Alle hoteldeuren open door simpele keycardhack
Securityleverancier F-Secure onthult vandaag dat het kwetsbaarheden heeft blootgelegd in veelgebruikte software voor digitale deursloten van Assa Abloy. De VISION-software van deze leverancier doet dienst in hotelketens wereldwijd en geeft onbevoegden brede en in wezen onzichtbare toegang tot alle gesloten ruimtes in hotels.
De zwakke plek zit in het algoritme voor de aanmaak van valide sleutels, die dan door deuren worden herkend en geaccepteerd. AG Connect heeft vóór de onthulling een toelichting gekregen van F-Secure. Het is geen kwestie van kraken, maar van reconstrueren, legt principal security consultant Tom Van de Wiele uit.
In enkele minuten geklaard
Een goedkoop RFID-leesapparaatje en enkele minuten geduld zijn de enige benodigdheden. Naast dus een echte pas die wordt uitgelezen. Op basis van een enkele geldige pas voor een willekeurige hoteldeur valt een valide kloonpas aan te maken die alle deuren opent.
Het maakt hierbij niet uit wat voor hotelpas het is, wanneer die is uitgegeven en waartoe die toegang geeft. Een verloren pas van een gast in het hotel, een conciërgepas die alleen de voorraadkamer opent, een personeelspas die het restaurant opent, een pas die een jaar geleden al is geblokkeerd. Allen zijn bruikbaar voor deze hotelhack.
Gestolen laptop
Het is allemaal vijftien jaar geleden begonnen met de diefstal van een laptop uit een hotelkamer. Notabene tijdens een securityconferentie. De ontvreemding is gedaan zonder braaksporen, wat normaliter de verdenking op een zakkenroller óf een schoonmaker zou leggen. Maar de pas was niet gestolen en personeel leek ook niet betrokken. De laptopeigenaar loog misschien over zijn verloren computer?
Maar security-onderzoeker Tomi Tuominen was overtuigd dat er meer aan de hand was, met de laptopdiefstal uit de hotelkamer van een collega van hem. Sindsdien heeft hij dit als hobbyproject onderzocht, samen met een andere collega bij F-Secure. Van de Wiele vertelt aan AG Connect dat dit onderzoek op een gegeven moment groot is geworden. “Als je iets wilt onderzoeken, heb je grote datasets nodig. Dus meer passen.”
Maandag-incheck = x?
De onderzoekers van F-Secure hebben aanvankelijk passen van eigen hotelbezoeken gebruikt en geanalyseerd. “Wat en hoe is de logica van de fabrikant? Hoe staat dat op de passen?”, legt Van de Wiele uit. Vervolgens zijn de Finse researchers bewust op bepaalde dagen een hotel gaan bezoeken. Welk getal levert een maandag-incheck op, strookt dat met hetgeen wat middels reverse engineering is uitgedokterd?
Vanzelfsprekend hebben de slotenkrakers ook zelf een slot van Assa Abloy aangeschaft. Toen eenmaal duidelijk en reproduceerbaar was dat de wereldwijd gebruikte hotelpassen ontraceerbaar te klonen waren, is de fabrikant ingelicht. Die heeft in februari dit jaar een update uitgebracht voor zijn software. Van de Wiele vertelt dat de fabrikant zijn grote klanten hierover heeft gecontacteerd.
Het is de vraag of en wanneer hotels hun beveiliging op orde hebben. De update geldt namelijk voor het hele sleutelsysteem: zowel de serversoftware voor keymanagement als ook de firmware van alle individuele deursloten moeten ge-update worden. Een tijdrovende en dus kostbare klus. F-Secure houdt technische details over zijn ontdekking dan ook onder de pet.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee