大学生和体育爱好者们要注意了,千万不要再把贵重物品存放在公共储物柜里。因为现在已经出现了一种3D打印的机器人,据说世界上各大锁商推出的大部分密码锁,它都能够在30秒之内打开。
著名黑客山米·卡姆卡(Samy Kamkar)周四在其网站上发布了一款3D打印开锁机器人的设计图和软件代码,他将这款基于开源电子平台Arduino的开锁机器人称作“Combo Breaker”(密码锁开锁器)。
只要将这款开锁机器人贴在玛斯特锁(Master Lock)的任何一款密码锁上,打开机器人,它就可以利用玛斯特锁中的一个漏洞将锁打开,整个过程用时不超过5分钟,而且不用人工操作,完全是机器人自动完成。卡姆卡说:“用这款机器开锁相当给力,你只要把它贴在锁上,它就能够自动把锁打开。”
实际上,Combo Breaker不仅仅是一种暴力开锁工具,它还可以通过编程表现得更好一些。卡姆卡上个月发布了一种算法攻击方法,任何人只要稍作操作,尝试8次就能利用Combo Breaker找到低端玛斯特锁的密码。这种攻击方法利用了玛斯特锁制作工艺上的一个漏洞。当锁具中的转子转动,密码锁中的U形杆被拉动的时候,开锁机器人可以感觉到一定的阻力,这就可以帮助它找出开锁的密码。卡姆卡在一款网络工具中利用数学破解和编码的方式可以缩小密码的范围,然后就能很快找出密码。
Combo Breaker的自动化程度颇高,没有任何技术或经验的用户也能用它自动打开密码锁。当然,用户也可以稍微参与这个开锁过程,只要转动目标锁的转子同时拽紧卸扣就能找到产生阻力的第一个数字,然后从这个位置开始让机器人接手即可。卡姆卡说,用这种方式可以让整个开锁时间缩短到30秒以内。他说:“用户完全不插手的话,开锁机器人要自动尝试80次就能打开锁,如果用户一开始进行一次小小的尝试,那么开锁机器人最多只需尝试8次就可以打开锁了。”
卡姆卡的这款开锁机器人配件并不多,只有一个步进电机、一块运行他编写的破解算法的Arduino芯片、一根拉动卸扣的杠杆、能够贴在锁表面的转子以及在锁盘转动时跟踪锁盘位置的光学感应器。卡姆卡说,这款开锁机器人的总造价不超过100美元。
玛斯特锁对此未予置评。但是卡姆卡称,玛斯特锁对于他发布的这种破解技术并不会感到特别意外,这也不会引发严重的安全危机。玛斯特锁为它的锁具划分了10个等级的安全级数,显示在锁具的包装盒上,他测试的锁具都是安全级数为3级的玛斯特锁。他说:“道理很简单,如果你想用储物柜保存贵重物品,你最好用一把好一点的锁。”
实际上,卡姆卡的开锁方法借用了多年以来已经广为人知的一种诀窍,这种诀窍可以将低端玛斯特锁的可能密码组合数从6万多个减少到100个。卡姆卡最初的目标是让他的机器人自动完成100次密码组合的猜测工作。但是当他打开锁具背部,了解到锁具的工作原理之后,他发现自己传统的破解方法可以进一步简化,极大地减少机器人的开锁时间。
卡姆卡目前是一名独立软件开发员和顾问。他因为在2005年开发出“Samy worm”而名声鹊起,这种蠕虫攻击在Myspace中迅速传播,不到24个小时就给他的Myspace帐户添加了几百万个好友。
卡姆卡目前正在研究一种能够寻找其他无人机并无线劫持它们的无人机以及一种几乎不可能被删除的浏览器跟踪cookie。
卡姆卡说,他在Combo Breaker的计划中说明了自己的目标,主要是培育黑客实验以及分享他自己的乐趣。他还希望让公众明白他们的低端锁具根本就不安全。卡姆卡说:“安全行业内的人知道这一点,但是公众并不知道。我想做一些公众感兴趣的东西,我希望将这些东西发布出来可以帮助人们在选择锁具时作出更好的决策。”(林靖东)