La historia comenzó en noviembre de 2014, cuando en un artículo del Washington Post apareció una foto de alta definición con siete de las ocho llaves maestras utilizadas por la Administración de Seguridad en el Transporte, mejor conocida como TSA, para abrir e inspeccionar el equipaje de los pasajeros. Dichas llaves fueron rápidamente convertidas a un formato compatible con impresoras 3D, pero la llamada «octava llave» era un misterio… hasta ahora. Tres hackers con los seudónimos DarkSim905, Johnny Xmas y Nite 0wl lograron recrear a esa última llave tomando el camino largo. En otras palabras: Analizando múltiples cerraduras.
La TSA estadounidense cuenta con diferentes métodos, automáticos y manuales, para inspeccionar más de cerca al equipaje que por una u otra razón fue declarado «sospechoso» en pasos previos. Si un bolso o una maleta llega al último eslabón de la cadena y necesita ser abierto, el personal de la TSA posee un grupo de ocho llaves maestras que abren todas y cada una de las cerraduras «aprobadas» por la administración. Si lo vemos desde un ángulo informático, es una de las mejores definiciones de «backdoor» que podemos encontrar: El usuario (o mejor dicho, su equipaje) siente que se encuentra «seguro», mientras las autoridades lo revisan de punta a punta. Lógicamente, el backdoor requiere la cooperación de un tercero, que en este caso son dos compañías, Travel Sentry, cuyo estándar fue aplicado en siete de las llaves maestras, y Safe Skies, que cubre la llave restante.
En noviembre de 2014, algún genio intergaláctico de la TSA decidió que era una brillante idea permitir al Washington Post tomar una fotografía en alta definición de las siete llaves maestras bajo el estándar de Travel Sentry. En cuestión de meses, tres expertos conocidos como DarkSim905, Johnny Xmas y Nite 0wl, transformaron a las llaves en modelos compatibles con impresoras 3D, aunque una de las llaves está incompleta (el patrón de sus agujeros permanece oculto del otro lado). Varios entusiastas probaron con mucho éxito las copias de plástico, sin embargo, quedaba la octava llave de Safe Skies. No existen imágenes ni especificaciones, por lo tanto, este trío de hackers decidió terminar el trabajo por las malas. Adquirieron en forma legal varias cerraduras de un mismo modelo comercializado por Safe Skies, el cual tenía un error de diseño fatal: La cerradura no viene con llaves para el usuario, y sólo puede aceptar un tipo de llave… o sea que por extensión, es la llave maestra de la TSA.
En resumen: El reclamo de un «backdoor» por parte de una autoridad superior, sumado al concepto de «escrow» que involucra a un tercero, y la desastrosa falta de cuidado por parte de dicho tercero, destruyeron cualquier idea de seguridad en el equipaje sobre territorio estadounidense. Como si eso fuera poco, la TSA declaró que la clonación de llaves no representa una amenaza para la seguridad en la aviación, ni causa una disminución en la seguridad física del equipaje mientras está bajo control de la TSA. En fin… las ocho llaves andan sueltas. Si tienes una impresora 3D, y una cerradura compatible, ya puedes hacer la prueba.
5 Comments
Leave a Reply