Imagine: Shuttesrtock
Articolul a apărut inițial pe Motherboard.În 2003, cercetătorii în securitate cibernetică Tomi Tuominen și Timo Hirvonen se aflau la o conferință când unuia dintre colegi i s-a șterpelit laptopul din camera de hotel. Hoțul nu a lăsat niciun indiciu despre modalitatea efracției: ușa nu era forțată și nu apărea nimic în arhiva software-ului. Asta i-a determinat pe cei doi finlandezi să suspecteze că infractorul descoperise o metodă prin care să treacă de sistemul de securitate al hotelului și să acceseze camera fără cheie.
Publicitate
Evenimentul i-a inspirat să demareze o cercetare despre sistemele de securitate ale hotelurilor, deși cei doi sunt angajați la o companie de securitate F-Secure, iar cercetarea a fost un fel de proiect de weekend. După 15 ani de lucru în domeniu, ei au reușit să descopere o vulnerabilitate majoră într-o încuietoare folosită de toate hotelurile din jurul lumii, care practic le-ar fi oferit cercetătorilor o cheie universală.„Îți imaginezi ce ar face o persoană malițioasă cu posibilitatea de a intra în orice cameră de hotel, cu o cheie universală creată din nimic?”, a spus Tuominen într-o declarație.Ai nevoie doar de o cartelă de la un hotel care folosește încuietori Vision, create de compania VingCard, merge și cu una expirată. Cu un Proxmark3 și un cititor RFID, care costă doar trei sute de dolari, un hacker poate scana cheia și să se folosească de același device pentru a crea mai multe chei similare. Conform lui Tuominen și Hirvonen, device-ul ăsta este capabil să folosească un software customizabil dezvoltat de cercetători pentru generarea cheilor în doar câteva minute, iar cu device-ul poți intra în orice cameră.„Nu ne-a venit să credem când cheia noastră universală a descuiat prima încuietoare”, a spus Tuominen pentru site-ul finlandez de știri, Helsingin Sanomat. „Asta nu este metoda folosită de infractorii profesioniști pentru a intra în camerele de hotel.”Ba mai mult, vulnerabilitatea din softul Vision care a permis acest hack ar putea fi exploatată și pentru a accesa informații despre clienți.
Compania de încuietori a fost înștiințată anul trecut de acest hack, iar Tuominen și Hirvonen au fost angajați pentru a dezvolta un patch care să protejeze încuietorile afectate. După care, hotelurile trebuie să-și actualizeze software-ul, prin verificarea fiecărei încuietoare și rectificarea individuală a acestora. Cercetătorii au spus că nu vor publica detalii despre atac, pentru a preveni astfel de scenarii în hotelurile care încă nu și-au actualizat software-ul.„Construirea unui sistem sigur de controlare al accesului este foarte dificil, deoarece sunt atât de multe lucruri pe care trebuie să le nimerești”, a spus Hirvonen într-o declarație. „Doar după ce am înțeles pe deplin cum a fost conceput tot sistemul, am reușit să identificăm erori inofensive în aparență. Am combinat destul de creativ aceste erori, pentru a dezvolta o metodă de a crea cheile universale.”