(असुरक्षित एक साप्ताहिक कॉलम है जो साइबर सुरक्षा के तेजी से बढ़ते विषय पर प्रकाश डालता है।
क्या होगा यदि आप अपने होटल के कमरे में वापस आए और पाया कि आपका लैपटॉप गायब है? क्या होगा अगर किसी घुसपैठिये का कोई निशान न हो, कोई जबरन प्रवेश न हो, कोई सबूत न हो कि कमरे में प्रवेश किया गया था? सुरक्षा फर्म एफ-सिक्योर को उस प्रश्न का सामना करना पड़ा, और उनका उत्तर सरल था: पता लगाएं कैसे असंभव को संभव बनाने के लिए. जानिए भूत कैसे बनें।
एफ सुरक्षित इस सप्ताह की घोषणा की इसने दुनिया भर में लाखों इलेक्ट्रॉनिक तालों को प्रभावित करने वाली एक बड़ी भेद्यता का खुलासा किया था। यह कारनामा किसी को भी बिना पहचाने होटल के कमरे में जाने देगा, कोई निशान नहीं छोड़ेगा। हम इस बारे में बात करने के लिए उन शोधकर्ताओं, टिमो हिरवोनेन और टोमी तुओमिनेन के साथ बैठे जिन्होंने शोषण की खोज की थी इसकी खोज से जुड़ी घटनाएँ और कैसे इस कारनामे ने आपके अगले होटल में ठहरने को काफी मुश्किल बना दिया होगा सुरक्षित.
बर्लिन में एक रात
"कहानी 2003 में शुरू होती है, जब हम बर्लिन, जर्मनी में एक हैकर सम्मेलन में भाग ले रहे थे," टोमी तुओमिनेन, प्रैक्टिस लीडर ने कहा
एफ सुरक्षित. “जब हम होटल वापस आये, तो हमने देखा कि हमारे दोस्त का लैपटॉप उसके होटल के कमरे से चोरी हो गया था - और यह एक अच्छा होटल था। हमने कर्मचारियों को सूचित किया, और उन्होंने वास्तव में हमें गंभीरता से नहीं लिया क्योंकि उन्होंने लॉग देखा था और प्रवेश या जबरन प्रवेश का कोई संकेत नहीं था।“इससे हम सोचने पर मजबूर हो गए: यह कैसे संभव है कि कोई व्यक्ति होटल के कमरे में सचमुच कोई निशान छोड़े बिना प्रवेश करने में सक्षम था?
एफ-सिक्योर के वरिष्ठ सुरक्षा सलाहकार टिमो हिरवोनेन कहते हैं, वह चोरी एक महत्वपूर्ण खोज की दिशा में पहला कदम था दुनिया में सबसे लोकप्रिय इलेक्ट्रॉनिक लॉक सिस्टम में से एक - असा एब्लोय विजन विंगकार्ड लॉकिंग में भेद्यता प्रणाली।
“हमारा दोस्त उन दिनों कुछ बहुत दिलचस्प चीजें कर रहा था, निश्चित रूप से किसी के लिए अपना लैपटॉप उठाना एक कारण था। इसने हमें सोचने पर मजबूर कर दिया, ठीक है, यह कैसे संभव है कि कोई व्यक्ति होटल के कमरे में सचमुच कोई निशान छोड़े बिना प्रवेश करने में सक्षम था? तुओमिनेन ने कहा।
अगले पंद्रह वर्षों तक, टॉमी, टिमो और एफ-सिक्योर टीम के बाकी सदस्यों ने एक साइड प्रोजेक्ट के रूप में शोषण पर काम किया। हालाँकि, उन्होंने तुरंत यह बताया कि यह इतनी कठिन समस्या नहीं थी कि वे इसे हल करने के लिए छटपटा रहे थे। हालाँकि यह एक पहेली थी - एक ऐसा शौक जिस पर उन्होंने विंगकार्ड प्रणाली को क्रैक करने के अभियान से अधिक जिज्ञासा से काम किया।
तुओमिनेन ने हंसते हुए कहा, "कुछ लोग फुटबॉल खेलते हैं, कुछ लोग गोल्फ खेलते हैं, और हम बस... इस तरह की चीजें करते हैं।"
जैसा कि आप कल्पना कर सकते हैं, विंगकार्ड सिस्टम की सुरक्षा से बचने का रास्ता खोजने में इतना समय और ऊर्जा खर्च करने के बाद, जब उन्हें उत्तर मिला तो वे बहुत खुश हुए। हालाँकि, यह केवल एक "अहा" क्षण नहीं था, यह कारनामा टुकड़ों और टुकड़ों में एक साथ आया, लेकिन जब उन्होंने इसे आज़माया पहली बार और इसने वास्तविक होटल लॉक पर काम किया, एफ-सिक्योर टीम को पता था कि उनके पास कुछ खास है हाथ.
"यह बहुत आश्चर्यजनक था, मुझे पूरा यकीन है कि हम हाई-फ़ाइविंग कर रहे थे। इससे पहले छोटी-मोटी सफलताएँ मिलीं, लेकिन जब टुकड़े अंततः पहली बार एक साथ आए,” तुओमिनेन ने कहा। “जब हमें एहसास हुआ कि इसे एक व्यावहारिक हमले में कैसे बदला जाए जिसमें केवल कुछ मिनट लगते हैं, तो हमने सोचा कि हाँ, यह होने वाला है। हम एक वास्तविक होटल में गए और इसका परीक्षण किया और यह काम कर गया, और यह बहुत ही आश्चर्यजनक था।
मास्टर कुंजी
ठीक है, तो यह हमला कैसे काम करता है? खैर, एफ-सिक्योर ने सुरक्षा कारणों से विवरण में नहीं दिया, लेकिन यह कैसे काम करता है व्यवहार में यह - जैसा टुओमिनेन ने कहा - मन को झकझोर देने वाला है। यह एक छोटे उपकरण से शुरू होता है जिसे कोई भी ऑनलाइन उठा सकता है, और एक बार एफ-सिक्योर टीम अपना फर्मवेयर लोड कर देती है डिवाइस, वे विंगकार्ड सिस्टम का उपयोग करके किसी भी होटल में जा सकते हैं और कुछ ही समय में मास्टर-कुंजी तक पहुंच प्राप्त कर सकते हैं मिनट।
“हम एक अतिथि के साथ लिफ्ट की सवारी कर सकते हैं, यदि अतिथि की जेब में चाबी हो तो हम अपने उपकरण से जेब के माध्यम से चाबी पढ़ सकते हैं। फिर हम किसी भी दरवाज़े तक चलेंगे और आम तौर पर एक मिनट से भी कम समय में हम मास्टर कुंजी ढूंढ लेंगे।
“इसमें केवल कुछ मिनट लगते हैं। उदाहरण के लिए, हम एक अतिथि के साथ लिफ्ट की सवारी कर सकते हैं, यदि अतिथि की जेब में चाबी है तो हम अपने डिवाइस से जेब के माध्यम से चाबी पढ़ सकते हैं। फिर हम किसी भी दरवाज़े तक चलेंगे और आम तौर पर एक मिनट से भी कम समय में हम मास्टर कुंजी ढूंढ लेंगे," हिरवोनेन ने समझाया।
हमला पहले उस होटल के किसी भी कार्ड को पढ़कर काम करता है जिसमें वे प्रवेश करना चाहते हैं - भले ही उसकी समय सीमा समाप्त हो गई हो, या सिर्फ एक नियमित अतिथि का कार्ड हो। जैसा कि तुओमिनेन ने समझाया, उस हिस्से को दूर से ही किया जा सकता है, जिससे उन्हें आवश्यक जानकारी सीधे आपकी जेब से पढ़ी जा सके।
फिर, यह होटल के किसी इलेक्ट्रॉनिक ताले में डिवाइस को इतनी देर तक छूने की बात है कि वह पहले पढ़े गए कार्ड की जानकारी के आधार पर मास्टर कुंजी कोड का अनुमान लगा सके। यह न केवल इलेक्ट्रॉनिक लॉक सिस्टम की पूरी तरह से हेराफेरी है, बल्कि ऑफ-द-शेल्फ हार्डवेयर का उपयोग करके किया गया एक व्यावहारिक हमला है।
"यह एक छोटा उपकरण है, हार्डवेयर को प्रोक्समार्क कहा जाता है, यह सार्वजनिक रूप से उपलब्ध है, आप इसे कुछ सौ यूरो में ऑनलाइन खरीद सकते हैं। यह उपकरण छोटा है, आप इसे आसानी से अपने हाथ में फिट कर सकते हैं, यह एक सिगरेट लाइटर के आकार के बारे में है," तुओमिनेन ने समझाया।
सौभाग्य से, एफ-सिक्योर को यथोचित यकीन है कि इस शोषण का उपयोग जंगली में नहीं किया गया है। समाधान काफी नया है और एक बार जब उन्हें पता चला कि उनके हाथों पर पुनरुत्पादित हमला हुआ है, तो वे तुरंत लॉक निर्माता असा एब्लोय के पास पहुंचे और उन्हें बताया।
“यह 2017 की शुरुआत थी जब हम पहली बार मास्टर कुंजी बनाने में कामयाब रहे। और जैसे ही हमें पता चला कि हमारे पास यह क्षमता है, हमने एसा एब्लोय से संपर्क किया। हम उनसे पहली बार आमने-सामने अप्रैल 2017 में मिले थे. हमने अपने निष्कर्षों की व्याख्या की और हमले की व्याख्या की, और तब से हम इन कमजोरियों को ठीक करने के लिए मिलकर काम कर रहे हैं, ”तुओमिनेन ने कहा। “शुरुआत में उन्होंने सोचा कि वे कमजोरियों को स्वयं ठीक कर पाएंगे, लेकिन जब उन्होंने भेद्यता को ठीक किया और हमें निश्चित संस्करण भेजे तो हमने उन्हें भी लगातार कुछ बार तोड़ दिया। हम तब से उनके साथ मिलकर काम कर रहे हैं।
क्या आपको चिंतित होना चाहिए?
यदि आपने गर्मी की छुट्टियों की योजना बनाई है, या यदि आप बार-बार यात्रा करते हैं तो आप सोच रहे होंगे कि क्या यह ऐसी चीज़ है जिसके बारे में आपको चिंता करने की ज़रूरत है? शायद नहीं। प्रभावित होटलों में सॉफ्टवेयर पैच पहुंचाने के लिए एफ-सिक्योर और असा एब्लोय मिलकर काम कर रहे हैं।
“[अस्सा एब्लोय] ने 2018 की शुरुआत में पैच की घोषणा की, इसलिए वे अब कुछ महीनों के लिए उपलब्ध हैं। उनके पास एक उत्पाद वेबसाइट है जहां आप पंजीकरण कर सकते हैं और मुफ्त में पैच डाउनलोड कर सकते हैं," तुओमिनेन ने समझाया। "यह केवल एक सॉफ्टवेयर पैच है, लेकिन पहले आपको बैकएंड सॉफ्टवेयर को अपडेट करना होगा, और उसके बाद आपको प्रत्येक दरवाजे पर जाना होगा और उस दरवाजे या लॉक के फर्मवेयर को मैन्युअल रूप से अपडेट करना होगा।"
इसलिए, अगली बार जब आप किसी होटल में हों तो संभवतः आपको असा एब्लोय ब्रांड के इलेक्ट्रॉनिक तालों पर नज़र रखने की ज़रूरत नहीं है। पैच वर्ष की शुरुआत से ही उपलब्ध हैं, और एफ-सिक्योर के अनुसार ऐसा नहीं है यह विश्वास करने का कारण है कि इस विशेष शोषण का उपयोग जंगली में किया गया है - उनके अपने परीक्षण के बाहर अवधि। यह वह बिंदु है जिसे असा एब्लोय ने अपने आधिकारिक बयान में तुरंत दोहराया है, हैक को कमतर आंकना.
फिर भी, सतर्क रहने से कभी नुकसान नहीं होता है, इसलिए यदि आप महंगे या संवेदनशील इलेक्ट्रॉनिक्स के साथ यात्रा कर रहे हैं, तो सुनिश्चित करें कि आप उन्हें अपने पास रखें या अपने होटल के कमरे की तिजोरी में सुरक्षित रखें। यह याद रखना महत्वपूर्ण है कि यह आखिरी बार नहीं होगा जब किसी इलेक्ट्रॉनिक लॉक सिस्टम से इस तरह समझौता किया गया हो। हम भाग्यशाली हैं कि यह एफ-सिक्योर था जिसने इस भेद्यता को पाया। अन्य कंपनियां, व्यक्ति या यहां तक कि सरकारें भी शायद इतनी आगे न आएं।
