La storia del lockpicking può insegnarci molto su come migliorare la sicurezza digitale

May 31, 2023

La chiave è stata inventata circa 6.000 anni fa e, sebbene i suoi meccanismi siano cambiati nel tempo, il concetto originale ha modellato il modo in cui manteniamo i nostri oggetti di valore al sicuro, fisicamente e digitalmente.

"Le persone usano la fisicità delle serrature quasi come una metafora di come pensiamo alla sicurezza in un contesto più ampio", ha detto alla conduttrice di Spark Nora Young Leigh Honeywell, consulente di sicurezza informatica e scassinatrice professionista.

La guarnizione della porta è stata un'importante tecnologia precursore di quelle che oggi conosciamo come serrature a chiave.

"Ciò che [le serrature] sono state fin dall'inizio è una tecnologia amministrativa che ci permette di avere uno stile di civiltà diverso da quello che avremmo senza di esse", ha affermato Schuyler Towne, antropologo e storico delle tecnologie di sicurezza.

"Nel momento in cui è stato creato il primo sigillo sulla porta, in alcune società è stata codificata la possibilità di violazione di domicilio. La prima volta che sono stati implementati era un modo per dire che si tratta di uno spazio privato. Potrebbe essere semi-privato, potrebbero esserci più persone accedervi, ma se oltrepassi, soprattutto, ci saranno delle conseguenze."

La crittografia, spesso indicata da un piccolo lucchetto in un angolo della barra degli indirizzi,è un esempio di come le serrature e le chiavi fisiche abbiano influenzato la nostra sicurezza nel mondo digitale.

Honeywell aggiunge che la storia documentata del lockpicking, che ha dato impulso all'evoluzione e al miglioramento della serratura fisica e della chiave, può applicarsi ai dibattiti in corso sulla sicurezza digitale.

C'era tensione tra le persone che volevano migliorare le serrature rompendole e coloro che le avevano realizzate, riguardo alle implicazioni e ai vantaggi della pubblicazione delle vulnerabilità delle serrature fisiche.

Dice che lo stesso sta accadendo nella sicurezza informatica.

"Quindi, che si tratti del 1700 e delle lettere rabbiose scritte tra loro negli annali dei giornali di lockpicking o di oggi sulle liste di posta elettronica e su Twitter, fondamentalmente è lo stesso dibattito", ha affermato Honeywell.

Towne, due volte campione di scasso, dicea differenza del mondo fisico, i crittografi e le persone che lavorano sulla crittografia cercano di proteggere gli utenti in un ambiente in cui la nostra superficie di attacco è infinita.

Questa superficie di attacco è cresciuta parallelamente alla diffusione dell’Internet delle cose.

Con il crescente utilizzo di dispositivi connessi a Internet, abbiamo assistito anche all'adozione della biometria nella vita di tutti i giorni. La chiave per aprire e proteggere la nostra tecnologia sono in realtà i nostri corpi, afferma Lily Hay Newman, scrittrice senior di WIRED.

Smartphone e computer ora utilizzano le impronte digitali e la scansione del volto come autenticazione. Il vantaggio principale dei dati biometrici è che sono infallibili, non possono essere scambiati o falsificati e sono sempre addosso, dice.

Quando si tratta di cose come password o chiavi fisiche, dice Newman, possono essere perse, rubate o copiate, quindi devi renderle più complicate, come password lunghe e uniche o serrature multiple su una porta.

Tuttavia, afferma che utilizzare parti di noi stessi per proteggere i nostri dati personali su questi dispositivi è un’arma a doppio taglio. Se l'impronta digitale di qualcuno, la scansione della retina o il battito cardiaco vengono compromessi, ciò è permanente.

"Queste nostre caratteristiche sono innate e sono in gran parte immutabili per tutta la nostra vita. E se qualcuno può copiarle ed emularle, ciò mina davvero la protezione", ha detto.

Newman afferma che Face ID e Touch ID di Apple, ad esempio, hanno affrontato questo rischio eseguendo tutta l'autenticazione biometrica localmente sui dispositivi delle persone, quindi i dati raccolti non vengono archiviati in un repository cloud o in un database centrale a cui l'azienda può accedere. "In questo modo, non creerai una situazione in cui tutte le impronte digitali degli utenti e tutti i loro dati biometrici potrebbero essere rubati contemporaneamente da un malintenzionato."

Si sta cercando di diversificare l’autenticazione digitale, andando oltre la biometria, e allontanandosi dalle password.

"[Mentre] tutti vediamo chiaramente i difetti delle password e i problemi che sono emersi, l'autenticazione basata su password è così incredibilmente onnipresente che ci vorrà molto tempo per eliminarla gradualmente, soprattutto perché il sovraccarico o il costo della sua implementazione è relativamente basso", ha detto Newman.