(σε) Ασφαλής είναι μια εβδομαδιαία στήλη που βουτάει στο ταχέως κλιμακούμενο θέμα της κυβερνοασφάλειας.
Τι θα γινόταν αν επιστρέψατε στο δωμάτιο του ξενοδοχείου σας και ανακαλύψατε ότι έλειπε ο φορητός υπολογιστής σας; Τι θα γινόταν αν δεν υπήρχε κανένα ίχνος εισβολέα, καμία αναγκαστική είσοδος, καμία απόδειξη ότι μπήκε καθόλου στο δωμάτιο; Η εταιρεία ασφαλείας F-Secure αντιμετώπισε αυτή την ερώτηση και η απάντησή της ήταν απλή: Μάθετε πως να κάνει το αδύνατο δυνατό. Μάθετε πώς να είστε φάντασμα.
F-Secure ανακοινώθηκε αυτή την εβδομάδα ότι είχε αποκαλύψει μια τεράστια ευπάθεια που επηρεάζει εκατομμύρια ηλεκτρονικές κλειδαριές παγκοσμίως. Το κατόρθωμα θα επέτρεπε σε οποιονδήποτε να μπει σε ένα δωμάτιο ξενοδοχείου χωρίς να εντοπιστεί, χωρίς να αφήνει κανένα ίχνος. Καθίσαμε με τους ερευνητές που ανακάλυψαν το κατόρθωμα, τον Timo Hirvonen και τον Tomi Tuominen, για να μιλήσουμε για τα γεγονότα που οδήγησαν στην ανακάλυψή του και πώς αυτό το κατόρθωμα μπορεί να έκανε το επόμενο ξενοδοχείο σας να μείνει πολύ ασφαλέστερα.
Ένα βράδυ στο Βερολίνο
«Η ιστορία ξεκινά το 2003, όταν παρακολουθούσαμε ένα συνέδριο χάκερ στο Βερολίνο της Γερμανίας», δήλωσε ο Tomi Tuominen, Practice Leader στο F-Secure. «Όταν επιστρέψαμε στο ξενοδοχείο, παρατηρήσαμε ότι ο φορητός υπολογιστής του φίλου μας είχε κλαπεί από το δωμάτιο του ξενοδοχείου - και αυτό ήταν ένα ωραίο ξενοδοχείο. Ειδοποιήσαμε το προσωπικό και δεν μας πήραν στα σοβαρά γιατί είχαν κοιτάξει το ημερολόγιο και δεν υπήρχε κανένα σημάδι εισόδου ή αναγκαστικής εισόδου.»
«Αυτό μας έκανε να σκεφτούμε: πώς ήταν δυνατόν κάποιος να μπει στο δωμάτιο του ξενοδοχείου κυριολεκτικά χωρίς να αφήνει κανένα ίχνος;
Αυτή η κλοπή, προσθέτει ο Timo Hirvonen, ανώτερος σύμβουλος ασφαλείας στην F-Secure, ήταν το πρώτο βήμα προς την ανακάλυψη ενός κρίσιμου ευπάθεια σε ένα από τα πιο δημοφιλή συστήματα ηλεκτρονικών κλειδαριών στον κόσμο - το κλείδωμα Assa Abloy Vision VingCard Σύστημα.
«Ο φίλος μας έκανε αρκετά ενδιαφέροντα πράγματα εκείνες τις μέρες, σίγουρα ένας λόγος για να σηκώσει κάποιος το laptop του. Αυτό μας έκανε να σκεφτούμε, εντάξει, πώς ήταν δυνατόν κάποιος να μπει στο δωμάτιο του ξενοδοχείου κυριολεκτικά χωρίς να αφήνει κανένα ίχνος;» είπε ο Τουόμινεν.
Για τα επόμενα δεκαπέντε χρόνια, ο Tomi, ο Timo και η υπόλοιπη ομάδα της F-Secure εργάστηκαν στο exploit ως δευτερεύον έργο. Σπεύδουν όμως να επισημάνουν ότι δεν ήταν τόσο δυσεπίλυτο πρόβλημα που φώναζαν να λύσουν όσο όσο κι αν ήταν ένα παζλ — ένα χόμπι στο οποίο δούλεψαν περισσότερο από περιέργεια παρά από μια προσπάθεια να σπάσουν το σύστημα VingCard.
«Μερικοί άνθρωποι παίζουν ποδόσφαιρο, άλλοι παίζουν γκολφ, και εμείς κάνουμε… τέτοια πράγματα», είπε ο Τουόμινεν γελώντας.
Όπως μπορείτε να φανταστείτε, αφού ξόδεψαν τόσο χρόνο και ενέργεια για να βρουν έναν τρόπο να παρακάμψουν την ασφάλεια του συστήματος VingCard, ενθουσιάστηκαν όταν βρήκαν την απάντηση. Ωστόσο, δεν ήταν μόνο μια στιγμή "Αχα", το κατόρθωμα συνήλθε σε κομμάτια, αλλά όταν το δοκίμασαν για πρώτη φορά και λειτούργησε σε μια πραγματική κλειδαριά ξενοδοχείου, η ομάδα της F-Secure ήξερε ότι είχε κάτι ιδιαίτερο στο χέρια.
«Ήταν πολύ εκπληκτικό, είμαι πολύ σίγουρος ότι ήμασταν high-fiving. Υπήρχαν μικρότερες επιτυχίες πριν από αυτό, αλλά όταν τελικά τα κομμάτια ενώθηκαν για πρώτη φορά», είπε ο Tuominen. «Όταν συνειδητοποιήσαμε πώς να το μετατρέψουμε σε μια πρακτική επίθεση που διαρκεί μόνο λίγα λεπτά, νομίζαμε ότι ναι αυτό θα συμβεί. Πήγαμε σε ένα πραγματικό ξενοδοχείο και το δοκιμάσαμε και λειτούργησε, και ήταν εκπληκτικό.»
Το κύριο κλειδί
Εντάξει, πώς λειτουργεί αυτή η επίθεση; Λοιπόν, το F-Secure δεν μπήκε σε λεπτομέρειες για λόγους ασφαλείας, αλλά πώς λειτουργεί στην πράξη είναι —όπως είπε ο Tuominen— συγκλονιστικό. Ξεκινά με μια μικρή συσκευή που μπορεί να παραλάβει ο καθένας στο διαδίκτυο και μόλις η ομάδα F-Secure φορτώσει το υλικολογισμικό της τη συσκευή, θα μπορούσαν να μπουν σε οποιοδήποτε ξενοδοχείο χρησιμοποιώντας το σύστημα VingCard και να έχουν πρόσβαση με κύριο κλειδί σε λίγο λεπτά.
«Μπορούσαμε να ανεβαίνουμε σε ασανσέρ με έναν επισκέπτη, αν ο επισκέπτης είχε ένα κλειδί στην τσέπη του, θα μπορούσαμε να διαβάσουμε το κλειδί μέσα από την τσέπη με τη συσκευή μας. Στη συνέχεια, περπατούσαμε σε οποιαδήποτε από τις πόρτες και συνήθως σε λιγότερο από ένα λεπτό μπορούμε να βρούμε το κύριο κλειδί.»
«Διαρκεί μόνο λεπτά. Για παράδειγμα, θα μπορούσαμε να οδηγήσουμε ένα ασανσέρ με έναν επισκέπτη, αν ο επισκέπτης είχε ένα κλειδί στην τσέπη του, θα μπορούσαμε να διαβάσουμε το κλειδί μέσα από την τσέπη με τη συσκευή μας. Στη συνέχεια θα περπατούσαμε σε οποιαδήποτε από τις πόρτες και συνήθως σε λιγότερο από ένα λεπτό μπορούμε να βρούμε το κύριο κλειδί», εξήγησε ο Hirvonen.
Η επίθεση λειτουργεί διαβάζοντας πρώτα οποιαδήποτε κάρτα από το ξενοδοχείο που θέλουν να διαρρήξουν — ακόμα κι αν έχει λήξει ή απλώς μια κάρτα κανονικού επισκέπτη. Αυτό το μέρος μπορεί να γίνει από απόσταση, όπως εξήγησε ο Tuominen, διαβάζοντας τις πληροφορίες που χρειάζονται απευθείας από την τσέπη σας.
Στη συνέχεια, το μόνο που χρειάζεται είναι να αγγίξετε τη συσκευή σε μία από τις ηλεκτρονικές κλειδαριές του ξενοδοχείου για αρκετή ώρα ώστε να μαντέψει τον κύριο κωδικό κλειδιού με βάση τις πληροφορίες στην κάρτα που διάβασε για πρώτη φορά. Δεν είναι μόνο μια ενδελεχής παράκαμψη ενός συστήματος ηλεκτρονικής κλειδαριάς, αλλά είναι μια πρακτική επίθεση χρησιμοποιώντας το υλικό από το ράφι.
«Είναι μια μικρή συσκευή, το υλικό ονομάζεται Proxmark, είναι κάτι δημοσίως διαθέσιμο, μπορείτε να το αγοράσετε online για μερικές εκατοντάδες ευρώ. Η συσκευή είναι μάλλον μικρή, μπορείς να την χωρέσεις εύκολα στο χέρι σου, έχει περίπου το μέγεθος ενός αναπτήρα», εξήγησε ο Tuominen.
Ευτυχώς, το F-Secure είναι αρκετά σίγουρο ότι αυτό το exploit δεν έχει χρησιμοποιηθεί στη φύση. Η λύση είναι αρκετά νέα και μόλις κατάλαβαν ότι είχαν μια αναπαραγώγιμη επίθεση στα χέρια τους, έφτασαν αμέσως στον κατασκευαστή Assa Abloy για να τους ενημερώσουν.
«Ήταν αρχές του 2017 όταν καταφέραμε για πρώτη φορά να δημιουργήσουμε το κύριο κλειδί. Και αμέσως αφού ανακαλύψαμε ότι είχαμε αυτή τη δυνατότητα, επικοινωνήσαμε με την Assa Abloy. Τους συναντήσαμε την πρώτη φορά πρόσωπο με πρόσωπο τον Απρίλιο του 2017. Εξηγήσαμε τα ευρήματά μας και εξηγήσαμε την επίθεση και από τότε εργαζόμαστε μαζί για να διορθώσουμε αυτά τα τρωτά σημεία», είπε ο Tuominen. «Αρχικά πίστευαν ότι θα μπορούσαν να διορθώσουν οι ίδιοι τα τρωτά σημεία, αλλά όταν διόρθωσαν την ευπάθεια και μας έστειλαν τις διορθωμένες εκδόσεις, τις σπάσαμε επίσης μερικές φορές στη σειρά. Από τότε συνεργαζόμαστε μαζί τους».
Πρέπει να ανησυχείτε;
Εάν έχετε προγραμματίσει καλοκαιρινές διακοπές ή εάν είστε συχνός ταξιδιώτης, ίσως αναρωτιέστε, είναι κάτι που πρέπει να ανησυχείτε; Πιθανώς όχι. Η F-Secure και η Assa Abloy εργάζονται χέρι-χέρι για να παραδώσουν ενημερώσεις κώδικα λογισμικού σε ξενοδοχεία που επηρεάζονται.
«[Η Assa Abloy] ανακοίνωσε τα patches στις αρχές του 2018, επομένως είναι διαθέσιμα εδώ και λίγους μήνες. Έχουν έναν ιστότοπο προϊόντων όπου μπορείτε να εγγραφείτε και να κατεβάσετε τις ενημερώσεις κώδικα δωρεάν», εξήγησε ο Tuominen. "Είναι μια ενημερωμένη έκδοση κώδικα μόνο λογισμικού, αλλά πρώτα πρέπει να ενημερώσετε το λογισμικό υποστήριξης και μετά πρέπει να μεταβείτε σε κάθε πόρτα και να ενημερώσετε το υλικολογισμικό αυτής της πόρτας ή την κλειδαριά χειροκίνητα."
Έτσι, πιθανότατα δεν χρειάζεται να προσέχετε τις ηλεκτρονικές κλειδαριές της επωνυμίας Assa Abloy την επόμενη φορά που θα βρίσκεστε σε ξενοδοχείο. Οι ενημερώσεις κώδικα είναι διαθέσιμες από την αρχή του έτους και σύμφωνα με την F-Secure δεν υπάρχει καμία λόγος να πιστεύουμε ότι αυτό το συγκεκριμένο exploit έχει χρησιμοποιηθεί στη φύση - εκτός από τις δικές τους δοκιμές σειρά μαθημάτων. Αυτό είναι ένα σημείο που η Assa Abloy σπεύδει να επαναλάβει στην επίσημη δήλωσή της, υποβαθμίζοντας το hack.
Ωστόσο, δεν βλάπτει ποτέ να είστε προσεκτικοί, γι' αυτό αν ταξιδεύετε με ακριβά ή ευαίσθητα ηλεκτρονικά είδη, βεβαιωθείτε ότι τα έχετε στο πρόσωπό σας ή ασφαλισμένα στο χρηματοκιβώτιο του δωματίου σας. Είναι σημαντικό να θυμάστε ότι αυτή δεν θα είναι η τελευταία φορά που ένα σύστημα ηλεκτρονικής κλειδαριάς τίθεται σε κίνδυνο με αυτόν τον τρόπο. Είμαστε απλώς τυχεροί που ήταν η F-Secure που βρήκε αυτήν την ευπάθεια. Άλλες εταιρείες, ιδιώτες ή ακόμη και κυβερνήσεις, μπορεί να μην είναι τόσο προσεχείς.
