Hace 3 años | Por yo_hice_a_roque... a kottke.org
Publicado hace 3 años por yo_hice_a_roque_III a kottke.org

Investigadores han demostrado que pueden realizar una copia real de una llave simplemente escuchando el sonido que hace cuando se introduce en la cerradura y se acciona para abrir la puerta

Comentarios

Idomeneo

#14 Si nos prestas un sombrero podemos duplicarlo en vez de la cerradura. Tú decides...
🎩 🎩 🎩 🎩 (Con ayuda de Tesla, claro).

hasta_los_cojones

#26 Gran película.

Lekuar

#32 ¿Habláis de la peli "El truco final"?

Idomeneo

#40 Sí, es que hablando de duplicar y de sombreros, pues como que era inevitable acordarse.

Lekuar

#41 Pues si, gran peli, yo no me acordaba de los sombreros amontonados en el bosque hasta que lo habéis comentado .

hasta_los_cojones

#40 tienes que poner una alerta reverse sploit

Lekuar

#44 Ya no puedo editar cry

#21 No lo habia pensado...pero es totalmente cierto. Tal vez la solucion seria combinar varios metodos. Mas pesado...pero se multiplica la seguridad.

JungSpinoza

#28 #39 Es lo que viene siendo "three-factor authentication: Something you know, something you have, something you are" de toda la vida.

>> At its most basic level, security is about what you know, adding something you have and completing the identity picture with something you are, making it virtually impossible to beat the system.

https://dis-blog.thalesgroup.com/security/2011/09/05/three-factor-authentication-something-you-know-something-you-have-something-you-are/

S

#39 Te me has adelantado (lo comento en #49)

Lekuar

#50 Ya, es que es algo tan obvio que es normal que mucha gente hayamos pensado lo mismo.

S

#51 Desde el punto de vista de seguridad no es que sea obvio es que es como deberia ser, no hay mas... una cosa que tienes una cosa que sabes, es decir una cosa que tienes "nombre de usuario/huella/iris/pincho usb" una cosa que sabes (y que nadie mas sabe) "contraseña/el parrafo del libro que usas como contraseña/etc" pero esta claro que eso no seria comodo y no venderia...

G

#21 Los lectores de huella de los móviles son capacitivos normalmente, no funcionan con una foto de la huella.

Además las aplicaciones como las de los bancos suelen pedirte un usuario y password antes y con la huella solo te evitas meterlos siempre "autorellenandose", pero si cambias la contraseña tienes que volver a meter la nueva password.

S

#47 Los lectores de huellas nos "pasamos" practicamente cualquiera (en el mismo evento que lo del CRT que comento mas arriba...) con algo tan "simple" como ... consigues la huella la negativizas, haces un fotolito, con el fotolito haces un PCB con una insoladora (con esto consigues la huella en negativo y con relieve en una placa de baquelita/fibra vidrio + cobre (vamos que lo que haces es hacer una placa de eletronica en modo casero por resumirlo) y sobre esto pones silicona con lo que tienes ya la huella con relieve... evidentemente los lectores buenos de hoy en dia comprueban conductividad, resistencia y muchas mas cosas ... pero hace 20 años con este modo nos saltamos los mejores lectores que existian.

Por cierto lo he comentado otras veces en MNM pero bueno... para el 1º paso de obtener la huella lo hicimos con un vaso y superglue... la huella queda en el vaso y la "obtenemos" con superglue

S

#21 La huella deberia ser tu nombre de usuario no tu contraseña

erdracu_1

#9 #21 la huella es un bien método de login... Para identificar al usuario, no a la contraseña. Siempre se ha entendido mal

ACEC

#21 correcto, nones buena idea como sustituto de una contraseña. Pero si puede ser un doble factor. Ademas... Si borran la huella puedes cambiarla... 10 veces.

Jesulisto

Como ejercicio teórico está interesante pero cualquier caco te abre una cerradura corriente en un rato sin tanta ciencia.

Hay unas llaves que se llaman bump keys o algo así que las metes, les das un golpe y con un poco de práctica abres cualquier cerradura corriente sin estropearla, cosa que es interesante para cuando no se quiere dejar rastro.

D

#13

Cierto, pero es más fácil "dar explicaciones" si te pillan con una llave común encima que con una de esas que abren todas.

Más que para el ámbito del robo, lo veo útil en ámbitos de espionaje industrial o similares.

Jesulisto

#16 Touché!

p

#13 Cualquier cerradura no puedes abrir con una bump key, para cerraduras de "toda la vida" si, pero la mayoría de viviendas hace años que instalan cerraduras con llaves "más sofisticadas", que siguen siendo vulnerables, pero no tanto como las "normales"

Jesulisto

#23 #24 Si, claro, ya casi no me acordaba del nombre, eso de bumping lo vi hace un montón de años, es de prever que las buenas cerraduras ya tengan eso previsto.

G

#13 Bueno, a menos que tengas un cilindro anti-bumping que son bastante habituales en puertas acorazadas modernas, esos no los abres así.

https://www.eurosegur.com/guia-sobre-bumping--que-es-y-cerraduras-antibumping

thrasher

#13 hay diferentes tipos de cerraduras y diferentes calidades de cerraduras, no todas se pueden abrir con bumping y no todos los cacos tienen las habilidades suficientes para abrir una cerradura de forma limpia. Las hay malísimas que las abres con un rake, y las hay medio imposibles que solo puedes abrir con herramientas custom o métodos destructivos.

También te digo que las cerraduras que se ponen en Europa, y concretamente las que se ponen en España, son de media de una calidad superior a las que usan en los EEUU. Aquí por 30 pavos consigues un bombín decente, siempre que no sea de serreta (el bombín con pines como está en el estudio, que son los más fáciles de abrir). Y si te gastas un poquito más, te vas a algo con cara y ojos sin llegar al TK100.

https://www.amazon.es/s?k=tesa+t60&__mk_es_ES=%C3%85M%C3%85%C5%BD%C3%95%C3%91&ref=nb_sb_noss&tag=thrx-21

thrasher

#13 aquí un ejemplo de cómo abrir un Tesa T60, que es la cerradura que más se pone en las obras nuevas, 2 minutos y medio de un profesional en un entorno laboratorio (sin prisas, ni esconderse, ni agachado pegado a la puerta y con semanas y meses de práctica).



30 pavos la cerradura

Jesulisto

#65 Compré en wish un juego de ganzúas como ese pero no he tenido tiempo de probarlo aún. Viene con un a cerradura en metacrilato para practicar.

thrasher

#66 así se empieza en el hobby, aunque esos candados transparentes los acabas abriendo con un soplido. Lo que le suele fallar a esos juegos de ganzúas son dos cosas: el grosor de las ganzúas (aunque está bien que sean gordas para empezar) y que les falta más variedad de tensores, aunque un buen tensor te lo puedes hacer con una varilla de limpiaparabrisas.

Jesulisto

#69 Miedo me das

Gracias!

d

Eso es precisamente una forma de hackear la clave de un algoritmo RSA que se ha comprobado que funciona. Escuchando el ruido de una CPU basta! Tuvieron que parchear los programas para evitar ese problema.

l

#2 Me suena ese hilo y se comentaban muchas dudas e inconvenientes para que sea asi.
Entre ellas que la frecuencia de muestreo de khz es muy inferior a lo gmhz de un procesador y deberia discriminar del resto de los componentes electrico y algunos muy potentes como motores y transformadores. Tambien entiendo que habria que tener en cuenta el tipo de Microprocesador o incluso el algoritmo del sofware.
Tienes alguna fuente que afirme que funcione de verdad?

#27 En #17 enlazan un artículo. No me lo he leído, he de añadir.

HimiTsü

Es la hostia.
Imaginen en qué otros proyectos y/o habilidades están trabajando ahí a fuera ( ó dentro, que nunca se sabe ! ).

JungSpinoza

#1 #4 Las huellas dactilares tambien se pueden copiar a partir de una foto, y eso era hace cinco años no quiero ni pensar lo que se puede hacer ahora

Hacker fakes German minister's fingerprints using photos of her hands
https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands

frg

#4 Tempest existe hace ya años. Imagina sus sucesores.

m

Bah, hay solución, o la metes muy despacio amortiguando el ruido o haces el mete saca unas cuantas veces sin sacarla ni meterla del todo (lo que viene siendo el mete saca en otros ámbitos).

j

#22 "solo la puntita"

Find

#58 Pero se podría hacer

Find

Eso es muy viejo. Yo tengo una cerradura de Xiaomi con cancelación de ruido. Para simplificar, genera una onda con cambio de signo que neutraliza la onda de ruido que genera la cerradura

#54 Trolaso

D

#1 ¡NO LO CONTEIS!

Estamos perdidos, los investigadores y fotógrafos van ha dejar de hacer su trabajo... ¡Y AHORA NOS ROBARÁN!

S

#1 Hace como 15 años (o mas) los del MIT duplicaron una llave maestra de uno de seguridad sacando una foto con un teleobjetivo a tomar viento de distancia... he buscado la noticfia pero no la encuentro.

Sobre lo del sonido, tambien salio hace años como sacar el pin en funcion del sonido del muelle de cada tecla del cajero (cada muelle suena distinto) y hace un monton de años (20 ya ... joder que viejo me siento) hicimos una demostracion unos compañeros y yo sobre como captar un monitor CRT a distancia sin ningun hardware añadido... vamos que el tema seguridad con emisiones que nunca tendrias en cuenta da para varios libros lol

torkato

Hace tiempo lei una noticia de que podían averiguar las claves RSA con el ruido que emite el procesador:

https://www.hackplayers.com/2013/12/rompen-rsa-escuchando-cpu.html

Entre estas dos cosas, va a haber que tomarse en serio el ruido

D

Y si abres con sigilo?

m

#5: O al revés, haciendo ruido donde tengas el móvil, por ejemplo, dando toques con la mano.

D

#8 tendran un programa para separar el ruido de fondo y aislar solo el sonido que les interesa.

m

#25: Ya, pero eso tampoco es tan simple si saturas el micrófono del móvil y el ruido contiene frecuencias similares a las de la cerradura, sobretodo si metes la llave de forma poco regular.

#5 Pues te la duplican con sigilo

leporcine

Te la copian igual, solo que luego abre más despacio

Idomeneo

Una posible solución sería que hicieran llaves con forma de tambor:

https://en.wikipedia.org/wiki/Hearing_the_shape_of_a_drum

(Se trata de un problema clásico de matemáticas: si el sonido de un tambor determina de forma unívoca su forma, finalmente se descubrió que no)

D

Muy buena la campaña para "digitalizar" las cerraduras (oportunidad de negocio en el madmax post-simón) por el miedo a los micrófonos ocultos. El miedo hacia lo "improbable", remoto o desconocido funciona y rinde.

D

La portada de menéame, la red social del miedo: virus mortales, asesinatos, ladrones, okupas, inmigrantes... que amenazan nuestras vidas. Creo que el karma lo reparten un grupo de viejecitas asustadas entre sus incondicionales acólitos del miedo, más asustados todavía.

M

Que lo apliquen al cáncer, al entrar las malignas en las buenas.

n

Investigadores de lo ajeno...

D

Dando ideas, para poder robar mejor y sin forzar nada. lol

v

Y las madres también tienen sensores para detectar cuando abres la puerta si vas borracho o no.

j

¿Vale como interferencias cualquier martillazo en la puerta?

D

No sé si llamarlo bulo o sensacionalista/exagerado. Primer comentario sobre la noticia en hacker news:
https://news.ycombinator.com/item?id=24205833
I was a little skeptical, so I followed the link trail to the actual paper: https://www.comp.nus.edu.sg/~junhan/papers/SpiKey_HotMobile2...
They did not take a recording of an actual key in an actual lock and determine the shape of the key. Instead they simulated the sound of a key in a lock, and determined the shape of the key from that simulated sound. And the simulation assumed that the speed that the key moves at is fixed as it enters the lock, at 1 inch per second.

So this article is false. It wouldn't have been that hard to read the paper, and say what they actually did. It bothers me that articles like this don't, and instead run with an exaggeration.

editado:
As far as I can tell from the paper, at least. What on earth is a "simulation, based on real-world recordings"? I don't see anything about an actual recording in section 4.

Esgarramanter

Una app que convierte tu movil en lockpicking lawyer y bosnian bill

Jesuo

Con lo fácil que es grabar el audio en la ferretería cuando copian las llaves para luego en casa con la misma máquina o quizás con sólo un algoritmo, sacar con exactitud una copìa, quizás por eso no ocultan el sonido (¿y si tienen un registro de todas las llaves que copian, un registro sonoro?) o suele haber mas gente en las ferreterias aparte de los que duplican las llaves tinfoil tinfoil lol lol

M

y quien paga a estos investigadores?

D

#6 CIA, NSA, KGB, MOSAD...

D

#10 Usa la navaja de Ockham

frg

#6 Del vídeo, "Jun Han National University of Singapore". Lo que no se si Soundarya Ramesh y Harini Ramprasad son estudiantes o catedráticos.

Vale, la primera es la alumna, y la segunda la profesora/directora:

https://soundaryaramesh.github.io/
https://cci.uncc.edu/directory/harini-ramaprasad