Kiedy większość ludzi wynajmuje pokój hotelowy, bezpieczeństwo jest jednym z czynników, które biorą pod uwagę. Oprócz wiedzy na temat tego, czy hotel oferuje obsługę pokoju, klimatyzację czy bezpłatne Wi-Fi, chcemy wiedzieć, że my – i nasze rzeczy – będziemy bezpieczni przez cały nasz pobyt. Im bardziej marka hotelu jest renomowana i im lepszą ma lokalizację, tym bardziej czujemy się bezpieczniej.
Ale co, jeśli dowiesz się, że system blokujący, który zabezpiecza Twój pokój hotelowy za 400 złotych za noc jest podatny na atak i może zostać zhakowany? Co się stanie, jeśli atakujący może nie tylko uzyskać dostęp do twojego pokoju, ale do każdego pokoju w budynku?
Brzmi to przerażająco, ale taki scenariusz odkryli badacze F-Secure, kiedy badali szeroko stosowany system zamków gości, stworzony przez największego na świecie producenta zamków, Assa Abloy. Odkrycie ma wpływ na miliony zamków w dziesiątkach tysięcy hoteli na całym świecie, w tym w lokalizacjach prowadzonych przez znane międzynarodowe sieci.
Początek
Wiele lat temu dwaj nasi etyczni hakerzy uczestniczyli w konferencji infosec w Berlinie. Laptop kolegi badacza został skradziony z zamkniętego pokoju hotelowego, gdy byli poza nim. Intrygujące jest to, że nie było żadnych oznak siłowego wejścia. Zgłosili zdarzenie obsłudze hotelu, ale bez żadnej poszlaki (fizycznej czy w logach systemu) wskazującej na nieuprawnione wejście do pokoju, personel odrzucił skargę.
Ciekawość naszych badaczy została wzbudzona. Postanowili zbadać, czy można wejść do zamkniętego pokoju hotelowego bez klucza i… śladów. Wreszcie, po ponad dekadzie i tysiącach godzin próbnych badań, wiedzą jak to zrobić.
Ich cel: marka wysokiego kalibru, znana z jakości i bezpieczeństwa.
„Możesz sobie wyobrazić, co złośliwa osoba mogłaby zrobić, gdyby mogła wejść do dowolnego pokoju hotelowego, z kluczem głównym stworzonym zasadniczo z powietrza” – mówi Tomi Tuominen, kierownik praktyki w F-Secure Cyber Security Services. Pracował równolegle z Timo Hirvonenem, starszym konsultantem ds. Bezpieczeństwa, by opracować sposób na wykorzystanie systemu oprogramowania, zwanego Vision by VingCard.
Hakowanie
Najpierw atakujący musi uzyskać dostęp do klucza elektronicznego docelowego obiektu. Dosłownie każdy klucz wystarczy, czy to klucz do pokoju, czy klucz do szafki lub garażu. Co więcej, klucz nie musi być aktywny: nawet wygasły klucz z pobytu sprzed pięciu lat będzie działał.
Osoba atakująca odczyta klucz i za pomocą małego urządzenia wyprowadzi więcej kluczy do obiektu. Te pochodne klucze można przetestować pod kątem dowolnej blokady w tym samym budynku. W ciągu kilku minut urządzenie jest w stanie wygenerować klucz główny do obiektu. Urządzenie może być następnie użyte zamiast klucza do ominięcia dowolnego zamka w obiekcie lub alternatywnie do zastąpienia istniejącego klucza nowo utworzonym kluczem głównym.
Potrzebny sprzęt jest dostępny online za kilkaset euro. Jednak to niestandardowe oprogramowanie opracowane przez Tomi i Timo umożliwia atak.
„Budowa bezpiecznego systemu kontroli dostępu jest bardzo trudna, ponieważ jest tak wiele rzeczy, które trzeba poprawić” – mówi Timo. „Dopiero po dokładnym zrozumieniu, jak zaprojektowano cały system, byliśmy w stanie zidentyfikować pozornie nieszkodliwe niedociągnięcia. Twórczo je połączyliśmy, aby wymyślić metodę tworzenia kluczy głównych. ”
Ponadto podczas swoich badań Tomi i Timo odkryli, że oprogramowanie Vision można wykorzystać w tej samej sieci, aby uzyskać dostęp do poufnych danych klientów.
Rozwiązanie
Tomi i Timo powiadomili Assę Abloy o swoich odkryciach w kwietniu 2017 r., a od tego czasu współpracują z zespołem badawczo-rozwojowym twórcy kluczy, aby naprawić wady. Assa Abloy wydała ostatnio aktualizację oprogramowania i udostępniła je hotelom, których dotyczy problem.
„Ze względu na staranność i gotowość Assy Abloy do rozwiązania problemów zidentyfikowanych przez nasze badania, świat hotelarstwa jest teraz bezpieczniejszym miejscem” – mówi Tomi. „Zachęcamy każdy zakład, który korzysta z tego oprogramowania, aby zastosował aktualizację tak szybko, jak to możliwe.”
Duet nie opublikuje pełnych szczegółów ataku, ani nie udostępni żadnych narzędzi ataku. Do chwili obecnej nie ą oni świadomi żadnych przypadków tego samego ataku przeprowadzanego na wolności.
Gościnność jest branżą docelową na polu bitwy Infosec. Jakie środki ostrożności powinni podjąć podróżujący, aby zabezpieczyć się przed tego rodzaju atakami podczas wynajmowania pokoju?
„Moja rekomendacja jest taka, że ludzie powinni nadal robić rzeczy, które, mam nadzieję, już robią” – mówi Timo. „Oznacza to, że nie powinno sie zostawiać żadnych cennych rzeczy w pokoju hotelowym i używać łańcucha w drzwiach, gdy jesteś w pokoju lub kładziesz się spać. Jeśli jeszcze tego nie robiłeś, teraz może być dobry moment na rozpoczęcie. „