(onzeker is een wekelijkse column die ingaat op het snel escalerende onderwerp cybersecurity.
Wat als u terugkwam op uw hotelkamer en ontdekte dat uw laptop zoek was? Wat als er geen spoor van een indringer was, geen inbraak, geen bewijs dat de kamer überhaupt was betreden? Beveiligingsbedrijf F-Secure werd met die vraag geconfronteerd en hun antwoord was simpel: zoek het uit Hoe om het onmogelijke mogelijk te maken. Ontdek hoe je een geest kunt zijn.
F-Secure deze week aangekondigd dat het een enorme kwetsbaarheid had ontdekt die miljoenen elektronische sloten wereldwijd treft. Door deze exploit zou iedereen onopgemerkt een hotelkamer binnen kunnen lopen, zonder een spoor achter te laten. We gingen zitten met de onderzoekers die de exploit ontdekten, Timo Hirvonen en Tomi Tuominen, om over te praten de gebeurtenissen die tot de ontdekking ervan hebben geleid en hoe deze exploit uw volgende hotelverblijf mogelijk heeft gemaakt veiliger.
Eén nacht in Berlijn
“Het verhaal begint in 2003, toen we een hackerconferentie bijwoonden in Berlijn, Duitsland”, zegt Tomi Tuominen, Practice Leader bij
F-Secure. “Toen we terugkwamen in het hotel, merkten we dat de laptop van onze vriend uit zijn hotelkamer was gestolen – en dit was een leuk hotel. We hebben het personeel op de hoogte gebracht, maar ze namen ons niet echt serieus omdat ze naar het logboek hadden gekeken en er geen teken was van binnenkomst of geforceerde toegang.”“Dat zette ons aan het denken: hoe kon het dat iemand letterlijk de hotelkamer binnenkwam, zonder enig spoor achter te laten?
Die diefstal, zo voegt Timo Hirvonen, senior security consultant bij F-Secure, toe, was de eerste stap op weg naar het ontdekken van een kritieke situatie. kwetsbaarheid in een van de meest populaire elektronische sluitsystemen ter wereld: de Assa Abloy Vision VingCard-vergrendeling systeem.
“Onze vriend deed in die tijd behoorlijk interessante dingen, zeker een reden voor iemand om zijn laptop op te tillen. Dat zette ons aan het denken: oké, hoe was het mogelijk dat iemand letterlijk de hotelkamer binnen kon komen en geen enkel spoor achterliet?” zei Tuominen.
De daaropvolgende vijftien jaar werkten Tomi, Timo en de rest van het F-Secure-team als bijproject aan de exploit. Ze wijzen er echter snel op dat het niet zozeer een hardnekkig probleem was dat ze graag wilden oplossen, maar ook al was het een puzzel – een hobby waar ze meer uit nieuwsgierigheid aan werkten dan uit een drang om het VingCard-systeem te kraken.
“Sommige mensen spelen voetbal, sommige mensen golfen, en wij doen gewoon… dit soort dingen”, zei Tuominen lachend.
Zoals u zich kunt voorstellen, waren ze, nadat ze zoveel tijd en energie hadden gestoken in het vinden van een manier om de beveiliging van het VingCard-systeem te omzeilen, extatisch toen ze het antwoord vonden. Het was echter niet slechts één ‘Aha’-moment; de exploit kwam in stukjes en beetjes samen, maar toen ze het probeerden voor de eerste keer en het werkte op een echt hotelslot, wist het team van F-Secure dat ze iets speciaals in handen hadden handen.
“Het was behoorlijk geweldig, ik ben er vrij zeker van dat we een high five gaven. Daarvoor waren er kleinere successen, maar toen de stukken eindelijk voor het eerst samenkwamen, ‘zei Tuominen. “Toen we ons realiseerden hoe we dit konden omzetten in een praktische aanval die slechts een paar minuten in beslag nam, dachten we: ja, dit gaat gebeuren. We gingen naar een echt hotel en testten het en het werkte, en het was behoorlijk verbluffend.
De hoofdsleutel
Oké, dus hoe werkt deze aanval? Welnu, F-Secure ging om veiligheidsredenen niet in op de details, maar op de manier waarop het werkt in praktijk is – zoals Tuominen zei – verbluffend. Het begint met een klein apparaat dat iedereen online kan gebruiken, en zodra het F-Secure-team de firmware erop heeft geladen Met het apparaat konden ze met behulp van het VingCard-systeem elk hotel binnenlopen en binnen enkele minuten toegang krijgen met de hoofdsleutel minuten.
“We zouden met een gast in de lift kunnen zitten, als de gast een sleutel op zak had, konden we met ons apparaat de sleutel door de zak lezen. Dan lopen we gewoon naar een van de deuren en meestal vinden we binnen een minuut de hoofdsleutel.”
“Het duurt maar een paar minuten. We zouden bijvoorbeeld met een gast in de lift kunnen zitten, als de gast een sleutel op zak had, konden we met ons apparaat de sleutel door de zak lezen. Dan lopen we gewoon naar een van de deuren en meestal vinden we binnen een minuut de hoofdsleutel”, legt Hirvonen uit.
De aanval werkt door eerst elke kaart te lezen van het hotel waar ze willen inbreken, zelfs als deze verlopen is, of alleen de kaart van een gewone gast. Dat deel kan op afstand worden gedaan, zoals Tuominen uitlegde, waarbij je de informatie die ze nodig hebben rechtstreeks uit je zak kunt lezen.
Vervolgens hoeft u alleen maar met het apparaat een van de elektronische sloten in het hotel lang genoeg aan te raken zodat het apparaat de hoofdsleutelcode kan raden op basis van de informatie op de kaart die het eerst heeft gelezen. Het is niet alleen een grondige omzeiling van een elektronisch slotsysteem, maar het is ook een praktische aanval waarbij gebruik wordt gemaakt van kant-en-klare hardware.
“Het is een klein apparaatje, de hardware heet Proxmark, het is iets dat openbaar verkrijgbaar is, je kunt het online kopen voor een paar honderd euro. Het apparaat is vrij klein, je past het gemakkelijk in je hand, het is ongeveer zo groot als een sigarettenaansteker”, legt Tuominen uit.
Gelukkig is F-Secure er redelijk zeker van dat deze exploit niet in het wild is gebruikt. De oplossing is vrij nieuw en toen ze eenmaal wisten dat ze een reproduceerbare aanval op hun handen hadden, namen ze onmiddellijk contact op met fabrikant Assa Abloy om hen dit te laten weten.
“Begin 2017 slaagden we er voor het eerst in om de hoofdsleutel te creëren. En onmiddellijk nadat we ontdekten dat we over deze capaciteit beschikten, namen we contact op met Assa Abloy. In april 2017 ontmoetten we hen voor het eerst face-to-face. We hebben onze bevindingen uitgelegd en de aanval uitgelegd, en sindsdien werken we samen om deze kwetsbaarheden op te lossen”, aldus Tuominen. “Aanvankelijk dachten ze dat ze de kwetsbaarheden zelf konden oplossen, maar toen ze de kwetsbaarheid hadden opgelost en ons de gerepareerde versies hadden gestuurd, hebben we die ook een paar keer achter elkaar kapot gemaakt. Sindsdien werken we met hen samen.”
Moet u zich zorgen maken?
Als u een zomervakantie heeft gepland, of als u een frequente reiziger bent, vraagt u zich misschien af: is dit iets waar u zich zorgen over hoeft te maken? Waarschijnlijk niet. F-Secure en Assa Abloy hebben nauw samengewerkt om softwarepatches te leveren aan de getroffen hotels.
“[Assa Abloy] heeft de patches begin 2018 aangekondigd, dus ze zijn nu al een paar maanden beschikbaar. Ze hebben een productwebsite waar je je kunt registreren en de patches gratis kunt downloaden”, legt Tuominen uit. “Het is alleen een softwarepatch, maar eerst moet je de backend-software updaten, en daarna moet je naar elke deur gaan en de firmware van die deur of dat slot handmatig updaten.”
De volgende keer dat u in een hotel bent, hoeft u dus waarschijnlijk niet op de elektronische sloten van het merk Assa Abloy te letten. De patches zijn sinds begin dit jaar beschikbaar en volgens F-Secure is dat niet het geval reden om aan te nemen dat deze specifieke exploit in het wild is gebruikt – buiten hun eigen tests om cursus. Dit is een punt dat Assa Abloy snel herhaalt in zijn officiële verklaring: het bagatelliseren van de hack.
Toch kan het nooit kwaad om voorzichtig te zijn, dus als u met dure of gevoelige elektronica reist, zorg er dan voor dat u deze bij u draagt of fysiek veilig opslaat in de kluis van uw hotelkamer. Het is belangrijk om te onthouden dat dit niet de laatste keer is dat een elektronisch sluitsysteem op deze manier wordt gecompromitteerd. We hebben geluk dat het F-Secure was die deze kwetsbaarheid heeft gevonden. Andere bedrijven, individuen of zelfs overheden zijn misschien niet zo openhartig.
