In che modo F-Secure ha violato 40.000 hotel per renderti più sicuro

(in) Secure è una colonna settimanale che approfondisce l'argomento in rapida crescita della sicurezza informatica.

E se tornassi nella tua camera d'albergo e scoprissi che mancava il tuo laptop? E se non ci fosse traccia di un intruso, nessun ingresso forzato, nessuna prova che la stanza fosse entrata? L'azienda di sicurezza F-Secure si è trovata di fronte a questa domanda e la risposta è stata semplice: scopri come rendere possibile l'impossibile. Scopri come essere un fantasma.

F-Secure ha annunciato questa settimana di aver scoperto un'enorme vulnerabilità che colpisce milioni di serrature elettroniche in tutto il mondo. L'exploit avrebbe permesso a chiunque di entrare in una stanza d'albergo senza essere scoperto, senza lasciare traccia. Abbiamo incontrato i ricercatori che hanno scoperto l'exploit, Timo Hirvonen e Tomi Tuominen, per parlare degli eventi che hanno portato alla sua scoperta e di come questo exploit possa aver reso il tuo prossimo soggiorno in hotel molto più sicuro.

Una notte a Berlino

"La storia inizia nel 2003, quando stavamo partecipando a una conferenza sugli hacker a Berlino, in Germania", ha affermato Tomi Tuominen, Practice Leader di F-Secure. “Quando siamo tornati in hotel, abbiamo notato che il laptop del nostro amico era stato rubato dalla sua camera d'albergo - e questo era un bell'albergo. Abbiamo informato il personale e non ci hanno preso sul serio perché avevano guardato il registro e non c'erano segni di entrata o di entrata forzata ".

“Questo ci ha fatto pensare: come è stato possibile che qualcuno sia riuscito a entrare nella camera d'albergo letteralmente senza lasciare tracce di sorta?

Quel furto, aggiunge Timo Hirvonen, consulente senior per la sicurezza presso F-Secure, è stato il primo passo verso la scoperta di una vulnerabilità critica in uno dei sistemi di chiusura elettronica più popolari al mondo: il sistema di chiusura Assa Abloy Vision VingCard.

“Il nostro amico stava facendo delle cose piuttosto interessanti in quei giorni, sicuramente un motivo per cui qualcuno ha sollevato il suo laptop. Questo ci ha fatto pensare, okay, come è stato possibile che qualcuno sia riuscito a entrare nella stanza d'albergo letteralmente senza lasciare tracce? " Tuominen ha detto.

Per i successivi quindici anni, Tomi, Timo e il resto del team di F-Secure hanno lavorato all'exploit come progetto secondario. Si affrettano a sottolineare, tuttavia, che non era tanto un problema intrattabile che chiedevano a gran voce quanto un puzzle - un hobby su cui hanno lavorato più per curiosità che per tentare di violare il sistema VingCard.

"Alcune persone giocano a calcio alcune persone giocano a golf, e noi facciamo solo ... questo genere di cose", ha detto Tuominen con una risata.

Keycard dell'hotelDispositivo Proxmark3

La società di sicurezza informatica F-Secure ha utilizzato un dispositivo chiamato Proxmark (a sinistra) per hackerare il sistema di sicurezza VingCard utilizzato nelle chiavi magnetiche degli hotel (a destra). Proxmark.org e F-Secure

Come puoi immaginare, dopo aver speso così tanto tempo ed energie per trovare un modo per aggirare la sicurezza del sistema VingCard, sono rimasti estasiati quando hanno trovato la risposta. Non è stato solo un singolo momento "Aha", però, l'exploit si è riunito in pezzi e pezzi, ma quando l'hanno provato per la prima volta e ha funzionato su una vera serratura di un hotel, il team di F-Secure sapeva di avere qualcosa di speciale sulle loro mani.

“È stato piuttosto sorprendente, sono abbastanza sicuro che stavamo dando il cinque. Prima c'erano successi minori, ma quando finalmente i pezzi si sono riuniti per la prima volta ", ha detto Tuominen. “Quando abbiamo capito come trasformare questo in un attacco pratico che richiede solo pochi minuti, ci siamo detti sì, questo accadrà. Siamo andati in un vero hotel, lo abbiamo testato e ha funzionato, ed è stato davvero strabiliante ".

La chiave principale

Va bene, quindi come funziona questo attacco? Ebbene, F-Secure non è entrato nei dettagli per motivi di sicurezza, ma come funziona in pratica è - come ha detto Tuominen - strabiliante. Inizia con un piccolo dispositivo che chiunque può ritirare online e, una volta che il team di F-Secure carica il firmware sul dispositivo, può entrare in qualsiasi hotel utilizzando il sistema VingCard e avere accesso con chiave master in pochi minuti.

“Potremmo salire su un ascensore con un ospite, se l'ospite avesse una chiave in tasca potremmo leggere la chiave attraverso la tasca con il nostro dispositivo. Poi ci avviciniamo a una qualsiasi delle porte e in genere in meno di un minuto possiamo trovare la chiave principale. "

“Ci vogliono solo pochi minuti. Ad esempio, potremmo salire su un ascensore con un ospite, se l'ospite avesse una chiave in tasca potremmo leggere la chiave attraverso la tasca con il nostro dispositivo. Poi ci avvicinavamo a una qualsiasi delle porte e in genere in meno di un minuto riusciamo a trovare la chiave principale ", ha spiegato Hirvonen.

L'attacco funziona leggendo prima qualsiasi carta dell'hotel in cui vogliono entrare, anche se è scaduta o solo la carta di un ospite normale. Quella parte può essere eseguita da remoto, come ha spiegato Tuominen, leggendo le informazioni di cui hanno bisogno direttamente dalla tua tasca.

F-Secure

Quindi, è solo questione di toccare il dispositivo con una delle serrature elettroniche dell'hotel abbastanza a lungo da poter indovinare il codice della chiave principale in base alle informazioni nella carta che ha letto per la prima volta. Non è solo un'elusione completa di un sistema di blocco elettronico, ma è un attacco pratico che utilizza hardware standard.

“È un piccolo dispositivo, l'hardware si chiama Proxmark, è qualcosa di disponibile al pubblico, puoi acquistarlo online per un paio di centinaia di euro. Il dispositivo è piuttosto piccolo, puoi metterlo facilmente in mano, ha le dimensioni di un accendisigari ", ha spiegato Tuominen.

Fortunatamente, F-Secure è ragionevolmente sicuro che questo exploit non sia stato utilizzato in natura. La soluzione è abbastanza nuova e una volta che hanno saputo di avere un attacco riproducibile alle mani, hanno immediatamente contattato il produttore di serrature Assa Abloy per farglielo sapere.

“Era l'inizio del 2017 quando siamo riusciti a creare per la prima volta la chiave master. E subito dopo aver scoperto di avere questa capacità abbiamo contattato Assa Abloy. Li abbiamo incontrati la prima volta faccia a faccia nell'aprile 2017. Abbiamo spiegato i nostri risultati e spiegato l'attacco, e da allora abbiamo lavorato insieme per risolvere queste vulnerabilità ", ha detto Tuominen. "Inizialmente pensavano di essere in grado di riparare le vulnerabilità da soli, ma quando hanno riparato la vulnerabilità e ci hanno inviato le versioni corrette, abbiamo rotto anche quelle un paio di volte di seguito. Da allora lavoriamo insieme a loro ".

Dovresti essere preoccupato?

Se hai in programma una vacanza estiva o se sei un viaggiatore frequente ti starai chiedendo, è qualcosa di cui devi preoccuparti? Probabilmente no. F-Secure e Assa Abloy hanno lavorato mano nella mano per fornire patch software agli hotel interessati.

“[Assa Abloy] ha annunciato le patch all'inizio del 2018, quindi sono disponibili da alcuni mesi. Hanno un sito Web del prodotto in cui è possibile registrarsi e scaricare le patch gratuitamente ", ha spiegato Tuominen. "È una patch solo per il software, ma prima devi aggiornare il software di backend, dopodiché devi andare a ogni porta e aggiornare manualmente il firmware di quella porta o serratura."

Tomi Tuominen F-Secure

Quindi, probabilmente non è necessario tenere d'occhio le serrature elettroniche del marchio Assa Abloy la prossima volta che sei in un hotel. Le patch sono disponibili dall'inizio dell'anno e, secondo F-Secure, non c'è motivo di credere che questo particolare exploit sia stato utilizzato in natura, al di fuori dei propri test, ovviamente. Questo è un punto che Assa Abloy si affretta a ribadire nella sua dichiarazione ufficiale, minimizzando l'hack.

Tuttavia, non fa mai male essere cauti, quindi se viaggi con dispositivi elettronici costosi o sensibili, assicurati di tenerli con te o di proteggerli fisicamente nella cassaforte della tua camera d'albergo. È importante ricordare che questa non sarà l'ultima volta che un sistema di chiusura elettronica viene compromesso in questo modo. Siamo solo fortunati che sia stato F-Secure a trovare questa vulnerabilità. Altre società, individui o persino governi potrebbero non essere così disponibili.