Κάθε καλοκαίρι στο Λας Βέγκας, χιλιάδες άνθρωποι, επαγγελματίες και μελετητές πηγαίνουν στα συνέδρια για χάκερς, Black Hat και Defcon. Πολύ συχνά κατά τη διάρκεια αυτών των εκδηλώσεων δοκιμάζονται νέες τακτικές επιθέσεων σε ψηφιακές υποδομές, δοκιμάζοντας έτσι την ποιότητα των συστημάτων ασφαλείας.
Αυτήν τη φορά ο στόχος ήταν τα ξενοδοχεία του Λας Βέγκας και το αποτέλεσμα ήταν εντυπωσιακό και μάλλον τρομακτικό.
Μαθήματα hacking
Σε μια ιδιωτική εκδήλωση το 2022, μια επιλεγμένη ομάδα ερευνητών κλήθηκε να χακάρει ένα δωμάτιο ξενοδοχείου στο Λας Βέγκας, ανταγωνιζόμενη σε μια σουίτα γεμάτη φορητούς υπολογιστές για να βρει τα ψηφιακά τρωτά σημεία σε κάθε ένα από τα gadgets του καταλύματος.
Μια ομάδα χάκερς πέρασε αυτές τις ημέρες εστιάζοντας κυρίως στην κλειδαριά της πόρτας του δωματίου, ίσως το πιο ευαίσθητο κομμάτι τεχνολογίας από όλα.
Τώρα, περισσότερο από ενάμιση χρόνο αργότερα, φέρνουν επιτέλους στο φως τα αποτελέσματα αυτής της δουλειάς: μια τεχνική που ανακάλυψαν και η οποία θα επέτρεπε σε έναν εισβολέα να ανοίξει εκατομμύρια δωμάτια ξενοδοχείων παγκοσμίως σε δευτερόλεπτα, με δύο μόνο πατήματα.
Εκατομμύρια ευάλωτες κλειδαριές σε όλο τον κόσμο
Σήμερα, ο Ian Carroll, ο Lennert Wouters και μια ομάδα άλλων ερευνητών ασφαλείας αποκαλύπτουν μια τεχνική για την παραβίαση καρτών κλειδιών ξενοδοχείων που ονομάζουν Unsaflok. Η τεχνική αυτή είναι μια συλλογή ευπαθειών ασφαλείας που θα επέτρεπε σε έναν χάκερ να ανοίξει σχεδόν ακαριαία διάφορα μοντέλα μαγνητικών κλειδαριών με κλειδιά RFID της μάρκας Saflok, που πωλούνται από τον ελβετικό κατασκευαστή κλειδαριών Dormakaba. Τα συστήματα Saflok είναι εγκατεστημένα σε 3 εκατομμύρια πόρτες παγκοσμίως, μέσα σε 13.000 εγκαταστάσεις σε 131 χώρες.
"Δύο γρήγορα αγγίγματα και ανοίγουμε την πόρτα", λέει ο Wouters, ερευνητής στην ομάδα Computer Security and Industrial Cryptography του Πανεπιστημίου KU Leuven στο Βέλγιο. "Και λειτουργεί σε κάθε πόρτα του ξενοδοχείου".
Οι Wouters και Carroll ισχυρίζονται, ωστόσο, ότι η Dormakaba τούς είπε ότι, μέχρι αυτόν τον μήνα, μόνο το 36% των εγκατεστημένων Safloks είχε αναβαθμιστεί. Δεδομένου ότι οι κλειδαριές δεν είναι συνδεδεμένες στο διαδίκτυο και ότι ορισμένες παλαιότερες κλειδαριές θα χρειαστούν ακόμη αναβάθμιση υλικού, λένε ότι η πλήρης λύση θα χρειαστεί πιθανότατα μήνες για να εφαρμοστεί, τουλάχιστον. Ορισμένες παλαιότερες εγκαταστάσεις θα μπορούσαν να χρειαστούν και χρόνια.
Ακολούθησε το Esquire στο Facebook, το Twitter και το Instagram.