Tietoturva

Suomalaisille tutuista hotellihuoneiden sähkölukoista löytyi tietoturva-aukko – tavallisen kortin pystyi muuttamaan yleisavaimeksi

Julkaistu:

F-Securen tutkijat paljastivat haavoittuvuuden lukkojätin tuotteissa.
Miljoonissa hotellihuoneissa käytetyistä sähkölukoista on löydetty tietoturva-aukko, joka on mahdollistanut hotellin avainkortin muuttamisen yleisavaimeksi.

Haavoittuvia sähkölukkoja on myös useissa suomalaishotelleissa, kertovat tietoturvayhtiö F-Securen tietoturvatutkijat Tomi Tuominen ja Timo Hirvonen. He löysivät tietoturva-aukon tutkittuaan asiaa satunnaisesti 15 vuotta.

– Enemmän kuin kerran elämänsä aikana hotellissa majoittunut suomalainen on hyvin todennäköisesti ollut hotellissa, jossa tällainen kortti on ollut käytössä, Hirvonen sanoo.

Hyökkäyksen tekemiseen tarvitaan laite, jolla luetaan jonkun hotelliasukkaan kortti esimerkiksi taskujen läpi hississä. Sen jälkeen laite asetetaan hotellin sähkölukkoa vasten, jolloin siihen asennettu ohjelma etsii hotellin yleisavaimen.
Mainos (Teksti jatkuu alla)
Mainos päättyy

 

Tämä onnistuu alle minuutissa.

– Tämä onnistuu alle minuutissa. Sen jälkeen laitetta käytetään yleisavaimena tai sitten sillä voidaan kirjoittaa yleisavain vaikka viisi vuotta vanhalle hotellikortille.

Selvitys alkoi, kun Tuomisen ja Hirvosen ystävän tietokone varastettiin hotellihuoneesta vuonna 2003.

– Hotellihenkilökunta ei ottanut asiaa hirveän vakavasti. Meille sanottiin, että he olivat tutkineet hotellihuoneen lukon, eikä siitä löytynyt jälkiä luvattomasta avaustapahtumasta tai fyysisiä jälkiä, Tuominen sanoo.

Lukkoja valmistaa markkinajohtaja

Haavoittuvuus löydettiin Vision by Vingcard -sähkölukoista, joita valmistaa lukkojätti Assa Abloy Hospitality, joka on yksi kolmesta maailman johtavasta hotellialan toimijasta. Hospitalityn verkkosivuilla kerrotaan, että sen tuotteita on yli 42 000 rakennuksessa yli 160 maassa ja ne suojaavat päivittäin yli viittä miljoonaa hotellivierasta.

Hospitalityn johtajan Christophe Sut kertoo, että 3–6 prosenttia hotelleista käyttää lukkoja, joista tietoturva-aukko löydettiin. Vingcardeissa käytetään Visionin lisäksi Visionline-ohjelmistoa, joissa tietoturva-aukkoa ei ole.

– Olemme luopumassa Visionista, koska olemme lanseeranneet markkinoille uutta tekniikkaa neljä vuotta sitten. Vision oli iso tuote noin 20 vuotta sitten. Olemme kuitenkin korjanneet vian, ja korjattu versio on asiakkaiden saatavilla, Sut sanoo.

Korjaustyöt aloitettiin, kun Tuominen ja Hirvonen ilmoittivat löydöstään Hospitalitylle viime vuoden alussa. Tutkijat auttoivat Hospitalitya korjaamaan haavoittuvuuden, ja korjattu versio on ollut asiakkaiden saatavilla viime helmikuusta lähtien. Asentamista suositellaan, mutta se on hotellien vastuulla. Tuomisen ja Hirvosen mukaan Suomessa monet hotellit ovat ottaneet korjatun version nopeasti käyttöönsä.

”Olisi voinut löytää nopeamminkin”

Kukaan ei tiedä, onko Visionin tietoturva-aukkoa käytetty hotellihuoneisiin murtautumiseen. Sut suhtautuu asiaan epäillen.

– En usko, että kukaan käyttäisi tekniikkaa, jonka kehittämiseen menee yli kymmenen vuotta, eikä ole edes varmaa, pääseekö avaimella huoneisiin. Haavoittuvuuden löytämiseen meni kauan, mikä on hyvä asia, koska se antaa hotelleille aikaa paikata vikoja.

Tuominen ja Hirvonen myöntävät, että hotellihuoneeseen voi murtautua helpomminkin. He uskovat myös, että aukon olisi voinut löytää nopeammin.

– Eihän se tarkoita, että jos meillä kesti yli kymmenen vuotta, kestäisi muillakin. Se on kuitenkin vaikeaa ja vaatii aikaa. Jos olisi optimaalinen viiden hengen tiimi, jossa jokaisella olisi oma erikoisosaamisalueensa, olisi tämä tehtävissä kuukausissa, Tuominen sanoo.

Turvallisuusala muuttuu koko ajan

Sut painottaa, että he parantavat koko ajan tuotteidensa turvallisuutta.

– Kukaan ei olisi kyennyt hakkeroimaan tätä tuotetta, kun kehitimme sen 20 vuotta sitten, mutta nyt siihen kyetään. Turvallisuusala kuitenkin muuttuu koko ajan, ja päivitämme tuotteitamme jatkuvasti.

Tuominen ja Hirvonen uskovat, että Vision olisi voitu murtaa jo 20 vuotta sitten, mutta silloin se olisi tullut huomattavasti nykyistä kalliimmaksi. Hyökkäyksissä käytettävien laitteiden hinta on laskenut, ja kaikki voivat tilata niitä netistä. On eri asia, osataanko laitteisiin tehdä ohjelma, joka mahdollistaa hyökkäyksen.

– Olen seurannut haittaohjelmien kehittymistä. Järjestäytynyt rikollisuus on kohdannut ihmiset, joilla on kovat tekniset taidot. Jos näitä taitoja omaava ihminen asuu maassa, jossa on vaikeaa tehdä elantonsa laillisesti ja jokin rikollisjärjestö lyö taaloja tiskiin, niin kyllä se houkuttaa, Hirvonen sanoo.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt