上周四,知名黑客萨米·卡姆卡尔(Samy Kamkar)在自己的网站上公布了一个称之为“Combo Breaker”(密码锁突破者)的机器人的3D打印蓝图及相关代码,该机器人是基于Arduino设计的。只需将它放在四处可见的Master Lock密码锁上,通过卡姆卡尔发现的一处漏洞,Combo Breaker在无需人工干预的情况下,最多只需5分钟即可打开密码锁。Combo Breaker内置的代码使其可以不仅仅利用暴力手段开锁。上月,卡姆卡尔公布了一种数学技巧,让任何人都可以在短短8次尝试下打开一只低端Master Lock密码锁。这种技巧的成功实施得益于一种产品缺陷:当转子旋转时,如果U型勾环被拉动,则在特定数字上会遭遇一定阻力,进而帮助开锁人识别“密码盘”的方位,最终实现开锁目的。卡姆卡尔通过一种基于Web的工具实现了这种技巧,并得到多人证实。
Combo Breaker将上述技巧进一步自动化,让任何没有经验的人也可以实施开锁作业。而如果在人工帮助下,只需通过上述手法确定第一个存在阻力的数字是什么,Combo Breaker就可以在30秒的时间里搞定密码锁。“在无需任何干预的情况下,Combo Breaker可以自行完成80种组合尝试来开锁,” 卡姆卡尔解释道。“如果能通过手动模式帮助确定第一个数字,则该设备只需尝试最多8次即可。”
Combo Breaker的构造非常简单,它包括一个步进电机、一颗用来运行解锁算法的Arduino芯片、一个拉动勾环的杠杆、一个3D打印的扣件帮助产品吸附在锁具前方以及一个光学传感器用来追踪刻度盘上的数字。据卡姆卡尔表示,所有这些零件的成本加起来不超过100美元。后文将会附上打造整个设备的视频。卡姆卡尔表示,锁具制造商对于他的这一发现丝毫不会感到意外。Master Lock在产品外包装上以1至10的数字对锁具的安全级别进行了标示,他测试的产品的安全级别为3。“很显然,如果你真的有非常重要的东西需要保护,肯定需要一个对应安全级别的锁具,” 卡姆卡尔说道。
实际上,类似的方法多年来一直为人所知,卡姆卡尔所做的就是将64000次尝试减少到了100次。然而,在实现了最初的目标之后,通过实践,卡姆卡尔进一步简化了整个过程,大幅度减少了开锁时间。Combo Breaker机器人只是卡姆卡尔众多的奇思妙想之一,他一直作为一名独立软件开发者以及顾问在工作。2005年,在创建了“萨米蠕虫”后,卡姆卡尔声名鹊起。这种“蠕虫”像病毒一样传播到整个Myspace社交网络,在不到24小时时间里便为萨米的空间吸引到超过100万的新朋友。卡姆卡尔最新的工作包括:一架通过无线方式劫持其他无人机的无人机以及一种几乎无法移除的称之为“evercookie”的浏览器cookie。
卡姆卡尔打造和公布Combo Breaker机器人的目的基本上是为了试验和自娱自乐,他将其称之为一种类似“詹姆斯·邦德”风格的工具。但是,他同时也希望大众能够意识到低端密码锁具所存在的风险。“安全人员知道这一点,但是公众并不知情,” 卡姆卡尔表示。“我希望通过打造有趣的东西吸引大众的关注,进而让他们更加全面的意识到这些锁具所存在的风险,以便进行更加准确的权衡。”