Του Γιάννη Γορανίτη
Η ασφάλεια του συνόλου των ηλεκτρονικών και ψηφιακών συστημάτων τίθεται εν αμφιβόλω τα τελευταία χρόνια. Και πολύ ορθά, αν θέλετε τη γνώμη μας, αφού οι αποδείξεις για παραβίαση των συστημάτων ασφαλείας κάθε είδους είναι αναρίθμητες, και δεν επιτρέπουν σε κανέναν να «κοιμάται ήσυχος».
Ακόμη κι αν κοιμάται στο δωμάτιο κάποιου ξενοδοχείου, αφού όπως αποκάλυψαν οι ερευνητές της F-Secure, οι μεγαλύτερες ξενοδοχειακές αλυσίδες και χιλιάδες ξενοδοχεία σε όλο τον πλανήτη, είναι ευάλωτες σε μια ευπάθεια του ηλεκτρονικού συστήματος κλειδαριάς.
Όπως απέδειξαν οι ερευνητές, οι εισβολείς θα μπορούσαν δυνητικά να αποκτήσουν πρόσβαση σε οποιοδήποτε δωμάτιο του ξενοδοχείου, αλλά και σε όλους τους χώρους του κτιρίου που απαιτούν κάρτα πρόσβασης.
Πώς χακάρονται τα ξενοδοχεία;
Το συγκεκριμένο ελάττωμα εντοπίστηκε στο λογισμικό του συστήματος κλειδώματος, το οποίο είναι γνωστό ως Vision by VingCard και χρησιμοποιείται σε εκατομμύρια δωμάτια σε όλο τον κόσμο. Το μόνο που απαιτείται είναι η ανεύρεση οποιασδήποτε κάρτας πρόσβασης για δωμάτιο ή άλλο χώρο (π.χ. στο πάρκινγκ, στα μαγειρεία ή τις αποθήκες).
Αμέσως μόλις εισαχθεί οποιαδήποτε κάρτα στη συσκευή, ο κακόβουλος είναι σε θέση όχι μόνο να αντιγράψει την κάρτα, αλλά και να δημιουργήσει ένα πασπαρτού – την κάρτα, δηλαδή, που επιτρέπει την πρόσβαση σε οποιονδήποτε χώρο και δωμάτιο.
Μπορείτε να διαβάσετε την αναλυτική αναφορά για τον τρόπο που δρουν οι χάκερς των ξενοδοχείων με τον εύγλωττο τίτλο «Ghost in the locks» εδώ.
Καθησυχαστική η κατασκευάστρια
Υπεύθυνη ανάπτυξης και συντήρησης του Vision by VingCard είναι η Assa Abloy, ο μεγαλύτερος κατασκευαστής κλειδαριών παγκοσμίως. Ήδη η σουηδική εταιρεία έχει σπεύσει να καλύψει με ενημερώσει λογισμικού το συγκεκριμένο κενό ασφαλείας, αλλά δεν είναι καθόλου βέβαιο ότι το πρόβλημα έχει επιλυθεί.
Σύμφωνα με επίσημη ανακοίνωση, η ευπάθεια πλέον αφορά πολύ μικρό αριθμό ξενοδοχείων, καθώς στα περισσότερα έχει ήδη διατεθεί δωρεάν η ενημέρωση λογισμικού. Αναφέρει, μάλιστα, ότι ένα «μικρό κλάσμα» της εγκατεστημένης βάσης δεν έχει ακόμη εγκαταστήσει την ενημέρωση.
Τονίζουν επίσης ότι η διαδικασία παραβίασης δεν είναι τόσο εύκολη όσο την παρουσιάζουν οι ερευνητές της F-secure, οι οποίοι άλλωστε χρειάστηκαν αρκετά χρόνια προκειμένου να «σπάσουν» το λογισμικό.
Η έρευνά τους ξεκίνησε με αφορμή την κλοπή του laptop ενός συνεργάτη τους από το δωμάτιο ενός ξενοδοχείου, χωρίς να υπάρχουν σημάδια παραβίασης στην κλειδαριά. Όπως αναφέρουν, είναι αναρίθμητες οι «ανεξήγητες» περιπτώσεις μη εξουσιοδοτημένης πρόσβασης σε δωμάτια ξενοδοχείου, που πιθανότατα συνδέονται με την ευπάθεια του λογισμικού Vision by VingCard.
Τονίζεται πάντως ότι τα αποτελέσματα της έρευνας διαβιβάστηκαν στην Assa Abloy προτού δημοσιοποιηθούν, ενώ οι ερευνητές συνεργάστηκαν με τη σουηδική εταιρεία προκειμένου να γίνουν αποτελεσματικότερα τα ηλεκτρονικά συστήματα κλειδώματος.