Kako je F-Secure hakirao 40.000 hotela da vas učini sigurnijima

(u) Sigurno je tjedna kolumna koja se bavi temom kibernetičke sigurnosti koja brzo eskalira.

Što ako ste se vratili u hotelsku sobu i otkrili da vam nedostaje prijenosno računalo? Što ako nije bilo traga uljeza, nasilnog ulaska, dokaza da je u sobu uopće ušlo? Sigurnosna tvrtka F-Secure suočila se s tim pitanjem, a njihov je odgovor bio jednostavan: saznati kako učiniti nemoguće mogućim. Saznajte kako biti duh.

F-Secure objavio ovaj tjedan da je otkrio ogromnu ranjivost koja utječe na milijune elektroničkih brava diljem svijeta. Eksploatacija bi omogućila bilo kome da uđe u hotelsku sobu neopaženo, ne ostavljajući nikakav trag. Sjeli smo s istraživačima koji su otkrili eksploataciju, Timom Hirvonenom i Tomijem Tuominenom, kako bismo razgovarali o događaje koji su doveli do njegovog otkrića i kako je ovaj podvig mogao učiniti vaš sljedeći boravak u hotelu mnogo sigurnije.

Jedna noć u Berlinu

"Priča počinje 2003., kada smo prisustvovali hakerskoj konferenciji u Berlinu, u Njemačkoj," rekao je Tomi Tuominen, voditelj prakse u

F-Secure. “Kad smo se vratili u hotel, primijetili smo da je laptop našeg prijatelja ukraden iz njegove hotelske sobe - a ovo je bio lijep hotel. Obavijestili smo osoblje, a oni nas zapravo nisu shvatili ozbiljno jer su pogledali dnevnik i nije bilo tragova ulaska ili nasilnog ulaska.”

“To nas je natjeralo na razmišljanje: kako je moguće da je netko uspio ući u hotelsku sobu doslovno ne ostavljajući nikakve tragove?

Ta je krađa, dodaje Timo Hirvonen, viši sigurnosni savjetnik u F-Secureu, bila prvi korak prema otkrivanju kritične ranjivost u jednom od najpopularnijih sustava elektroničkih brava na svijetu — Assa Abloy Vision VingCard zaključavanju sustav.

“Naš prijatelj je tih dana radio neke prilično zanimljive stvari, definitivno razlog da mu netko podigne laptop. To nas je natjeralo na razmišljanje, dobro, kako je moguće da je netko uspio ući u hotelsku sobu doslovno ne ostavljajući nikakve tragove?” rekao je Tuominen.

Sljedećih petnaest godina Tomi, Timo i ostatak F-Secure tima radili su na eksploataciji kao sporednom projektu. Ipak, brzo ističu da to nije bio toliko nerješiv problem koji su galamili riješiti koliko koliko god to bila zagonetka - hobi na kojem su radili više iz znatiželje nego iz poriva da provale sustav VingCard.

"Neki ljudi igraju nogomet, neki ljudi igraju golf, a mi jednostavno radimo... takve stvari", rekao je Tuominen kroz smijeh.

Hotelske kartice
Proxmark3 uređaj
Tvrtka za kibernetičku sigurnost F-Secure upotrijebila je uređaj nazvan Proxmark (lijevo) za hakiranje sigurnosnog sustava VingCard koji se koristi u hotelskim ključevima (desno).Proxmark.org i F-Secure

Kao što možete zamisliti, nakon što su potrošili toliko vremena i energije na pronalaženje načina za zaobilaženje sigurnosti sustava VingCard, bili su oduševljeni kada su pronašli odgovor. Nije to bio samo jedan "Aha" trenutak, eksploatacija se skupljala u komadićima, ali kad su je isprobali po prvi put i radilo je na pravoj hotelskoj bravi, F-Secure tim je znao da imaju nešto posebno na svom ruke.

“Bilo je prilično nevjerojatno, sasvim sam siguran da smo davali pet. Prije toga je bilo manjih uspjeha, ali kad su se kockice konačno prvi put posložile”, rekao je Tuominen. “Kada smo shvatili kako ovo pretvoriti u praktičan napad koji traje samo nekoliko minuta, bili smo kao da, ovo će se dogoditi. Otišli smo u pravi hotel i testirali ga i upalilo je, i bilo je prilično zadivljujuće.”

Glavni ključ

U redu, kako funkcionira ovaj napad? Pa, F-Secure nije ulazio u detalje iz sigurnosnih razloga, već kako radi u praksi je — kao što je Tuominen rekao — zapanjujuće. Započinje s malim uređajem koji svatko može preuzeti online, a nakon što F-Secure tim učita svoj firmware na uređaja, mogli su ući u bilo koji hotel koristeći sustav VingCard i imati pristup glavnim ključem u roku od minuta.

“Mogli smo se voziti liftom s gostom, ako je gost imao ključ u džepu, mogli smo našim uređajem očitati ključ kroz džep. Zatim bismo jednostavno prišli bilo kojem od vrata i obično za manje od minute možemo pronaći glavni ključ."

“Traje samo nekoliko minuta. Na primjer, mogli bismo se voziti dizalom s gostom, ako je gost imao ključ u džepu, mogli bismo očitati ključ kroz džep pomoću našeg uređaja. Zatim bismo jednostavno prišli bilo kojim vratima i obično za manje od minute možemo pronaći glavni ključ,” objasnio je Hirvonen.

Napad funkcionira tako da prvo očitaju bilo koju karticu iz hotela u koji žele provaliti - čak i ako je istekla, ili samo karticu običnog gosta. Taj se dio može obaviti na daljinu, kako je objasnio Tuominen, čitajući informacije koje im trebaju izravno iz vašeg džepa.

F-Secure

Zatim, dovoljno je samo prisloniti uređaj na jednu od elektroničkih brava u hotelu dovoljno dugo da pogodi glavni kod ključa na temelju informacija na kartici koje je prvo pročitao. To nije samo temeljito zaobilaženje elektroničkog sustava zaključavanja, već je to i praktičan napad korištenjem gotovog hardvera.

“To je mali uređaj, hardver se zove Proxmark, nešto je javno dostupno, možete ga kupiti online za nekoliko stotina eura. Uređaj je prilično malen, lako ga stane u ruku, veličine je otprilike kao upaljač za cigarete”, objasnio je Tuominen.

Srećom, F-Secure je prilično siguran da ovaj exploit nije korišten u divljini. Rješenje je prilično novo i nakon što su saznali da imaju ponovljiv napad na rukama, odmah su posegnuli za proizvođačem brava Assom Abloyjem kako bi ih obavijestili.

“Bilo je početkom 2017. kada smo prvi put uspjeli izraditi glavni ključ. I odmah nakon što smo otkrili da imamo tu sposobnost kontaktirali smo Assu Abloya. Prvi put smo se s njima susreli licem u lice u travnju 2017. Objasnili smo svoja otkrića i objasnili napad i od tada radimo zajedno na otklanjanju tih ranjivosti,” rekao je Tuominen. “U početku su mislili da će moći sami popraviti ranjivosti, ali kada su popravili ranjivost i poslali nam popravljene verzije, pokvarili smo i njih nekoliko puta zaredom. Od tada radimo zajedno s njima.”

Trebate li se zabrinuti?

Ako planirate ljetni odmor ili ste čest putnik, možda se pitate je li ovo nešto o čemu morate brinuti? Vjerojatno ne. F-Secure i Assa Abloy surađivali su ruku pod ruku kako bi isporučili softverske zakrpe pogođenim hotelima.

“[Assa Abloy] je najavio zakrpe početkom 2018., tako da su dostupni već nekoliko mjeseci. Imaju web stranicu proizvoda na kojoj se možete registrirati i besplatno preuzeti zakrpe,” objasnio je Tuominen. "To je samo softverska zakrpa, ali prvo morate ažurirati pozadinski softver, a nakon toga trebate otići do svih vrata i ručno ažurirati firmware tih vrata ili brave."

Tomi TuominenF-Secure

Dakle, vjerojatno ne morate paziti na elektroničke brave marke Assa Abloy sljedeći put kada budete u hotelu. Zakrpe su dostupne od početka godine, a prema F-Secureu nema razlog za vjerovanje da je ovaj konkretni iskorištavanje korišten u divljini - izvan njihovog vlastitog testiranja tečaj. To je točka koju Assa Abloy brzo ponavlja u svojoj službenoj izjavi, umanjujući hak.

Ipak, nikada ne škodi biti oprezan pa ako putujete sa skupom ili osjetljivom elektronikom, pobrinite se da je držite pri sebi ili fizički osiguranu u sefu svoje hotelske sobe. Važno je upamtiti da ovo neće biti zadnji put da je elektronički sustav zaključavanja ovako ugrožen. Samo smo sretni što je F-Secure pronašao ovu ranjivost. Druge tvrtke, pojedinci ili čak vlade možda neće biti tako otvorene.