Hoewel beveiliging op softwareniveau meestal de boventoon voert op conferenties, is er af en toe ook aandacht voor fysieke beveiliging. In dit geval voor de zogenaamde Knox Box, die in de VS wordt gebruikt om aan de buitenkant van een pand een sleutel voor de brandweer te bewaren.
De 18-jarige m010ch_, die zich presenteerde als physical security enthousiast, besprak deze 'kluisjes' in zijn eerste Def Con-presentatie. Normaal gesproken worden die ingeleid met een shotje, dat door zijn leeftijd alleen water bevatte. Hij begon zijn presentatie met een uitleg over het fenomeen Knox Box. Dat zijn kastjes aan de buitenkant van een gebouw waarin huiseigenaren of beheerders van bedrijfspanden een sleutel bewaren, zodat de brandweer naar binnen kan bij brand. Soms zouden deze verplicht zijn. Volgens de student zijn niet alle sleutels die de brandweer voor deze kastjes heeft, uniek, soms is er één sleutel voor een hele wijk en soms zelfs voor een hele staat.
Je ziet al ongeveer waar deze vorm van key escrow de mist in gaat. Dat dacht m010ch_ ook en besloot eens te kijken of het mogelijk is de 'masterkey' in handen te krijgen, met alle gevolgen van dien. Hij kwam erachter dat het niet mogelijk is om een sleutel te kopen, maar wel een Knox Box. Deze was vervolgens vrij eenvoudig uit elkaar te halen, waardoor hij het slot in handen kreeg. Door dit met een ijzerzaag door te zagen, kreeg hij een idee van het profiel van de sleutel en had hij een zogenaamde blank in handen. Vervolgens haalde hij de pinnen uit het slot om deze op te meten. Hij gebruikte de software OpenSCAD om een volledig 3d-model van de sleutel te maken. Volgens de student werkte vervolgens het 3d-printen via multi jet fusion het beste.
Met de geprinte sleutel was hij in staat ook andere Knox Boxes te openen, wat om duidelijke redenen niet de bedoeling is. Hij vulde aan dat het niet eens nodig is om een dergelijk kastje zelf te kopen, omdat ze soms ook aan hekken worden vastgemaakt waar ze eenvoudig van af te halen zijn. Zijn aanbeveling is dan ook deze manier van het opbergen van sleutels in zijn geheel te vergeten. Zijn materiaal is op GitHub te vinden.