Pesquisadores da F-Secure descobriram que redes de hotéis em todo o mundo estão usando um sistema de fechadura eletrônica que pode ser explorado por um invasor para obter acesso a qualquer quarto ou sala com essa proteção.
Quando a maioria das pessoas aluga um quarto de hotel, a segurança é um dos fatores que elas levam em consideração. Além de saber se o hotel tem serviço de quarto, ar-condicionado ou acesso Wi-Fi gratuito, queremos saber se nós – e nossos pertences – estaremos seguros durante a estadia. Quanto mais respeitável a marca do hotel e melhor a localização, mais seguro nos sentimos.
Mas e se você descobrir que o sistema de bloqueio que protege seu quarto de hotel é vulnerável e pode ser hackeado? E se um invasor não pudesse acessar apenas seu quarto, mas todos os cômodos do prédio?
Parece assustador, mas esse é o cenário que os pesquisadores da F-Secure descobriram quando investigaram um sistema de fechaduras eletrônicas amplamente implantado e feito pelo maior fabricante de fechaduras do mundo, Assa Abloy. A descoberta afeta milhões de fechaduras, em dezenas de milhares de hotéis em todo o mundo, incluindo locais administrados por redes internacionais bem conhecidas. E o Brasil não está fora dessa!
O início
Anos atrás, dois hackers éticos da F-Secure participaram de uma conferência de segurança em Berlim. O laptop de um colega pesquisador foi roubado de um quarto de hotel trancado enquanto estavam fora. Curiosamente, não havia sinais de arrombamento. Eles relataram o roubo à equipe do hotel, mas sem uma única indicação de acesso não autorizado à sala (nada físico e nada nos registros do software), a equipe do hotel descartou a queixa.
A curiosidade dos pesquisadores foi despertada. Eles decidiram investigar se é possível entrar em um quarto de hotel trancado sem a chave … e completamente sem deixar vestígios. Finalmente, depois de mais de uma década e milhares de horas de pesquisa como um projeto paralelo, eles descobriram como fazer exatamente isso.
Seu alvo: uma marca de alto calibre conhecida pela qualidade e segurança.
“ Você pode imaginar o que uma pessoa mal-intencionada poderia fazer com o poder de entrar em qualquer quarto de hotel, com uma chave mestra criada basicamente do nada”, diz Tomi Tuominen, líder de prática da F-Secure Cyber Security Services. Ele trabalhou lado a lado com Timo Hirvonen, consultor sênior de segurança da F-Secure, para criar uma maneira de explorar o sistema de software, conhecido como Vision by VingCard.
O hack
Primeiro, um atacante precisa ter acesso a uma chave eletrônica (cartão) para a instalação de destino. Literalmente, qualquer tecla será suficiente, seja uma chave do quarto ou uma chave para um armário ou garagem. Além do mais, a chave não precisa estar ativa no momento: até mesmo uma chave expirada de uma estadia há cinco anos funcionará.
Um invasor lerá a chave e usará um pequeno dispositivo de hardware para obter mais chaves para a instalação. Essas chaves derivadas podem ser testadas contra qualquer bloqueio no mesmo edifício. Em poucos minutos, o dispositivo pode gerar uma chave mestra para a instalação. O dispositivo pode então ser usado em vez de uma chave para ignorar qualquer bloqueio na instalação, ou alternativamente, para substituir uma chave existente com a chave mestra recém-criada.
O hardware necessário está disponível online por algumas centenas de euros. No entanto, é o software personalizado desenvolvido por Tomi e Timo que torna o ataque possível.
“Construir um sistema de controle de acesso seguro é muito difícil, porque há tantas coisas que você precisa acertar”, diz Timo. “Só depois que entendemos completamente como todo o sistema foi projetado, conseguimos identificar falhas aparentemente inócuas. Nós criativamente combinamos essas deficiências para criar um método para criar chaves mestras. ”
A solução
Tomi e Timo notificaram a Assa Abloy de suas descobertas em abril de 2017 e, desde então, trabalharam com a equipe de P & D da Lockmaker para consertar as falhas. A Assa Abloy recentemente emitiu uma atualização de software e a disponibilizou para os hotéis afetados.
“Por causa da diligência e disposição da Assa Abloy para resolver os problemas identificados por nossa pesquisa, o mundo da hospitalidade é agora um lugar mais seguro”, diz Tomi. “Pedimos a qualquer estabelecimento que use este software para aplicar a atualização o mais rápido possível”.
A dupla não estará publicando detalhes completos do ataque, nem disponibilizará ferramentas de ataque. Até o momento, eles não estão cientes de nenhum caso deste mesmo ataque sendo realizado na natureza.
A hospitalidade é uma indústria alvo no campo de batalha da Segurança da Informação . Então, que precauções devem os viajantes tomar para se protegerem contra esses tipos de ataques ao alugar um quarto?
“Minha recomendação é que as pessoas continuem fazendo as coisas que já estão fazendo”, diz Timo. “Isso significa que não deixe objetos de valor em seu quarto de hotel e use a corrente da porta quando estiver no quarto ou indo para a cama. Se você nunca fez essas coisas, agora pode ser uma boa hora para começar. ”
Fontes consultadas: F-Secure
Imagens: F-Secure / Pixabay
Texto adaptado: Roberto Henrique – Analista de Seg. da Informação – ABCTec
