(in) Sicuro è una rubrica settimanale che approfondisce il tema in rapida espansione della sicurezza informatica.
E se tornassi nella tua camera d'albergo e scoprissi che mancava il tuo laptop? E se non ci fosse traccia di un intruso, nessuna effrazione, nessuna prova che sia stato effettuato un ingresso nella stanza? La società di sicurezza F-Secure si è trovata di fronte a questa domanda e la loro risposta è stata semplice: scoprilo Come per rendere possibile l’impossibile. Scopri come essere un fantasma.
F-Secure annunciato questa settimana che aveva scoperto un’enorme vulnerabilità che interessava milioni di serrature elettroniche in tutto il mondo. L’exploit consentirebbe a chiunque di entrare in una stanza d’albergo senza essere scoperto, senza lasciare traccia. Abbiamo incontrato i ricercatori che hanno scoperto l'exploit, Timo Hirvonen e Tomi Tuominen, per parlare di loro gli eventi che hanno portato alla sua scoperta e come questo exploit potrebbe aver reso il tuo prossimo soggiorno in hotel un bel po' più sicuro.
Una notte a Berlino
"La storia inizia nel 2003, quando stavamo partecipando a una conferenza sugli hacker a Berlino, in Germania", ha affermato Tomi Tuominen, Practice Leader presso F-Secure. “Quando siamo tornati in hotel, abbiamo notato che il portatile del nostro amico era stato rubato dalla sua camera d’albergo – e questo era un bell’hotel. Abbiamo avvisato il personale e non ci hanno preso sul serio perché avevano guardato il registro e non c’era alcun segno di ingresso o di effrazione”.
“Ci siamo chiesti: com’è possibile che qualcuno sia entrato nella camera d’albergo senza lasciare letteralmente alcuna traccia?
Quel furto, aggiunge Timo Hirvonen, consulente senior per la sicurezza di F-Secure, è stato il primo passo verso la scoperta di un problema critico vulnerabilità in uno dei sistemi di chiusura elettronica più popolari al mondo: la chiusura Assa Abloy Vision VingCard sistema.
“Il nostro amico stava facendo delle cose piuttosto interessanti a quei tempi, sicuramente un motivo per qualcuno per sollevare il suo laptop. Questo ci ha fatto pensare, okay, come è stato possibile che qualcuno sia riuscito a entrare nella camera d'albergo senza lasciare letteralmente alcuna traccia?" Ha detto Tuominen.
Per i successivi quindici anni, Tomi, Timo e il resto del team F-Secure lavorarono all'exploit come progetto parallelo. Si affrettano a sottolineare, però, che non era tanto un problema intrattabile che chiedevano a gran voce di risolvere quanto per quanto fosse un enigma: un hobby su cui lavoravano più per curiosità che per craccare il sistema VingCard.
"Alcune persone giocano a calcio, altre a golf, e noi facciamo semplicemente... questo genere di cose", ha detto Tuominen ridendo.
Come puoi immaginare, dopo aver speso così tanto tempo ed energie per trovare un modo per aggirare la sicurezza del sistema VingCard, sono rimasti estasiati quando hanno trovato la risposta. Non si è trattato solo di un singolo momento "Aha", l'exploit si è riunito in frammenti, ma quando l'hanno provato per la prima volta e ha funzionato su una vera serratura di hotel, il team di F-Secure sapeva di avere qualcosa di speciale nella propria mani.
“È stato davvero fantastico, sono abbastanza sicuro che ci stessimo dando il cinque. Prima c’erano stati piccoli successi, ma poi i pezzi finalmente si sono riuniti per la prima volta”, ha detto Tuominen. “Quando abbiamo capito come trasformarlo in un attacco pratico che richiede solo pochi minuti, abbiamo pensato: sì, succederà. Siamo andati in un vero hotel, l’abbiamo testato e ha funzionato, ed è stato davvero strabiliante”.
La chiave principale
Va bene, allora come funziona questo attacco? Bene, F-Secure non è entrato nei dettagli per motivi di sicurezza, ma come funziona in pratica è – come ha detto Tuominen – strabiliante. Si inizia con un piccolo dispositivo che chiunque può acquistare online e sul quale il team F-Secure carica il firmware il dispositivo, potevano entrare in qualsiasi hotel utilizzando il sistema VingCard e avere accesso con la chiave principale in una questione di minuti.
“Potremmo prendere un ascensore con un ospite, se l’ospite avesse una chiave in tasca potremmo leggere la chiave attraverso la tasca con il nostro dispositivo. Quindi ci avviciniamo a una qualsiasi delle porte e in genere in meno di un minuto riusciamo a trovare la chiave principale.
“Ci vogliono solo pochi minuti. Ad esempio, potremmo prendere un ascensore con un ospite, se l'ospite avesse una chiave in tasca potremmo leggere la chiave attraverso la tasca con il nostro dispositivo. Quindi ci avviciniamo a una qualsiasi delle porte e in genere in meno di un minuto riusciamo a trovare la chiave principale", ha spiegato Hirvonen.
L'attacco funziona leggendo prima qualsiasi carta dell'hotel in cui si vuole entrare, anche se è scaduta, o semplicemente la carta di un ospite abituale. Questa parte può essere svolta da remoto, come ha spiegato Tuominen, leggendo le informazioni di cui hanno bisogno direttamente dalle tue tasche.
Quindi, è solo questione di avvicinare il dispositivo a una delle serrature elettroniche dell'hotel per il tempo necessario a indovinare il codice della chiave principale in base alle informazioni contenute nella carta letta per prima. Non si tratta solo di un’elusione completa di un sistema di chiusura elettronica, ma è un attacco pratico che utilizza hardware standard.
“È un piccolo dispositivo, l’hardware si chiama Proxmark, è qualcosa di pubblicamente disponibile, puoi acquistarlo online per un paio di centinaia di euro. Il dispositivo è piuttosto piccolo, puoi tenerlo facilmente in mano, ha le dimensioni di un accendisigari”, ha spiegato Tuominen.
Fortunatamente, F-Secure è ragionevolmente sicuro che questo exploit non sia stato utilizzato in natura. La soluzione è abbastanza innovativa e una volta che si sono resi conto di avere tra le mani un attacco riproducibile, hanno immediatamente contattato il produttore di blocchi Assa Abloy per farglielo sapere.
“Era l’inizio del 2017 quando siamo riusciti per la prima volta a creare la chiave maestra. E subito dopo aver scoperto di avere questa capacità, abbiamo contattato Assa Abloy. Li abbiamo incontrati la prima volta faccia a faccia nell’aprile 2017. Abbiamo spiegato le nostre scoperte e spiegato l’attacco, e da allora abbiamo lavorato insieme per risolvere queste vulnerabilità”, ha affermato Tuominen. “Inizialmente pensavano che sarebbero stati in grado di risolvere le vulnerabilità da soli, ma quando hanno risolto la vulnerabilità e ci hanno inviato le versioni corrette, abbiamo risolto anche quelle alcune volte di seguito. Da allora lavoriamo insieme a loro”.
Dovresti essere preoccupato?
Se hai in programma le vacanze estive o se sei un viaggiatore frequente ti starai chiedendo: è qualcosa di cui devi preoccuparti? Probabilmente no. F-Secure e Assa Abloy hanno lavorato fianco a fianco per fornire patch software agli hotel interessati.
“[Assa Abloy] ha annunciato le patch all’inizio del 2018, quindi sono disponibili ormai da alcuni mesi. Hanno un sito web del prodotto dove è possibile registrarsi e scaricare le patch gratuitamente", ha spiegato Tuominen. "È una patch solo software, ma prima devi aggiornare il software back-end, dopodiché devi andare a ogni singola porta e aggiornare il firmware di quella porta o chiuderla manualmente."
Quindi, probabilmente non avrai bisogno di tenere d’occhio le serrature elettroniche del marchio Assa Abloy la prossima volta che sarai in un hotel. Le patch sono disponibili dall’inizio dell’anno e secondo F-Secure non ce n’è nessuna motivo di credere che questo particolare exploit sia stato utilizzato in natura, al di fuori dei loro test corso. Questo è un punto che Assa Abloy si affretta a ribadire nella sua dichiarazione ufficiale, minimizzando l'hack.
Tuttavia, non fa mai male essere prudenti, quindi se viaggi con dispositivi elettronici costosi o sensibili, assicurati di tenerli con te o di tenerli fisicamente al sicuro nella cassaforte della tua camera d'albergo. È importante ricordare che questa non sarà l’ultima volta che un sistema di chiusura elettronica verrà compromesso in questo modo. Siamo solo fortunati che sia stato F-Secure a individuare questa vulnerabilità. Altre aziende, individui o persino governi potrebbero non essere così disponibili.
