommentaren

    • Marius Bendiksen (svar til Steinar Mathiesen)

      Trengs vel ikke engang en utro tjener for å skaffe nøklene. Bare plukk opp nok låser til å få tak i én av hver, og så bruker du slipebånd og/eller etsing til du kommer inn til mekanismen og kan rekonstruere nøklen. Eventuelt kan det sikkert gjøres med røntgen, om man har tilgang til det.

  4. Disse låsene er ikke for å låse kjeltringene ute. De er til for at kufferten eller baggen ikke skal åpne seg ved et uhell.
    Hvis det ikke kan åpnes med en enkel universalnøkkel, blir det klippet av.

    Svar på denne kommentaren

    • Det er ikke helt rett når det kommer til TSA.
      De har egentlig ikke lov til å åpne din koffert (hvis du ikke bruker TSA lås altså, du gir på måte de tillatelse til å åpne den med å bruke slike låser) uten deg til stedet.
      Så de vil rope deg opp hvis de vil se i din koffert, og det er ytterst sjelden at de bare klipper den opp, da må de ha mistanke for noe veldig ‘pressende’, siden de ikke kan vente på deg.

      Jeg har vært bort i at de ropte meg opp, men jeg hørte det ikke.
      Når jeg skulle gå ombord tok de tak i meg, og bragte meg til min koffert. Den var ikke lastet ombord, og låsen var ikke brutt opp.

    • Anders Hofseth (NRK) (svar til Yermun)

      Kriminelle klarer nok stort sett å finne ting som er nyttig innen eget fagfelt uten medias hjelp.

      Medias funksjon er snarere å informere resten av oss – som har færre incentiver for å finne ut hva som er cutting edge på krimfronten –, slik at vi kan justere atferden vår til å passe virkeligheten som allerede er der.

    • Media kan være med på å sette press på produsenter og lignende.
      Jeg sier ikke at det er det de normalt tenker når de skriver om noe, men det er en mulighet.

      Se på saken om bilene som kunne fjernstyres.
      Produsenten hadde fått vite om problemet mange måneder i forveien, men de hadde kostet saken under teppet.
      Det var ikke før det ble presentert på DefCon, og media plukket det opp at noe skjedde.

    • Sikkerhetssvikten lå hos dem som lot nøklene avfotograferes, og dem som laget et opplegg som baserte sikkerheten deres på at en haug med lavtlønnede folk med lite trening skulle klare å holde på en hemmelighet for godt. Washington Post gjorde dog en egen, uavhengig tabbe ved å publisere, medmindre det var tiltenkt.

  5. Tenkte med ein gong at, som dykk nemner nedst i artikkelen, at mange av disse låsane uansett er latterleg enkle å dirke opp. Har sjølv ikkje spesielt mykje erfaring med dirking, men forstår grunnmekanismene. Klarte å dirke opp ein hengjelås for ein ven som hadde gløymt nøkkelen sin ein gong – med ein binders. Men, veldig interessant artikkel.

    Svar på denne kommentaren

Legg igjen en kommentar til Martin Koksrud Bekkelund Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.