Hotele na celowniku hakerów

Badacze z firmy F-Secure odkryli lukę w elektronicznym systemie zamków wykorzystywanych w hotelach na całym świecie, która pozwala hakerom dostać się do dowolnego pomieszczenia w budynku

Być może kolejna złodziejska metoda jeszcze długo nie została by wykryta, gdyby nie pewne wydarzenie sprzed ponad dekady. Pracownicom F-Secure skradziono wtedy laptopa z pokoju hotelowego, podczas jednej z konferencji poświęconej… bezpieczeństwu. Kradzież została zgłoszona, ale hotel nie chciał wziąć na siebie odpowiedzialności, uzasadniając swoją decyzję brakiem jakichkolwiek śladów użycia siły, a nawet pozostawienia zapisów w rejestrze. Badacze jednak nie odpuścili.

Rozpoczęliśmy badania w tym kierunku, ponieważ sami doświadczyliśmy podobnego problemu 12 lat temu, kiedy skradziono nasz komputer. Na szczęście do tej pory nie dostaliśmy zgłoszenia o innych wtargnięciach – mówi Tomi Tuominen, lider globalnej jednostki F-Secure Cyber Security Services.

Poszukiwanie luki stanowiło długotrwały proces, który wymagał dokładnego zaznajomienia się z architekturą całego systemu oraz przeprowadzenia licznych prób, trwających kilka tysięcy godzin. Potencjalne włamanie, które zasymulowali badacze, może zostać przeprowadzone z użyciem klucza w postaci karty elektronicznej. Nadają się do tego zarówno karty, które już dawno wygasły, nie są aktywne, a nawet te wykorzystywane jedynie przy wejściu do garażu czy pomieszczenia sanitarnego. Dane przejęte z karty zbliżeniowej umożliwiły badaczom stworzenie tzw. klucza generalnego (Master Key), otwierającego wszystkie drzwi w hotelu. W dodatku wtargnięcie z użyciem tej metody nie pozostawia jakichkolwiek śladów.

Firma F-Secure poinformowała największego na świecie dostawcę zabezpieczeń elektromechanicznych do drzwi, firmę Assa Abloy o wykrytej luce i współpracowała z twórcami zabezpieczenia przez ostatni rok, aby udało się wprowadzić konieczne zmiany. Aktualizacja jest już dostępna do pobrania dla wszystkich, którzy wykorzystują ten system zamków.

oprac. Krzysztof Michał Jóźwiak

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *