Tror du, at bare fordi din dør er låst på dit hotelværelse, så er det kun dig og hotelpersonalet der kan komme ind? Hvis ja, så har jeg lige et Eiffeltårn jeg skal have solgt til dig. Alt digitalt kan, og vil blive, hacket – det er kun et spørgsmål om tid, og nu har et researchteam fra F-Secure så fundet ud af, at det endda er ganske let.
Det som forskerne fra F-Secure har fundet ud af er, at globale hotelkæder samt selvstændige hoteller verden over bruger et elektronisk låsesystem, der kan udnyttes af en hacker til at få adgang til et hvert rum i bygningen. Designfejlen er fundet i et låsesystems software, der er kendt som Vision by VingCard og bruges til at sikre millioner af hotelværelser verden over. Det har resulteret i, at verdens største producent af elektroniske låse, Assa Abloy, har været tvunget til at udstede softwareopdateringer med sikkerhedsrettelser for at mindske problemet.
Efterforskernes angreb indebærer at bruge enhver almindelig elektronisk nøgle til det udvalgte sted, selv en, der er udløbet for længst, er kasseret eller bruges til at få adgang til andre rum som eksempelvis en garage eller et rengøringsskab. Ved hjælp af oplysninger fra nøglekortet kan efterforskerne oprette en masternøgle, der kan åbne ethvert rum i bygningen. Angrebet kan udføres uden at blive bemærket, da det blot vil se ud som om, at et normalt nøglekort er blevet brugt.
Efterforskernes interesse for at hacke hotellåse blev udløst for nogle år siden, da en kollegas bærbare computer blev stjålet fra et hotelværelse under en sikkerhedskonference. Da de rapporterede tyveriet, afviste hotellets personale deres henvendelse, da der ikke var tegn på, at nogen havde tvunget sig adgang til værelset, og der var intet bevis for uautoriseret adgang i værelseslåsens logfiler. Derfor besluttede efterforskerne at undersøge problemet yderligere og valgte at gå efter et mærke af låse kendt for kvalitet og sikkerhed.
“Vi ønskede at finde ud af, om det er muligt at omgå den elektroniske lås uden at efterlade spor,” skriver Timo Hirvonen, Senior Security Consultant hos F-Secure i en pressemeddelelse og fortsætter:
“At bygge et sikkert adgangskontrolsystem er meget kompliceret, fordi der er så mange ting, der skal gøres på en bestemt måde for at fungere optimalt. Først efter at vi havde forstået, hvordan systemet var designet, kunne vi identificere tilsyneladende uskyldige mangler. Vi kombinerede derefter disse mangler for at finde frem til en metode til oprettelse af master nøgler.”
F-Secure gav Assa Abloy besked om resultaterne og har samarbejdet med låseproducenten i løbet af det sidste år for at implementere de nødvendige rettelser til softwaren. Opdateringerne er blevet gjort tilgængelige for de berørte hoteller og øvrige ejendomme.
