Tutkijat löysivät tavan luoda yleisavaimia hotelleihin
Kun ihmiset varaavat hotellihuoneen, turvallisuus vaikuttaa hotellin valintaan. Huonepalvelun, ilmastoinnin tai ilmaisen Wi-Fi:n lisäksi haluamme, että me – ja omaisuutemme – ovat turvassa. Mitä parempi sijainti ja mitä tunnetumpi hotellibrändi, sitä turvallisemmaksi olomme tunnemme.
Mutta mitä jos saisit tietää, että lukkojärjestelmä, joka turvaa 400 dollaria yöltä maksavan hotellihuoneesi, on mahdollista hakkeroida tai jo hakkeroitu? Ja jos hyökkääjällä on sinun huoneesi lisäksi pääsy myös jokaiseen muuhun rakennuksen huoneista?
Tämä voi kuulostaa huolestuttavalta, mutta tähän lopputulokseen F-Securen tutkijat päätyivät. He tutkivat maailman suurimman lukkovalmistajan, Assa Abloyn valmistamia, hotelli- ja ravintola-alalla käytössä olevia lukkojärjestelmiä. F-Securen tekemät löydökset koskevat miljoonia lukkoja kymmenissä tuhansissa hotelleissa ja tunnetuissa hotelliketjuissa ympäri maailmaa.
Mistä kaikki alkoi
Vuosia sitten kaksi eettistä hakkeria osallistuivat tietoturvakonferenssiin Berliinissä. Konferenssin aikana tutkijakollegan kannettava tietokone varastettiin lukitusta hotellihuoneesta. Merkkejä murrosta ei ollut näkyvissä. Tutkijat kertoivat varkaudesta hotellin henkilökunnalle, mutta koska merkkejä luvattomasta pääsystä huoneeseen ei ollut (ei fyysisiä merkkejä, eikä jälkiä ohjelmistolokeissa), henkilökunta hylkäsi valituksen.
Tutkijat närkästyivät. He päättivät tutkia, onko lukittuun hotellihuoneeseen mahdollista päästä ilman avainta – ja täysin ilman jälkiä. Lopulta, muiden töiden ohessa yli vuosikymmenen kestäneen tutkimuksen avulla, he onnistuivat selvittämään, miten tämä olisi mahdollista tehdä.
Kohteeksi valikoitui laadustaan ja turvallisista lukoistaan tunnettu korkealuokkainen lukkobrändi.
“Voitte kuvitella, mitä rikollinen voisi tehdä minkä tahansa hotellin huoneen avaavalla yleisavaimella, jonka hän on luonut käytännössä tyhjästä”, F-Securen tietoturvatutkija Tomi Tuominen sanoo. Tuominen työskenteli yhdessä F-Securen tietoturvatutkija Timo Hirvosen kanssa, keksiäkseen keinon, jolla he voisivat huijata Vision by VingCard-ohjelmistoa.
Hakkerointi
Hyökkääjä tarvitsee käyttöönsä kohteen sähköisen avaimen. Mikä tahansa kohteessa käytettävä elektroninen avain riittää, esimerkiksi säilytyslokeron tai autotallin avain. Avaimen ei tarvitse olla aktiivinen: jopa viisi vuotta käyttämättä ollut avain kelpaa.
Hyökkääjä lukee avaimen tiedot ja käyttää apunaan laitetta, jolla hän voi luoda uusia avaimia kohteeseen. Luotuja avaimia voidaan testata mihin tahansa samassa rakennuksessa olevaan lukkoon. Muutamissa minuuteissa laite pystyy luomaan koko rakennukseen toimivan yleisavaimen. Laitetta voidaan sen jälkeen käyttää avaimen sijaan lukitusten ohittamiseen, tai muuttamaan olemassa oleva avain yleisavaimeksi.
Hakkerointiin tarvittava laite on saatavilla muutamalla sadalla eurolla verkossa. Mutta vain Tuominen ja Hirvonen ovat kehittäneet mukautetun ohjelmiston, jolla hyökkäys on mahdollista toteuttaa.
“Turvallisen kulunvalvontajärjestelmän rakentaminen on hyvin vaikeaa, sillä siihen liittyy niin monia asioita, jotka täytyy toteuttaa virheettömästi. Vasta kun ymmärsimme perusteellisesti, miten järjestelmä on suunniteltu, pystyimme löytämään näennäisen vaarattomia puutteita. Kun yhdistimme luovasti nämä puutteet, keksimme keinon luoda yleisavaimen”, Hirvonen sanoo.
Lisäksi, tutkimuksensa aikana Tomi ja Timo havaitsivat, että hakkerit voisivat päästä käsiksi myös arkaluontoisiin asiakastietoihin Vision-ohjelmiston tietoturva-aukon avulla
Ratkaisu
Tuominen ja Hirvonen ilmoittivat Assa Abloylle havainnoistaan huhtikuussa 2017. Siitä lähtien he ovat työskennelleet lukkovalmistajan tutkimus- ja kehitystiimin kanssa ohjelmistopäivitysten parissa. Assa Abloy julkaisi vastikään ohjelmistopäivityksen kohteena olleille hotelleille.
“Assa Abloyn määrätietoisuuden ja yhteistyöhalukkuuden ansiosta hotelliala on nyt aiempaa turvallisempi”, Tuominen toteaa. “Kehotamme kaikkia kyseistä ohjelmistoa käyttäviä hotelleja päivittämään sovelluksen mahdollisimman pian.”
Kaksikko ei julkaise täydellisiä hyökkäystietoja, eivätkä tuo hyökkäysvälineitä julkisesti saataville. Tällä hetkellä ei ole tiedossa, että kukaan muu käyttäisi kyseistä hyökkäystapaa tällä hetkellä.
Hotelli- ja ravintola-ala on tietoturvan kannalta keskeisimpiä toimialoja. Mitä matkailijoiden pitäisi huomioida hotellimajoitusta varatessa, jotta he voivat suojata itseään vastaavanlaisilta hyökkäyksiltä?
“Mielestäni ihmisten tulee edelleen tehdä niitä asioita, joita he matkaillessaan toivottavasti jo tekevät. Tämä tarkoittaa sitä, että arvoesineitä ei pidä jättää hotellihuoneeseen ja nukkuessa tulisi käyttää oven turvaketjua. Jos et ole aiemmin tehnyt näitä asioita, niin nyt olisi hyvä aika aloittaa”, Timo kertoo.
Kategoriat