Quando si dice il passepartout. Ci hanno pensato i ricercatori di
F-Secure a scoprire che gli hotel, soprattutto quelli delle grandi catene mondiali, utilizzano un
sistema elettronico di chiusura che potrebbe essere sfruttato per ottenere accesso a qualsiasi stanza.
La falla di progettazione scoperta nel software del sistema di chiusura noto come
Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto
il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con un security fix per ovviare al problema.
L’attacco simulato dai ricercatori, che può essere sferrato senza essere notati, si è basato sull’utilizzo di una qualunque chiave elettronica di un hotel, anche di una scaduta o scartata:
usando le informazioni presenti sulla chiave, i ricercatori sono riusciti a creare una chiave master con privilegi per aprire qualsiasi stanza.
Curiosa la ragione della ricerca: l’interesse dei ricercatori di F-Secure è infatti nato quando a un loro collega è stato rubato il notebook
nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando è stato denunciato il furto, lo staff dell’hotel non ha preso in considerazione la segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Con un’analisi approfondita della progettazione dell’intero sistema, che ha richiesto diverse migliaia di ore, sono state
identificate piccole falle che, una volta combinate, hanno prodotto l’attacco. F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura per implementare i fix al software.
Naturalmente, dichiara F-Secure,
nessuna camera d’albergo è stata violata durante questa ricerca, sottolineando che
gli strumenti non saranno resi disponibili.