NordenBladet — Soome mehed asusid uurima üht varguse juhtumit ja neil õnnestus luua kaart, mis avab kõik hotelliuksed. Juhtum puudutab Assa Abloy Vingcardi süsteemi, mida kasutatakse miljonites hotellitubades üle maailma.
Lukufirmat ja hotelle hoiatati juba aasta aega tagasi. Soomlaste Tomi Tuomineni ja Timo Hirvoneni välja selgitatud teave avalikustati nüüd, vahendab Helsingin Sanomat.
Mehed käisid 15 aastat tagasi ühel häkkerite messil Saksamaal Berliinis. Nad ööbisid heas hotellis, kust aga varastati ühe nende kolleegi laptop arvuti. Mingeid jälgi sissemurdmisest ei olnud ja hotelli töötajad ei avastanud samuti mitte midagi. Varguse sihtmärk oli tunnustatud IT-turvalisuse asjatundja, mistõttu varas ilmselt teadis, mida ta tegi.
Pärast seda hakkasid Tuominen ja Hirvonen uurima hotellides kasutusel olevat lukusüsteemi. Täpsemalt Assa Abloy Vingcardi süsteemi, mis oli kasutusel selles Berliini hotellis. Sama süsteemi kasutatakse laialt üle terve maailma.
Aasta aega tagasi jõudsid mehed müsteeriumile jälile. Nimelt leiutasid nad seadme, mille abil on võimalik kopeerida ükskõik millist hotellikaarti. Ja pärast seda on võimalik teha kaart, mis avab kõigi hotellitubade uksed. See oligi viis, kuidas Berliini hotellituppa õnnestus siseneda nii, et mingit jälge ei jäänud.
Avastuse tähendus on palju suurem kui ainult üks vargus. Nimelt kasutavad sama süsteemi väga paljud hotellid ja hooned üle maailma, mis kõik riskisid vargustega. Meeste väitel tähendab see miljoneid uksi, mida kõiki oli võimalik avada.
Mehed soetasid programmeeritava lugeja Proxmark3, mida müüakse veebipoodides. Seade loeb näiteks RFID-võtmeid ehk erinevaid võtmeid ja kaarte, mis töötavad puutetehnoloogial. NFC-tehnoloogia, millel põhinevad viipemakseid võimaldavad pangakaardid, on veidi arenenum.
Üldvõtme tegemisel on kolme etappi:
- Esiteks kopeeritakse üks hotelli või hoone võti. Pärast seda pole seda võtit enam vaja.
- Seade viiakse mõne luku lähedusse. Seade annab lukule mitmeid variante, kuni leitakse üldvõti, mille peale süttib luku roheline tuli.
- Nüüd töötab seade üldvõtmena terves hotellis või hoones. Vajadusel võib selle kopeerida ükskõik millisele võtmele või kaardile.
Praegu töötavad Tuominen ja Hirvonen Soome infoturbefirmas F-Secure ning nad hoiatasid kohe ettevõtet Assa Abloy. See on infoturbetöötajate tavaline käitumisviis: võimalikust ohust antakse ettevõttele kohe teada.
Pärast avastust oli hirm, et kõik hotellilukud tuleb välja vahetada, aga Timo Hirvonen leiutas viisi, kuidas haavatavuse võis kaotada ilma lukke vahetamata. Parandamiseks tuleb siiski iga ukse juures käia ja seal tarkvara välja vahetada. Lisaks tuleb uuendada programm, millega võtmeid luuakse. Lisaks loodi eraldi koduleht, mis on mõeldud hotellide töötajatele.
Reedel rääkisid Tuominen ja Hirvonen oma avastusest USA infoturbekonverentsil. Info oleks pidanud avalikustatama juba varem, aga seda lükati edasi, et kõigil hotellidel oleks aega oma süsteeme uuendada. Uuendused on olnud saadaval juba jaanuaris. Nüüd vastutavad hotellid juba ise, kui pole vastavaid uuendusi teinud.
Mehed täpsemalt ei räägi, kuidas nad luku lahti murdsid, aga rääkisid, et lihtne see ei olnud. Samas oli üllatus suur, kui neil õnnestus teha võti, mis avab kõik lukud. Teoreetiliselt ei tohiks selline asi olla võimalik.
Samuti on selge, et hotellitubadesse on võimalik sisse murda palju lihtsamalt ja profid lukkudega jändama ei hakka. Sissemurdmiseks piisab metallijupist, seetõttu seovad turva-ala asjatundjad sissemurdmise vältimiseks rätiku ukselingi ümber. See trikk on näha allolevast videost:
Soomlaste üldvõtme puhul aga pole rätikust mingit kasu. Soomlased ei soovinud spekuleerida, kui palju on hotellides sellist tehnoloogiat kasutatud.
Assa Abloy hotellide turvalisuse eest vastutav Christophe Sut sai asjast teada aasta tagasi aprillikuus. Ta lendas kohe Soome vaatama, milles asi. Nüüd paluvad nad klientidel teha kõik vajalikud uuendused.
Sut rääkides, et hotellides uuendatakse süsteeme pidevalt ning kõige uuemat lukusüsteemi see risk ei puuduta. Ta arvas, et vana süsteem on kasutusel umbes miljoni hotelliukse puhul. Ta tunnistas, et turvalisust tuleb kogu aeg parandada.
Allikas: Eestinen.fi
Loe kõiki NordenBladet´i “Soome uudised & info” rubriigi artikleid SIIT