Хакери откриха пробив в хотелските ключалки – милиони стаи са под техен контрол, какво следва

Ако сте решили да отиде на почивка и да се възползвате от услугите на луксозни хотели, препоръчваме да внимавате много с нивото на сигурност. Причината не се крие в предлаганата услуга, а в електрониката. Някои хакери често се наемат, за да открият дупка в сигурността на системата. За тази услуга се плаща доста скъпо, особено след като знаем, че места като Лас Вегас, Ибиса и други курортни места, могат да бъдат и обект на всеки един крадец. През 2022 г. група хакери като BlackHat и Defcon, решават да направят едно сериозно състезание, посещавайки всеки хотел в търсенето на жестоки дупки в системата. Настанявайки се в луксозна стая, другарите взимат лаптопите и започват да търсят варианти за превземане на чужда стая.

Не е трудно да се постигне това, все пак има умни телевизори, телефони, специални VoIP телефони в стаята и още много други джаджи, които могат да противодействат. Един особен момент е, че хакерите прекарват целия ден, за да открият проблемните места, а нищо не подозиращите гости не знаят, че техните лични вещи се превръщат в най-големият им враг.

Един от хакерите дори се фокусира върху ключалките на вратите, които се оказват и най-модерната технология във всеки един хотел. След доста време в игра и няколко години по-късно, същите господа показват един краен и особено притеснителен резултат. След доста разследване и разглеждане на ситуацията, войните в дигиталния свят са разбрали, че могат да отворят всяка една врата в хотелските стаи по света, а всичко това им отнема няколко секунди.

Техниката за хакване на хотелските карти има име – Unsaflok. Оказва се, че производителите не са обърнали внимание на цялата система, оставяйки сериозно количество пролуки за някой с повече дигитални познания.

Бравите Saflok-RFID са произведение на швейцарската компания Dormakaba. А въпросната система е инсталирана на повече от 3 милиона врати по света, локализирани в 13 хиляди имота в цели 131 страни.

Ще бъде трудно на човек с подобно познание да не се чувства като бог. За проникването във всяка една хотелска стая, хакери като Каръл и Уоътър ще имат нужда от една отключваща карта. Няма никакво значение каква, важното е просто да бъде от хотела. Представете си, че освобождавате хотелска стая и има достатъчно карти на рецепцията, които още не са събрани, представете си, че просто наемате стая в хотела. След това ви трябва устройство RFID, което струва около 300 долара и накрая две карти, които да бъдат взети от самия вредител.

Първата карта е програмирана така, че да пренаписва кода на ключалката, докато втората го отваря. Така работи цялата система, а първата отвлечена карта е необходима само за разпознаване на някои честоти. С други думи, повече от лесно е да посетите всяка една хотелска стая по ваш избор. Проблемът е в наказателния кодекс и известна доза рискове, ако решите да почукате на грешната врата. Двамата хакери са категорични, че този метод ще работи на всяка една хотелска стая, без значение в коя точка по света, достатъчно е да знаете методиката. Уоътър и Карол разполагат със свой собствен сайт и споделят своите хакерски умения през ноември 2022 г.

Тъй като информацията е публична, двамата не могат да бъдат подведени под юридическа отговорност, а компанията Dormakaba признава, че работи сериозно за поправянето на грешките. В някои моменти, същите хора са търсени от хотели по цял свят, за да променят защитата и да гарантират сигурността на клиентите. Оказва се, че хардуерът няма никакви проблеми и не се налага промяна на всяка ключалка, двамата майстори на системата предлагат нов софтуер и препоръчват наемането на инженер, който да следи за поверителността на системата.

Разбира се, всичко това идва с цена, която трябва да се плати, тъй като рискът е още по-голям, ако системата остане уязвима. Видяхте в горните редове, необходими са ви около 500 долара и познанието, което най-вероятно може да бъде открито в тъмната мрежа. По мнението на хакерите, към настоящия момент има едва 36% от инсталирания софтуер за защита. Това означава, че останалите ключалки, които са свързани в интернет мржата, имат нужда от подобрения.

Единственият проблем е, че тази дупка в софтуера е налична във всички модели, а това означава, че по-старите няма да подлежат на такива подобрения, а ще изискват директна замяна.

Проблемът е, че Карол и компания са разбрали двата проблема – единият е, че може да се пише върху карта на хотела, а вторият е, че те знаят какво точно да запишат, за да може ключалката да се отвори, при това без никакъв натиск. Проблемът на компанията-производител е, че използва код MIRAFE RFID, който е известен от последното десетилетие с редица проблеми и много от хакерите знаят как да го използват. За мнозина вече е лесно за около 20 секунди да преодолеят повечето защити и да се възползват.

Това не е единственото необходимо – устройството за четене на карти, което се разпространява от Dormakaba е уникално по рода си. Това не го прави безгрешно. С помощта на малко повече внимание и желание, хакерите обръщат процеса и успяват да разгледат софтуера така, че скоро след това да вадят правилните кодове от картите, които са открили. След това е необходимо да използват свои собствени карти и да се разходят из всяка една хотелска стая.

Как се намира устройството? Оказва се, че Dormakaba не са много гениални в своите решения. В eBay има достатъчно такива устройства на фалирали или затворени хотели, които дори се продават със софтуера за записване. След това няма нищо невъзможно.

Последната стъпка е да имат карта от хотела, която може да е дори изтекла, за да могат да разберат параметрите на сигурността и след това да ги обърнат срещу самия хотел. Има и още един проблем, съвсем скоро групата BlackHat открива същите главоболия от картите на фирма Onity. Те дори създават устройство, с което могат да отворят една от 10-те милиона ключалки по цял свят.

Проблемът е, че Onity отказва да плати за подобренията на системата си и така започват големите главоболия, които водят до безпроблемни кражби в хотели, а и не само. Карол и Уоътър имат друг подход и внимателно обясняват на своите клиенти, че домовете им, хотелските стаи и други елементи за сигурност могат да бъдат в опасност и да създадат много главоболия. Притесненията тук са големи, защото информацията е публична, а никой не може да гарантира какво наистина може да се случи от другата страна.

Препоръката е много по-лесна, обърнете внимание на самите ключалки, ако имат кръгъл дизайн на четеца, тогава е по-добре да не се настанявате в този хотел. Друга препоръка, ако не може да направите разликата, тогава е най-добре да не оставяте ценни вещи в хотелската си стая. Ако носите много ценни вещи, използвайте сейфа на хотела, който със сигурност има съвсем различна ключалка от тази на посочените компании.

На финал може да се сподели от двамата хакери, че старите компании са имали тези проблеми от много време, но просто не са се радвали на вниманието, което днес имат. В резултат на това, ситуацията става много по-мрачна, особено след като има твърде много хотели, при това луксозни, които са се доверили на въпросните представители.