F-Secure แฮ็กโรงแรม 40,000 แห่งเพื่อให้คุณปลอดภัยยิ่งขึ้นได้อย่างไร

(ไม่ปลอดภัย เป็นคอลัมน์รายสัปดาห์ที่เจาะลึกหัวข้อความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็ว

จะเป็นอย่างไรหากคุณกลับมาที่ห้องพักในโรงแรมและพบว่าแล็ปท็อปของคุณหายไป จะเกิดอะไรขึ้นหากไม่มีร่องรอยของผู้บุกรุก ไม่มีการบังคับเข้า และไม่มีหลักฐานว่ามีคนเข้าไปในห้องเลย? บริษัทรักษาความปลอดภัย F-Secure ต้องเผชิญกับคำถามนั้น และคำตอบของพวกเขาก็มีคำตอบง่ายๆ: ค้นหาคำตอบ ยังไง เพื่อทำให้สิ่งที่เป็นไปไม่ได้เป็นไปได้ ค้นหาวิธีการเป็นผี

F-ปลอดภัย ประกาศในสัปดาห์นี้ ได้ค้นพบช่องโหว่ขนาดใหญ่ที่ส่งผลกระทบต่อระบบล็อคแบบอิเล็กทรอนิกส์หลายล้านเครื่องทั่วโลก การหาประโยชน์จะทำให้ใครก็ตามเดินเข้าไปในห้องพักของโรงแรมโดยไม่ถูกตรวจพบ โดยไม่เหลือร่องรอย เรานั่งคุยกับนักวิจัยผู้ค้นพบช่องโหว่นี้ Timo Hirvonen และ Tomi Tuominen เพื่อพูดคุยเกี่ยวกับ เหตุการณ์ที่นำไปสู่การค้นพบและการใช้ประโยชน์นี้อาจทำให้โรงแรมถัดไปของคุณอยู่เป็นจำนวนมากได้อย่างไร ปลอดภัยยิ่งขึ้น

คืนหนึ่งในกรุงเบอร์ลิน

“เรื่องราวเริ่มต้นในปี 2003 เมื่อเราเข้าร่วมการประชุมแฮ็กเกอร์ในกรุงเบอร์ลิน ประเทศเยอรมนี” Tomi Tuominen หัวหน้าฝ่ายปฏิบัติการของกล่าว F-ปลอดภัย

. “เมื่อเรากลับถึงโรงแรม เราสังเกตเห็นแล็ปท็อปของเพื่อนถูกขโมยไปจากห้องพักในโรงแรมของเขา และนี่ก็เป็นโรงแรมที่ดี เราแจ้งเจ้าหน้าที่แล้ว แต่พวกเขาไม่ได้จริงจังกับเราเลยเพราะพวกเขาตรวจดูบันทึกแล้ว และไม่มีวี่แววว่าจะเข้าหรือบังคับเข้าเลย”

Timo Hirvonen ที่ปรึกษาด้านความปลอดภัยอาวุโสของ F-Secure กล่าวว่าการโจรกรรมดังกล่าวเป็นก้าวแรกสู่การค้นพบสิ่งที่สำคัญ ช่องโหว่ในระบบล็อคอิเล็กทรอนิกส์ที่ได้รับความนิยมมากที่สุดในโลก - การล็อค Assa Abloy Vision VingCard ระบบ.

“สมัยนั้นเพื่อนของเรากำลังทำสิ่งที่น่าสนใจทีเดียว ซึ่งเป็นเหตุผลที่มีคนยกแล็ปท็อปของเขาขึ้นมา นั่นทำให้เราคิดว่า โอเค เป็นไปได้ยังไงที่ใครบางคนสามารถเข้าไปในห้องพักของโรงแรมได้โดยไม่ทิ้งร่องรอยใดๆ ไว้เลย” ทูโอมิเนนกล่าว

ในอีกสิบห้าปีข้างหน้า Tomi, Timo และทีมงาน F-Secure ที่เหลือได้ทำงานเกี่ยวกับการใช้ประโยชน์จากช่องโหว่นี้เป็นโปรเจ็กต์รอง พวกเขาชี้ให้เห็นอย่างรวดเร็วว่ามันไม่ใช่ปัญหาที่ยากจะแก้ได้มากนักที่พวกเขาโห่ร้องให้แก้ไข ราวกับเป็นปริศนา — งานอดิเรกที่พวกเขาทำด้วยความอยากรู้อยากเห็นมากกว่าการพยายามเจาะระบบ VingCard

“บางคนเล่นฟุตบอล บางคนเล่นกอล์ฟ และเราก็ทำ… สิ่งเหล่านี้” ทูโอมิเนนกล่าวพร้อมกับหัวเราะ

ดังที่คุณสามารถจินตนาการได้ หลังจากใช้เวลาและพลังงานมากมายในการหาวิธีหลีกเลี่ยงความปลอดภัยของระบบ VingCard พวกเขาก็ดีใจมากเมื่อพบคำตอบ มันไม่ได้เป็นเพียงช่วงเวลา "อ้าฮ่า" เพียงครั้งเดียวเท่านั้น การใช้ประโยชน์ก็มารวมกันเป็นชิ้นเล็กชิ้นน้อย แต่เมื่อพวกเขาลอง เป็นครั้งแรกและได้ผลกับล็อคโรงแรมจริงๆ ทีมงาน F-Secure รู้ดีว่าพวกเขามีสิ่งพิเศษบางอย่างอยู่ มือ.

“มันน่าทึ่งมาก ฉันค่อนข้างแน่ใจว่าเราไฮไฟว์กัน ก่อนหน้านั้นยังมีความสำเร็จเล็กๆ น้อยๆ แต่เมื่อชิ้นส่วนต่างๆ มารวมกันเป็นครั้งแรกในที่สุด” Tuominen กล่าว “เมื่อเราตระหนักว่าจะเปลี่ยนสิ่งนี้ให้เป็นการโจมตีเชิงปฏิบัติที่ใช้เวลาเพียงไม่กี่นาทีได้อย่างไร เราก็แบบว่า ใช่ สิ่งนี้กำลังจะเกิดขึ้น เราไปที่โรงแรมจริงๆ และทดสอบแล้วได้ผล และมันก็น่าทึ่งมาก”

คีย์หลัก

เอาล่ะ การโจมตีนี้ทำงานอย่างไร? F-Secure ไม่ได้ลงรายละเอียดด้วยเหตุผลด้านความปลอดภัย แต่เกี่ยวกับวิธีการทำงาน ในทางปฏิบัติ คือ — เหมือนที่ Tuominen พูด — เหลือเชื่อ เริ่มต้นด้วยอุปกรณ์ขนาดเล็กที่ใครๆ ก็สามารถรับได้ทางออนไลน์ และเมื่อทีมงาน F-Secure โหลดเฟิร์มแวร์ของตนลงไป อุปกรณ์นี้สามารถเดินเข้าไปในโรงแรมใดก็ได้โดยใช้ระบบ VingCard และมีคีย์หลักในการเข้าถึงในเรื่องของ นาที.

“ใช้เวลาเพียงไม่กี่นาที ตัวอย่างเช่น เราสามารถขึ้นลิฟต์พร้อมกับแขกได้ ถ้าแขกมีกุญแจอยู่ในกระเป๋า เราก็สามารถอ่านกุญแจผ่านกระเป๋าได้ด้วยอุปกรณ์ของเรา จากนั้นเราก็เดินไปที่ประตูใดก็ได้ และโดยทั่วไปภายในไม่ถึงหนึ่งนาทีเราก็จะพบกุญแจหลัก” เฮอร์โวเนนอธิบาย

การโจมตีนี้ทำงานโดยการอ่านการ์ดจากโรงแรมที่ต้องการเจาะเข้าไปเป็นครั้งแรก แม้ว่าจะหมดอายุแล้วก็ตาม หรือเพียงแค่การ์ดของผู้เข้าพักทั่วไปก็ตาม ส่วนนั้นสามารถทำได้จากระยะไกล ตามที่ Tuominen อธิบาย โดยอ่านข้อมูลที่ต้องการจากกระเป๋าของคุณทันที

จากนั้น เพียงแค่แตะอุปกรณ์กับล็อคอิเล็กทรอนิกส์ตัวใดตัวหนึ่งในโรงแรมนานพอที่จะคาดเดารหัสมาสเตอร์คีย์ตามข้อมูลในการ์ดที่อ่านครั้งแรก ไม่ใช่แค่การหลีกเลี่ยงระบบล็อคแบบอิเล็กทรอนิกส์อย่างละเอียดเท่านั้น แต่ยังเป็นการโจมตีเชิงปฏิบัติโดยใช้ฮาร์ดแวร์นอกชั้นวางอีกด้วย

“มันเป็นอุปกรณ์ขนาดเล็ก ฮาร์ดแวร์เรียกว่า Proxmark ซึ่งเป็นสิ่งที่เปิดเผยต่อสาธารณะ คุณสามารถซื้อทางออนไลน์ได้ในราคาสองสามร้อยยูโร อุปกรณ์นี้มีขนาดค่อนข้างเล็ก คุณสามารถใส่ไว้ในมือได้อย่างง่ายดาย โดยมีขนาดประมาณที่จุดบุหรี่” Tuominen อธิบาย

โชคดีที่ F-Secure มั่นใจได้อย่างสมเหตุสมผลว่าการหาประโยชน์นี้ไม่ได้ถูกนำมาใช้อย่างแพร่หลาย วิธีแก้ปัญหานี้ค่อนข้างแปลกใหม่ และเมื่อพวกเขารู้ว่ามีการโจมตีที่ทำซ้ำได้ในมือ พวกเขาก็ติดต่อเพื่อล็อคผู้ผลิต Assa Abloy ทันทีเพื่อแจ้งให้ทราบ

“มันเป็นช่วงต้นปี 2017 ที่เราสามารถสร้างมาสเตอร์คีย์ได้เป็นครั้งแรก และทันทีที่เราพบว่าเรามีความสามารถนี้ เราก็ติดต่อกับ Assa Abloy เราพบพวกเขาแบบเห็นหน้ากันครั้งแรกในเดือนเมษายน 2017 เราอธิบายสิ่งที่เราค้นพบและอธิบายการโจมตี และตั้งแต่นั้นเป็นต้นมา เราก็ทำงานร่วมกันเพื่อแก้ไขช่องโหว่เหล่านี้” Tuominen กล่าว “ในตอนแรกพวกเขาคิดว่าพวกเขาสามารถแก้ไขจุดอ่อนได้ด้วยตนเอง แต่เมื่อพวกเขาแก้ไขจุดอ่อนและส่งเวอร์ชันที่แก้ไขแล้วมาให้เรา เราก็ได้ทำลายจุดเหล่านั้นเช่นกันสองสามครั้งติดต่อกัน เราทำงานร่วมกับพวกเขาตั้งแต่นั้นเป็นต้นมา”

คุณควรกังวลไหม?

หากคุณวางแผนวันหยุดฤดูร้อนไว้ หรือหากคุณเป็นนักเดินทางประจำ คุณอาจสงสัยว่านี่คือสิ่งที่คุณต้องกังวลหรือไม่ อาจจะไม่. F-Secure และ Assa Abloy ทำงานร่วมกันเพื่อส่งมอบแพตช์ซอฟต์แวร์ไปยังโรงแรมที่ได้รับผลกระทบ

"[Assa Abloy] ได้ประกาศแพตช์เมื่อต้นปี 2018 ดังนั้นจึงพร้อมให้ใช้งานมาได้สองสามเดือนแล้ว พวกเขามีเว็บไซต์ผลิตภัณฑ์ที่คุณสามารถลงทะเบียนและดาวน์โหลดแพตช์ได้ฟรี” Tuominen อธิบาย “มันเป็นซอฟต์แวร์แพตช์เท่านั้น แต่ก่อนอื่นคุณต้องอัปเดตซอฟต์แวร์แบ็กเอนด์ และหลังจากนั้นคุณต้องไปที่ประตูแต่ละบานและอัปเดตเฟิร์มแวร์ของประตูนั้นหรือล็อคด้วยตนเอง”

ดังนั้นคุณอาจไม่จำเป็นต้องมองหาระบบล็อคอิเล็กทรอนิกส์ยี่ห้อ Assa Abloy ในครั้งถัดไปที่คุณอยู่ในโรงแรม แพตช์นี้มีให้บริการตั้งแต่ต้นปี และตามข้อมูลของ F-Secure ก็ยังไม่มี เหตุผลที่เชื่อได้ว่ามีการใช้ช่องโหว่นี้อย่างแพร่หลาย — นอกเหนือจากการทดสอบของพวกเขาเอง คอร์ส. นี่คือประเด็นที่ Assa Abloy กล่าวย้ำอย่างรวดเร็วในแถลงการณ์อย่างเป็นทางการ กำลังดูแฮ็ค.

ถึงกระนั้น การระมัดระวังก็ไม่เสียหายอะไร ดังนั้นหากคุณเดินทางพร้อมกับอุปกรณ์อิเล็กทรอนิกส์ราคาแพงหรือละเอียดอ่อน ควรแน่ใจว่าคุณเก็บอุปกรณ์เหล่านั้นไว้กับตัวหรือเก็บไว้ในตู้นิรภัยในห้องพักของโรงแรม สิ่งสำคัญคือต้องจำไว้ว่านี่ไม่ใช่ครั้งสุดท้ายที่ระบบล็อคแบบอิเล็กทรอนิกส์เกิดความเสียหายเช่นนี้ เราแค่โชคดีที่ F-Secure เป็นผู้ค้นพบช่องโหว่นี้ บริษัท บุคคล หรือแม้แต่รัฐบาลอื่นๆ อาจไม่เตรียมพร้อมเช่นนี้