(in) Bezpečné je týždenný stĺpček, ktorý sa ponorí do rýchlo eskalujúcej témy kybernetickej bezpečnosti.
Čo keby ste sa vrátili do hotelovej izby a zistili, že vám chýba laptop? Čo ak tam nie je žiadna stopa po narušiteľovi, žiadny násilný vstup, žiadny dôkaz, že sa do miestnosti vôbec vstúpilo? Bezpečnostná firma F-Secure stála pred touto otázkou a jej odpoveď bola jednoduchá: Zistite ako urobiť nemožné možným. Zistite, ako sa stať duchom.
F-Secure oznámil tento týždeň že odhalila obrovskú zraniteľnosť ovplyvňujúcu milióny elektronických zámkov na celom svete. Toto zneužitie by umožnilo komukoľvek nepozorovane vstúpiť do hotelovej izby a nezanechať žiadnu stopu. Sadli sme si s výskumníkmi Timom Hirvonenom a Tomim Tuominenom, ktorí objavili toto využitie, a porozprávali sme sa o udalosti, ktoré viedli k jeho objaveniu, a ako tento úžitok mohol urobiť z vášho ďalšieho pobytu v hoteli veľa bezpečnejšie.
Jedna noc v Berlíne
„Príbeh sa začína v roku 2003, keď sme sa zúčastnili hackerskej konferencie v Berlíne v Nemecku,“ povedal Tomi Tuominen, vedúci praxe v
F-Secure. „Keď sme sa vrátili do hotela, všimli sme si, že nášmu priateľovi ukradli laptop z jeho hotelovej izby – a bol to pekný hotel. Upozornili sme zamestnancov a tí nás v skutočnosti nebrali vážne, pretože si prezreli denník a neboli tam žiadne známky vstupu alebo násilného vstupu.„To nás priviedlo k zamysleniu: ako je možné, že niekto dokázal vstúpiť do hotelovej izby doslova a nezanechať po sebe žiadne stopy?
Táto krádež, dodáva Timo Hirvonen, hlavný bezpečnostný konzultant spoločnosti F-Secure, bola prvým krokom k odhaleniu kritického zraniteľnosť v jednom z najpopulárnejších elektronických zámkových systémov na svete — uzamykanie Assa Abloy Vision VingCard systém.
„Náš priateľ robil v tých časoch celkom zaujímavé veci, určite to bol dôvod, aby niekto zdvihol svoj laptop. To nás prinútilo premýšľať, dobre, ako je možné, že niekto dokázal vstúpiť do hotelovej izby doslova a nezanechať po sebe žiadne stopy? povedal Tuominen.
Ďalších pätnásť rokov Tomi, Timo a zvyšok tímu F-Secure pracovali na exploite ako vedľajšom projekte. Rýchlo však poukazujú na to, že to nebol až taký neriešiteľný problém, ktorý sa dožadovali vyriešiť, ako skôr i keď to bola hádanka – hobby, na ktorom pracovali skôr zo zvedavosti, než zo snahy prelomiť systém VingCard.
"Niektorí ľudia hrajú futbal, iní golf a my jednoducho robíme... takéto veci," povedal Tuominen so smiechom.
Ako si viete predstaviť, po tom, čo strávili toľko času a energie hľadaním spôsobu, ako obísť bezpečnosť systému VingCard, boli nadšení, keď našli odpoveď. Nebol to však len jeden „Aha“ moment, exploit sa spojil po kúskoch, ale keď to vyskúšali po prvýkrát a fungovalo to na skutočnom hotelovom zámku, tím F-Secure vedel, že má na sebe niečo špeciálne ruky.
"Bolo to úžasné, som si celkom istý, že sme boli vysoko. Pred tým boli menšie úspechy, ale keď sa kúsky konečne po prvýkrát spojili,“ povedal Tuominen. „Keď sme si uvedomili, ako to zmeniť na praktický útok, ktorý trvá len niekoľko minút, povedali sme si, že áno, toto sa stane. Išli sme do skutočného hotela a otestovali sme to a fungovalo to a bolo to celkom ohromujúce.“
Hlavný kľúč
Dobre, tak ako tento útok funguje? F-Secure nešiel do detailov z bezpečnostných dôvodov, ale ako to funguje v praxi je – ako povedal Tuominen – ohromujúci. Začína to malým zariadením, ktoré si môže ktokoľvek vyzdvihnúť online, a keď tím F-Secure nahrá svoj firmvér zariadení, mohli vstúpiť do akéhokoľvek hotela pomocou systému VingCard a získať prístup pomocou hlavného kľúča minút.
„Mohli by sme jazdiť výťahom s hosťom, ak mal hosť kľúč vo vrecku, mohli sme ho prečítať cez vrecko pomocou nášho zariadenia. Potom sme len prišli k ktorýmkoľvek dverám a zvyčajne za menej ako minútu nájdeme hlavný kľúč."
„Trvá to len minúty. Mohli by sme napríklad jazdiť výťahom s hosťom, ak mal hosť kľúč vo vrecku, mohli sme kľúč prečítať cez vrecko pomocou nášho zariadenia. Potom sme len prišli k ktorýmkoľvek dverám a zvyčajne za menej ako minútu nájdeme hlavný kľúč,“ vysvetlil Hirvonen.
Útok funguje tak, že najprv načítate akúkoľvek kartu z hotela, do ktorého sa chcú vlámať – aj keď jej platnosť vypršala, alebo len kartu bežného hosťa. Túto časť je možné vykonať na diaľku, ako vysvetlil Tuominen, čítanie informácií, ktoré potrebujú, priamo z vášho vrecka.
Potom už len stačí priložiť zariadenie k jednému z elektronických zámkov v hoteli dostatočne dlho na to, aby uhádlo kód hlavného kľúča na základe informácií na karte, ktorú si prvýkrát prečítal. Nie je to len dôkladné obídenie elektronického uzamykacieho systému, ale je to aj praktický útok pomocou bežného hardvéru.
„Je to malé zariadenie, hardvér sa volá Proxmark, je to niečo verejne dostupné, môžete si ho kúpiť online za pár stoviek eur. Zariadenie je pomerne malé, ľahko sa vám zmestí do ruky, je veľké asi ako zapaľovač cigariet,“ vysvetlil Tuominen.
Našťastie si F-Secure je celkom istý, že tento exploit nebol použitý vo voľnej prírode. Riešenie je pomerne nové a akonáhle vedeli, že majú na rukách reprodukovateľný útok, okamžite sa obrátili na výrobcu zámkov Assa Abloy, aby ich informovali.
„Bolo to začiatkom roka 2017, keď sa nám prvýkrát podarilo vytvoriť hlavný kľúč. A hneď ako sme zistili, že máme túto schopnosť, kontaktovali sme Assu Abloya. Prvýkrát sme sa s nimi stretli zoči-voči v apríli 2017. Vysvetlili sme naše zistenia a vysvetlili útok a odvtedy spoločne pracujeme na odstránení týchto zraniteľností,“ povedal Tuominen. „Spočiatku si mysleli, že budú schopní opraviť chyby sami, ale keď chybu opravili a poslali nám opravené verzie, niekoľkokrát za sebou sme ich tiež prelomili. Odvtedy s nimi spolupracujeme."
Mali by ste sa obávať?
Ak máte naplánovanú letnú dovolenku alebo ak často cestujete, možno by vás zaujímalo, je to niečo, čoho sa musíte obávať? Pravdepodobne nie. F-Secure a Assa Abloy pracovali ruka v ruke na dodávaní softvérových opráv do postihnutých hotelov.
„[Assa Abloy] oznámil opravy začiatkom roka 2018, takže sú dostupné už niekoľko mesiacov. Majú webovú stránku produktu, kde sa môžete zaregistrovať a stiahnuť si záplaty zadarmo,“ vysvetlil Tuominen. "Je to len softvérová oprava, ale najprv musíte aktualizovať backendový softvér a potom musíte prejsť na všetky dvere a aktualizovať firmvér týchto dverí alebo zámku ručne."
Takže nabudúce, keď budete v hoteli, pravdepodobne nebudete musieť dávať pozor na elektronické zámky značky Assa Abloy. Záplaty sú dostupné od začiatku roka a podľa F-Secure neexistujú žiadne dôvod domnievať sa, že toto konkrétne využitie bolo použité vo voľnej prírode – mimo ich vlastného testovania kurz. Toto je bod, ktorý Assa Abloy rýchlo opakuje vo svojom oficiálnom vyhlásení, bagatelizovanie hacku.
Napriek tomu nikdy nezaškodí byť opatrný, takže ak cestujete s drahou alebo citlivou elektronikou, uistite sa, že ju máte pri sebe alebo fyzicky zaistenú v trezore hotelovej izby. Je dôležité si uvedomiť, že to nie je posledný prípad, keď je elektronický zámkový systém takto kompromitovaný. Máme len šťastie, že to bol F-Secure, kto našiel túto zraniteľnosť. Iné spoločnosti, jednotlivci alebo dokonca vlády nemusia byť takí ústretoví.
