In questi giorni gli esperti di F-Secure hanno dichiarato di essere in grado di violare le serrature elettroniche di migliaia di alberghi in tutto il mondo.
Dopo una ricerca durata quasi 15 anni, gli esperti di F-Secure hanno messo a punto un dispositivo che permette di accedere a qualunque stanza d’albergo che utilizzi il sistema di chiusura di Assa Abloy, produttore svedese leader del settore e noto per la qualità e la sicurezza delle sue soluzioni.
I tecnici di F-Secure hanno preferito, per ovvie ragioni, non scendere nei dettagli tecnici ma hanno comunque puntualizzato di aver concentrato i loro studi sul sistema Vision by Vingcard di Assa.
Prima di fare il punto sull’argomento abbiamo preferito attendere le prime dichiarazioni di Tomi Tuominen e Timo Tuominen, i ricercatori autori della scoperta.
Il lettore di smart card che è stato congegnato dal duo di F-Secure integra un radiotrasmettitore che consente di leggere il contenuto delle schede consegnate dalla direzione dell’albergo a ciascun cliente anche in modalità wireless. Se quindi un aggressore entrasse in ascensore con un cliente, questi potrebbe facilmente leggere – nel giro di qualche secondo – i dati contenuti nella sua scheda.
Portandosi dinanzi alle varie porte d’ingresso delle stanze, un aggressore può unire le informazioni raccolte dalla scheda del cliente con quelle restituite dal sistema di sblocco per individuare la master key che consentirà poi di aprire qualunque porta fungendo da passepartout.
Tuominen e Tuominen sono insomma riusciti a creare una chiave elettronica universale per aprire qualunque porta dell’hotel anche servendosi di schede non in uso o addirittura “scadute”.
Per sferrare l’attacco i ricercatori hanno utilizzato un Proxmark, dispositivo che si può facilmente acquistare online per poche centinaia di euro.
Una volta completato il loro studio, gli esperti di F-Secure hanno immediatamente contattato Assa Abloy che sta già distribuendo gli aggiornamenti ai suoi clienti.
Secondo F-Secure non v’è una minaccia imminente: l’attacco ha richiesto uno sforzo immane per la messa a punto di un exploit funzionante al 100% ed è quindi poco probabile che altri soggetti abbiano dedicato lo stesso impegno sul medesimo tema.
F-Secure consiglia comunque di non lasciare mai oggetti di valore o dispositivi contenenti dati personali in camera.
E, aggiungiamo noi, quando si portano dati importanti con sé è sempre fondamentale memorizzarli in forma crittografata: Backup dei dati su USB: come farlo in modo sicuro e portarli sempre con sé.
La società finlandese suggerisce inoltre di inserire la catena alla porta quando in camera, di usare sempre carte di credito anziché carte di debito e di accedere a Internet usando la WiFi dell’hotel solo previa connessione a una VPN (vedere Servizi VPN sicuri: come evitare che spifferino l’IP pubblico reale e Server VPN, come crearlo usando un NAS).