Salta al contenuto

Temi di tendenza

I ricercatori hanno trovato il modo di creare le chiavi master degli hotel

Marzia Romeo

26.04.18 5 minuti di lettura

Di solito, quando le persone prenotano una stanza d’albergo, la sicurezza è uno dei fattori che prendono in considerazione. Oltre a sapere se l’hotel offra il servizio in camera, l’aria condizionata o wi-fi gratuito, vuoi essere certo di essere al sicuro durante il tuo soggiorno – e che anche gli oggetti di tua proprietà lo siano. Migliore è la reputazione dell’hotel e la location, più ti senti protetto.

E se scoprissi che il sistema di chiusura che protegge la tua stanza da 400 euro a notte è vulnerabile e può essere hackerato? E se un attaccante potesse non solo accedere alla tua camera, ma a qualsiasi area dell’edificio?

Sembra spaventoso, ma è proprio lo scenario che i ricercatori F-Secure hanno scoperto mentre stavano investigando su un sistema di chiusura per strutture alberghiere ampiamente diffuso, sviluppato da uno dei principali produttori di questi sistemi, Assa Abloy. Questa scoperta interessa milioni di sistemi di chiusura in decine di migliaia di hotel in tutto il mondo, comprese strutture gestite da catene internazionali molto note.

Partiamo dall’inizio

Anni fa, due dei nostri ethical hacker hanno partecipato a una conferenza sulla sicurezza informatica a Berlino. Il laptop di uno di loro è stato rubato da una stanza d’albergo chiusa a chiave, mentre erano fuori. Curiosamente, non c’era alcun segno di scasso. Hanno denunciato il furto allo staff dell’hotel. Ma senza evidenze di accesso non autorizzato (nè fisico nè nei log), lo staff non ha preso in considerazione il reclamo.

Il fatto ha destato la curiosità dei nostri ricercatori, che hanno deciso di studiare se fosse possibile entrare in una stanza d’albergo senza la chiave… e senza lasciare traccia. Finalmente, dopo circa dieci anni e migliaia di ore di ricerca in parallelo ad altri progetti, sono riusciti a comprendere esattamente come fare.

Il loro obiettivo: un brand di alto calibro di sistemi di chiusura, riconosciuto per qualità e sicurezza.

Puoi immaginare cosa potrebbe fare una persona malintenzionata con il potere di entrare in qualsiasi stanza di un hotel, con una chiave master creata fondamentalmente dal nulla”, dichiara Tomi Tuominen, Practice Leader in F-Secure Cyber Security Services. Ha lavorato fianco a fianco con Timo Hirvonen, Senior Security Consultant in F-Secure, per ideare un modo di sfruttare il sistema software, noto come Vision by VingCard.

L’attacco

Innanzitutto un attaccante necessita di avere accesso ad una chiave elettronica della struttura target. Qualsiasi chiave è sufficiente, sia di una stanza, sia di un magazzino o un garage. Inoltre, la chiave non deve essere necessariamente attiva: anche una chiave scaduta proveniente da un soggiorno di cinque anni prima funziona.

L’attaccante legge la chiave e utilizza un piccolo dispositivo hardware per ricavare più chiavi per accedere alla struttura. Queste chiavi possono essere testate su qualsiasi chiusura all’interno dello stesso edificio. In pochi minuti il dispositivo è in grado di generare una chiave master. Il dispositivo può essere impiegato al posto di una chiave per bypassare qualsiasi chiusura nell’edificio, o in alternativa, per sovrascrivere una chiave esistente con la nuova chiave master creata.

Il dispositivo hardware è disponibile online per poche centinaia di euro. Tuttavia, è il software personalizzato sviluppato da Tomi e Timo che rende possibile l’attacco.

Costruire un sistema di controllo accessi sicuro è molto difficile perché ci sono così tante cose che devi fare bene”, afferma Timo. “Solo dopo che abbiamo capito completamente come era stato progettato il sistema, siamo stati in grado di identificare difetti apparentemente innocui. Abbiamo combinato in modo creativo questi difetti per arrivare a creare un metodo per realizzare chiavi master.”

Inoltre, durante la loro ricerca, Tomi e Timo hanno scoperto che il software Vision poteva essere sfruttato all’interno della stessa rete per ottenere l’accesso ai dati sensibili del cliente.

La soluzione

Tomi e Timo hanno notificato ad Assa Abloy ciò che avevano scoperto nell’aprile 2017, e da allora, hanno collaborato con il team R&D del produttore di sistemi di sicurezza per sistemare le falle. Assa Abloy ha recentemente rilasciato un aggiornamento software e reso disponibile agli hotel interessati.

Grazie alla loro diligenza e alla ferma volontà di voler risolvere i problemi identificati dalla nostra ricerca, il mondo dell’hospitality è ora un posto più sicuro,” dichiara Tomi. “Invitiamo qualsiasi struttura che stia usando questo software ad applicare l’aggiornamento prima possibile.

I due ricercatori non pubblicheranno i dettagli completi dell’attacco, nè renderanno disponibili gli strumenti utilizzati. Ad oggi, non sono a conoscenza di alcun caso dello stesso attacco effettuato altrove.

Il settore dell’hospitality è un obiettivo importante nel terreno di scontro della sicurezza informatica. Quindi quali precauzioni dovrebbero adottare viaggiatori per proteggersi da attacchi simili quando affittano una stanza?

La mia raccomandazione è che le persone contintuino a fare ciò che si spera stiano già facendo,” dice Timo. “Questo significa non lasciare alcun oggetto di valore nella tua stanza d’albergo e usare la catena della porta quanto ti trovi all’interno della stanza o vai a dormire. Se non fai già queste cose, adesso potrebbe essere il momento giusto di cominciare.

Per approfondire l’argomento, leggi anche il post “Hotel rooms can be hacked“, ascolta il podcast “Popping hotel locks: visita il sito hard truth about hacking” e visita il  nostro sito.

2018-04-16-Ghost in the hotel locks-ingographic 4-01

Articolo tratto da “Researchers find way to create master keys to hotels”, di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.

Marzia Romeo

26.04.18 5 minuti di lettura

Categorie

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.