(i) Sikker er en ukentlig spalte som dykker ned i det raskt eskalerende temaet cybersikkerhet.
Hva om du kom tilbake til hotellrommet og fant ut at den bærbare datamaskinen var borte? Hva om det ikke var spor etter en inntrenger, ingen tvangsinntreden, ingen bevis for at rommet i det hele tatt var kommet inn? Sikkerhetsfirmaet F-Secure ble møtt med det spørsmålet, og svaret deres var enkelt: Finn ut hvordan å gjøre det umulige mulig. Finn ut hvordan du kan være et spøkelse.
F-Secure annonsert denne uken at den hadde avdekket en enorm sårbarhet som påvirker millioner av elektroniske låser over hele verden. Bruken ville la hvem som helst gå inn på et hotellrom uoppdaget, uten å etterlate spor. Vi satte oss ned med forskerne som oppdaget utnyttelsen, Timo Hirvonen og Tomi Tuominen, for å snakke om hendelsene som førte til oppdagelsen og hvordan denne utnyttelsen kan ha gjort ditt neste hotellopphold til en hel del sikrere.
En natt i Berlin
"Historien starter i 2003, da vi deltok på en hackerkonferanse i Berlin, Tyskland," sa Tomi Tuominen, praksisleder ved
F-Secure. «Da vi kom tilbake til hotellet, la vi merke til at vennens bærbare datamaskin var stjålet fra hotellrommet hans – og dette var et fint hotell. Vi varslet personalet, og de tok oss egentlig ikke seriøst fordi de hadde sett på loggen og det var ingen tegn til innreise eller tvangsinngang.»"Det fikk oss til å tenke: hvordan var det mulig at noen var i stand til å gå inn på hotellrommet uten å etterlate noen spor overhodet?
Dette tyveriet, tilføyer Timo Hirvonen, senior sikkerhetskonsulent i F-Secure, var det første skrittet mot å oppdage en kritisk sårbarhet i et av de mest populære elektroniske låsesystemene i verden - Assa Abloy Vision VingCard-låsen system.
«Vennen vår gjorde noen ganske interessante ting på den tiden, definitivt en grunn for noen til å løfte den bærbare datamaskinen. Det fikk oss til å tenke, ok, hvordan var det mulig at noen var i stand til å gå inn på hotellrommet uten å etterlate noen spor overhodet?» sa Tuominen.
I de neste femten årene jobbet Tomi, Timo og resten av F-Secure-teamet med utnyttelsen som et sideprosjekt. De er imidlertid raske til å påpeke at det ikke var så mye et vanskelig problem de ropte på å løse som mye som det var et puslespill - en hobby de jobbet med mer av nysgjerrighet enn en stasjon for å knekke VingCard-systemet.
"Noen mennesker spiller fotball noen spiller golf, og vi bare gjør... slike ting," sa Tuominen med en latter.
Som du kan forestille deg, etter å ha brukt så mye tid og energi på å finne en måte å omgå VingCard-systemets sikkerhet, var de i ekstase da de fant svaret. Det var imidlertid ikke bare et enkelt "Aha"-øyeblikk, utnyttelsen kom sammen i biter og stykker, men da de prøvde det for første gang, og det fungerte på en ekte hotelllås, visste F-Secure-teamet at de hadde noe spesielt på seg hender.
"Det var ganske utrolig, jeg er ganske sikker på at vi var high-fiving. Det var mindre suksesser før det, men da brikkene endelig kom sammen for første gang, sa Tuominen. "Da vi skjønte hvordan vi skulle gjøre dette til et praktisk angrep som bare tar noen få minutter, trodde vi at dette skulle skje. Vi dro til et ekte hotell og testet det, og det fungerte, og det var ganske utrolig."
Hovednøkkelen
Greit, så hvordan fungerer dette angrepet? Vel, F-Secure gikk ikke inn på detaljene av sikkerhetsgrunner, men hvordan det fungerer i praksis er – som Tuominen sa – tankevekkende. Det starter med en liten enhet som alle kan hente på nettet, og når F-Secure-teamet laster fastvaren sin på enheten, kunne de gå inn på et hvilket som helst hotell ved å bruke VingCard-systemet og ha hovednøkkeltilgang i løpet av et spørsmål minutter.
«Vi kunne kjøre heis med en gjest, hvis gjesten hadde en nøkkel i lommen kunne vi lese nøkkelen gjennom lommen med enheten vår. Så ville vi bare gå opp til hvilken som helst av dørene og vanligvis på mindre enn et minutt kan vi finne hovednøkkelen."
«Det tar bare minutter. For eksempel kunne vi kjøre heis med en gjest, hvis gjesten hadde en nøkkel i lommen kunne vi lese nøkkelen gjennom lommen med enheten vår. Så ville vi bare gå opp til hvilken som helst av dørene, og vanligvis på mindre enn et minutt kan vi finne hovednøkkelen,» forklarte Hirvonen.
Angrepet fungerer ved først å lese et hvilket som helst kort fra hotellet de ønsker å bryte seg inn på – selv om det er utløpt, eller bare en vanlig gjests kort. Den delen kan gjøres eksternt, som Tuominen forklarte, ved å lese informasjonen de trenger rett ut av lommen.
Deretter er det bare å berøre en av de elektroniske låsene på hotellet lenge nok til at den kan gjette hovednøkkelkoden basert på informasjonen på kortet den først leste. Det er ikke bare en grundig omgåelse av et elektronisk låsesystem, men det er et praktisk angrep ved å bruke hyllevare.
"Det er en liten enhet, maskinvaren heter Proxmark, det er noe offentlig tilgjengelig, du kan kjøpe det på nettet for et par hundre euro. Enheten er ganske liten, du kan lett legge den i hånden, den er omtrent på størrelse med en sigarettenner," forklarte Tuominen.
Heldigvis er F-Secure rimelig sikker på at denne utnyttelsen ikke har blitt brukt i naturen. Løsningen er ganske ny, og når de først visste at de hadde et reproduserbart angrep på hendene, tok de umiddelbart kontakt med låsprodusenten Assa Abloy for å gi dem beskjed.
«Det var tidlig i 2017 da vi først klarte å lage hovednøkkelen. Og umiddelbart etter at vi oppdaget at vi hadde denne evnen, kontaktet vi Assa Abloy. Vi møtte dem første gang ansikt til ansikt i april 2017. Vi forklarte funnene våre og forklarte angrepet, og siden da har vi jobbet sammen for å fikse disse sårbarhetene, sa Tuominen. "I utgangspunktet trodde de at de ville være i stand til å fikse sårbarhetene selv, men da de fikset sårbarheten og sendte oss de fikse versjonene, brøt vi disse også noen ganger på rad. Vi har jobbet sammen med dem siden.»
Bør du være bekymret?
Hvis du har planlagt en sommerferie, eller hvis du er en hyppig reisende lurer du kanskje på, er dette noe du trenger å bekymre deg for? Sannsynligvis ikke. F-Secure og Assa Abloy har jobbet hånd i hånd for å levere programvareoppdateringer til berørte hoteller.
«[Assa Abloy] annonserte oppdateringene i begynnelsen av 2018, så de har vært tilgjengelige i noen måneder nå. De har et produktnettsted hvor du kan registrere deg og laste ned patchene gratis,» forklarte Tuominen. "Det er bare en programvareoppdatering, men først må du oppdatere backend-programvaren, og etter det må du gå til hver eneste dør og oppdatere fastvaren til den døren eller låsen manuelt."
Så du trenger sannsynligvis ikke å holde øye med elektroniske låser fra Assa Abloy-merket neste gang du er på hotell. Patchene har vært tilgjengelige siden begynnelsen av året, og ifølge F-Secure er det ingen grunn til å tro at denne spesielle utnyttelsen har blitt brukt i naturen - utenfor deres egen testing av kurs. Dette er et poeng som Assa Abloy er rask til å gjenta i sin offisielle uttalelse, bagatelliserer hacket.
Likevel skader det aldri å være forsiktig, så hvis du reiser med dyr eller sensitiv elektronikk, sørg for at du har den på din person eller fysisk sikret i safen på hotellrommet ditt. Det er viktig å huske at dette ikke vil være siste gang et elektronisk låsesystem blir kompromittert på denne måten. Vi er bare heldige at det var F-Secure som fant dette sikkerhetsproblemet. Andre selskaper, enkeltpersoner, eller til og med regjeringer, er kanskje ikke så imøtekommende.
