Bagaimana F-Secure Meretas 40.000 Hotel untuk Membuat Anda Lebih Aman

(dalam) Aman adalah kolom mingguan yang membahas topik keamanan siber yang meningkat pesat.

Bagaimana jika Anda kembali ke kamar hotel dan menemukan bahwa laptop Anda hilang? Bagaimana jika tidak ada jejak penyusup, tidak ada masuk paksa, tidak ada bukti bahwa ruangan itu dimasuki sama sekali? Perusahaan keamanan F-Secure dihadapkan pada pertanyaan itu, dan jawaban mereka sederhana: Temukan bagaimana membuat hal yang tidak mungkin menjadi mungkin. Cari tahu bagaimana menjadi hantu.

F-Secure mengumumkan minggu ini bahwa mereka telah menemukan kerentanan besar yang memengaruhi jutaan kunci elektronik di seluruh dunia. Eksploitasi akan membiarkan siapa pun masuk ke kamar hotel tanpa terdeteksi, tanpa meninggalkan jejak. Kami duduk bersama para peneliti yang menemukan eksploitasi, Timo Hirvonen dan Tomi Tuominen, untuk membicarakan tentang peristiwa yang mengarah pada penemuannya dan bagaimana eksploitasi ini dapat membuat hotel Anda berikutnya tetap jauh lebih aman.

Suatu malam di Berlin

“Ceritanya dimulai pada tahun 2003, ketika kami menghadiri konferensi peretas di Berlin, Jerman,” kata Tomi Tuominen, Pemimpin Praktik di F-Secure. “Ketika kami kembali ke hotel, kami melihat laptop teman kami telah dicuri dari kamar hotelnya - dan ini adalah hotel yang bagus. Kami memberi tahu staf, dan mereka tidak menganggap kami serius karena mereka telah melihat log dan tidak ada tanda masuk atau masuk paksa. "

“Itu membuat kami berpikir: bagaimana mungkin seseorang bisa memasuki kamar hotel tanpa meninggalkan jejak sama sekali?

Pencurian itu, tambah Timo Hirvonen, konsultan keamanan senior di F-Secure, adalah langkah pertama untuk menemukan kerentanan kritis di salah satu sistem kunci elektronik paling populer di dunia - sistem penguncian Assa Abloy Vision VingCard.

“Teman kami melakukan beberapa hal yang cukup menarik pada masa itu, yang pasti menjadi alasan seseorang mengangkat laptopnya. Itu membuat kami berpikir, oke, bagaimana mungkin seseorang bisa memasuki kamar hotel tanpa meninggalkan jejak sama sekali? ” Kata Tuominen.

Selama lima belas tahun ke depan, Tomi, Timo, dan tim F-Secure lainnya mengerjakan exploit sebagai proyek sampingan. Mereka dengan cepat menunjukkan, bahwa itu bukan masalah yang sulit mereka pecahkan sebanyak itu sebagai teka-teki - hobi yang mereka kerjakan lebih karena rasa ingin tahu daripada dorongan untuk memecahkan sistem VingCard.

“Beberapa orang bermain sepak bola beberapa orang bermain golf, dan kami hanya melakukan… hal-hal seperti ini,” kata Tuominen sambil tertawa.

Kartu Kunci HotelPerangkat Proxmark3

Perusahaan keamanan siber F-Secure menggunakan perangkat yang disebut Proxmark (kiri) untuk meretas sistem keamanan VingCard yang digunakan di kartu kunci hotel (kanan). Proxmark.org dan F-Secure

Seperti yang dapat Anda bayangkan, setelah menghabiskan begitu banyak waktu dan energi untuk menemukan cara untuk menghindari keamanan sistem VingCard, mereka sangat gembira saat menemukan jawabannya. Bukan hanya momen "Aha" saja, eksploit tersebut menjadi potongan dan potongan, tetapi ketika mereka mencobanya untuk pertama kali dan berhasil pada kunci hotel yang sebenarnya, tim F-Secure tahu bahwa mereka memiliki sesuatu yang istimewa di tangan mereka.

“Itu sangat luar biasa, saya cukup yakin bahwa kami melakukan tos. Ada keberhasilan yang lebih kecil sebelumnya, tetapi ketika potongan-potongan itu akhirnya bersatu untuk pertama kalinya, ”kata Tuominen. “Ketika kami menyadari bagaimana mengubah ini menjadi serangan praktis yang hanya membutuhkan waktu beberapa menit, kami berpikir ya ini akan terjadi. Kami pergi ke hotel sungguhan dan mengujinya dan itu berhasil, dan itu cukup mengejutkan. "

Kunci utama

Baiklah, jadi bagaimana serangan ini bekerja? Nah, F-Secure tidak membahas detailnya untuk alasan keamanan, tetapi cara kerjanya dalam praktiknya - seperti yang dikatakan Tuominen - sangat mengejutkan. Ini dimulai dengan perangkat kecil yang dapat diambil siapa saja secara online, dan setelah tim F-Secure memuat firmware mereka ke perangkat, mereka dapat masuk ke hotel mana pun menggunakan sistem VingCard dan memiliki akses kunci utama dalam hitungan menit.

“Kami bisa naik lift dengan seorang tamu, jika tamu memiliki kunci di saku mereka, kami bisa membaca kunci melalui saku dengan perangkat kami. Kemudian kami akan berjalan ke salah satu pintu dan biasanya dalam waktu kurang dari satu menit kami dapat menemukan kunci utama. ”

“Hanya butuh beberapa menit. Misalnya, kita bisa naik lift dengan seorang tamu, jika tamu memiliki kunci di saku mereka, kita bisa membaca kunci melalui saku dengan perangkat kita. Kemudian kami akan berjalan ke salah satu pintu dan biasanya dalam waktu kurang dari satu menit kami dapat menemukan kunci utama, ”jelas Hirvonen.

Serangan tersebut bekerja dengan terlebih dahulu membaca setiap kartu dari hotel yang ingin mereka masuki - bahkan jika sudah kedaluwarsa, atau hanya kartu tamu biasa. Bagian itu dapat dilakukan dari jarak jauh, seperti yang dijelaskan Tuominen, membaca informasi yang mereka butuhkan langsung dari saku Anda.

F-Secure

Kemudian, tinggal menyentuhkan perangkat ke salah satu kunci elektronik di hotel cukup lama untuk menebak kode kunci master berdasarkan informasi di kartu yang dibaca pertama kali. Ini bukan hanya pengelakan menyeluruh dari sistem kunci elektronik, tetapi juga serangan praktis menggunakan perangkat keras rak.

“Ini adalah perangkat kecil, perangkat kerasnya disebut Proxmark, ini tersedia untuk umum, Anda dapat membelinya secara online dengan harga beberapa ratus euro. Alatnya agak kecil, bisa pas di tangan dengan mudah, seukuran korek api, ”jelas Tuominen.

Untungnya, F-Secure cukup yakin bahwa eksploitasi ini belum pernah digunakan di alam liar. Solusinya cukup baru dan begitu mereka tahu bahwa mereka memiliki serangan yang dapat direproduksi di tangan mereka, mereka segera mengulurkan tangan untuk mengunci pabrikan Assa Abloy untuk memberi tahu mereka.

“Itu awal 2017 ketika kami pertama kali berhasil membuat kunci master. Dan segera setelah kami mengetahui bahwa kami memiliki kemampuan ini, kami menghubungi Assa Abloy. Kami bertemu mereka pertama kali secara tatap muka pada April 2017. Kami menjelaskan temuan kami dan menjelaskan serangan itu, dan sejak saat itu kami bekerja sama untuk memperbaiki kerentanan ini, ”kata Tuominen. “Awalnya mereka mengira dapat memperbaiki kerentanan itu sendiri, tetapi ketika mereka memperbaiki kerentanan dan mengirimkan versi tetapnya, kami juga memecahkannya beberapa kali berturut-turut. Kami telah bekerja sama dengan mereka sejak itu. ”

Haruskah Anda khawatir?

Jika Anda memiliki rencana liburan musim panas, atau jika Anda sering bepergian, Anda mungkin bertanya-tanya, apakah ini sesuatu yang perlu Anda khawatirkan? Mungkin tidak. F-Secure dan Assa Abloy telah bekerja bahu membahu untuk mengirimkan tambalan perangkat lunak ke hotel yang terkena dampak.

“[Assa Abloy] mengumumkan patch tersebut di awal tahun 2018, jadi patch tersebut telah tersedia selama beberapa bulan sekarang. Mereka memiliki situs web produk tempat Anda dapat mendaftar dan mengunduh tambalannya secara gratis, ”jelas Tuominen. “Ini adalah tambalan khusus perangkat lunak, tetapi pertama-tama Anda perlu memperbarui perangkat lunak backend, dan setelah itu Anda harus pergi ke setiap pintu dan memperbarui firmware pintu atau kunci itu secara manual.”

Tomi Tuominen F-Secure

Jadi, Anda mungkin tidak perlu mengawasi kunci elektronik merek Assa Abloy saat berada di hotel lagi. Tambalan telah tersedia sejak awal tahun, dan menurut F-Secure tidak ada alasan untuk percaya bahwa eksploitasi khusus ini telah digunakan di alam liar - tentunya di luar pengujian mereka sendiri. Ini adalah poin yang Assa Abloy dengan cepat tegaskan dalam pernyataan resminya, meremehkan peretasan.

Namun, tidak ada salahnya untuk berhati-hati, jadi jika Anda bepergian dengan membawa barang elektronik yang mahal atau sensitif, pastikan Anda menyimpannya sendiri atau diamankan secara fisik di brankas kamar hotel Anda. Penting untuk diingat bahwa ini bukan terakhir kali sistem kunci elektronik dikompromikan seperti ini. Kami hanya beruntung F-Secure yang menemukan kerentanan ini. Perusahaan lain, individu, atau bahkan pemerintah, mungkin tidak begitu terbuka.