(v) Varno je tedenska rubrika, ki se potopi v hitro naraščajočo temo kibernetske varnosti.
Kaj pa, če bi se vrnili v hotelsko sobo in ugotovili, da manjka vaš prenosnik? Kaj pa, če ni bilo nobene sledi o vsiljivcu, nobenega nasilnega vstopa, nobenih dokazov, da se je v prostor sploh vstopilo? Varnostno podjetje F-Secure se je soočilo s tem vprašanjem in njihov odgovor je bil preprost: Ugotovite kako narediti nemogoče mogoče. Ugotovite, kako biti duh.
F-Secure napovedal ta teden da je odkril ogromno ranljivost, ki vpliva na milijone elektronskih ključavnic po vsem svetu. Izkoriščanje bi vsakomur omogočilo, da vstopi v hotelsko sobo neopažen in ne pusti sledi. Sedeli smo z raziskovalcema, ki sta odkrila podvig, Timom Hirvonenom in Tomijem Tuominenom, da bi se pogovarjali o dogodke, ki so privedli do njegovega odkritja, in kako je ta podvig morda poskrbel za to, da ste v naslednjem hotelu veliko prenočili varnejši.
Ena noč v Berlinu
»Zgodba se začne leta 2003, ko smo se udeležili hekerske konference v Berlinu v Nemčiji,« je povedal Tomi Tuominen, vodja prakse pri
F-Secure. »Ko smo se vrnili v hotel, smo opazili, da so našemu prijatelju iz hotelske sobe ukradli prenosni računalnik – in to je bil lep hotel. Obvestili smo osebje, ki pa nas ni jemalo resno, ker so pogledali dnevnik in ni bilo nobenega znaka vstopa ali vstopa na silo.«»To nas je spodbudilo k razmišljanju: kako je bilo mogoče, da je nekdo lahko vstopil v hotelsko sobo dobesedno brez kakršnih koli sledi?
Ta kraja, dodaja Timo Hirvonen, višji varnostni svetovalec pri F-Secure, je bila prvi korak k odkritju kritične ranljivost v enem najbolj priljubljenih elektronskih sistemov zaklepanja na svetu — zaklepanje Assa Abloy Vision VingCard sistem.
»Naš prijatelj je tiste dni počel precej zanimive stvari, kar je zagotovo razlog, da nekdo dvigne njegov prenosnik. To nas je spodbudilo k razmišljanju, v redu, kako je bilo mogoče, da je nekdo lahko vstopil v hotelsko sobo dobesedno brez kakršnih koli sledi?« je rekel Tuominen.
Naslednjih petnajst let so Tomi, Timo in preostali člani ekipe F-Secure delali na izkoriščanju kot stranskem projektu. Vendar pa hitro poudarijo, da ni šlo toliko za nerešljiv problem, za katerega so hrepeneli po rešitvi, kot čeprav je bila to uganka – hobi, s katerim so se ukvarjali bolj iz radovednosti kot pa zato, da bi razbili sistem VingCard.
"Nekateri ljudje igrajo nogomet, nekateri igrajo golf, mi pa preprosto počnemo... take stvari," je v smehu rekel Tuominen.
Kot si lahko predstavljate, so bili potem, ko so porabili toliko časa in energije za iskanje načina, kako zaobiti varnost sistema VingCard, navdušeni, ko so našli odgovor. Vendar ni šlo le za en sam trenutek »Aha«, izkoriščanje se je zbralo v koščkih, a ko so ga poskusili prvič in je delovalo na pravi hotelski ključavnici, ekipa F-Secure je vedela, da imajo na svojem roke.
»Bilo je prav neverjetno, prepričan sem, da smo si dali pet. Pred tem so bili manjši uspehi, ko pa so se kosi končno sestavili prvič,« je dejal Tuominen. »Ko smo spoznali, kako to spremeniti v praktičen napad, ki traja le nekaj minut, smo si mislili, da, to se bo zgodilo. Šli smo v pravi hotel in ga preizkusili in delovalo je, in bilo je kar osupljivo.”
Glavni ključ
V redu, kako torej deluje ta napad? No, F-Secure se iz varnostnih razlogov ni spuščal v podrobnosti, ampak kako deluje v praksi je – kot je rekel Tuominen – osupljivo. Začne se z majhno napravo, ki jo lahko vsak prevzame na spletu, in ko ekipa F-Secure naloži svojo vdelano programsko opremo naprave, bi lahko vstopili v kateri koli hotel s sistemom VingCard in imeli dostop z glavnim ključem v nekaj minutah minut.
»Z gostom bi se lahko peljali z dvigalom, če bi imel gost v žepu ključ, bi lahko z našo napravo prebrali ključ skozi žep. Potem bi samo stopili do katerega koli od vrat in običajno v manj kot minuti lahko najdemo glavni ključ.«
»Traja le nekaj minut. Na primer, lahko bi se z gostom peljali z dvigalom, če bi imel gost v žepu ključ, bi lahko z našo napravo prebrali ključ skozi žep. Potem bi samo stopili do katerega koli od vrat in običajno v manj kot minuti lahko najdemo glavni ključ,« je pojasnil Hirvonen.
Napad deluje tako, da najprej prebere katero koli kartico hotela, v katerega želijo vdreti - tudi če je potekla, ali samo kartico običajnega gosta. Ta del je mogoče opraviti na daljavo, kot je pojasnil Tuominen, tako da informacije, ki jih potrebujejo, preberejo kar iz vašega žepa.
Nato se je treba z napravo dotakniti ene od elektronskih ključavnic v hotelu dovolj dolgo, da ugane kodo glavnega ključa na podlagi informacij na kartici, ki jo je najprej prebrala. Ne gre le za temeljito izogibanje sistemu elektronskega zaklepanja, ampak je to praktičen napad z uporabo že pripravljene strojne opreme.
»Gre za majhno napravo, strojna oprema se imenuje Proxmark, je nekaj javno dostopnega, na spletu jo lahko kupite za nekaj sto evrov. Naprava je precej majhna, zlahka jo daste v roko, velika je približno kot cigaretni vžigalnik,« je pojasnil Tuominen.
Na srečo je F-Secure razumno prepričan, da ta podvig ni bil uporabljen v naravi. Rešitev je dokaj nova in ko so vedeli, da imajo na svojih rokah ponovljiv napad, so nemudoma prišli do proizvajalca ključavnic Assa Abloyja, da jih obvesti.
»Bilo je v začetku leta 2017, ko nam je prvič uspelo ustvariti glavni ključ. Takoj ko smo odkrili, da imamo to zmožnost, smo stopili v stik z Asso Abloyem. Aprila 2017 smo se z njimi prvič srečali iz oči v oči. Pojasnili smo naše ugotovitve in razložili napad, in od takrat delamo skupaj, da bi odpravili te ranljivosti,« je dejal Tuominen. »Sprva so mislili, da bodo lahko sami odpravili ranljivosti, a ko so odpravili ranljivost in nam poslali popravljene različice, smo nekajkrat zaporedoma pokvarili tudi te. Od takrat delamo skupaj z njimi.«
Bi vas moralo skrbeti?
Če imate načrtovane poletne počitnice ali če pogosto potujete, se morda sprašujete, ali vas mora to skrbeti? Verjetno ne. F-Secure in Assa Abloy delata z roko v roki, da prizadetim hotelom dostavita programske popravke.
»[Assa Abloy] je popravke napovedal na začetku leta 2018, tako da so na voljo že nekaj mesecev. Imajo spletno stran izdelka, kjer se lahko registrirate in brezplačno prenesete popravke,« je pojasnil Tuominen. "To je samo programski popravek, vendar morate najprej posodobiti zaledno programsko opremo, nato pa morate iti do vseh vrat in ročno posodobiti vdelano programsko opremo teh vrat ali ključavnice."
Torej vam naslednjič, ko boste v hotelu, verjetno ni treba paziti na elektronske ključavnice znamke Assa Abloy. Popravki so na voljo od začetka leta, po besedah F-Secure pa ne razlog za domnevo, da je bilo to posebno podvig uporabljeno v naravi – zunaj njihovega lastnega testiranja seveda. To je točka, ki jo Assa Abloy hitro ponovi v svoji uradni izjavi, omalovaževanje vdora.
Kljub temu nikoli ne škodi biti previden, zato, če potujete z drago ali občutljivo elektroniko, poskrbite, da jo imate pri sebi ali fizično zavarovano v sefu svoje hotelske sobe. Pomembno si je zapomniti, da to ne bo zadnjič, da bo sistem elektronskega zaklepanja tako ogrožen. Imamo samo srečo, da je F-Secure odkril to ranljivost. Druga podjetja, posamezniki ali celo vlade morda ne bodo tako odprti.
