Hackerlar 3 milyon otel anahtar kartı kilidini açmanın yolunu buldu

 (wired.com)
1 puan yazan GN⁺ 2024-03-23 | 1 yorum | WhatsApp'ta paylaş

Hackerlar, milyonlarca otel anahtar kartı kilidini saniyeler içinde açmanın bir yolunu buldu

  • Hackerlar, Saflok markalı otel anahtar kartı kilitlerini saniyeler içinde açmayı mümkün kılan bir zafiyet keşfetti.
  • Bu zafiyet dünya genelinde otellerdeki 3 milyon kapıyı etkileyebilir ve kilitlerin üreticisi olan İsviçreli şirket Dormakaba bir düzeltme süreci sunuyor.
  • Düzeltme çalışmaları birkaç aydan birkaç yıla kadar sürebilir; bazı oteller için bu süre daha da uzun olabilir.

Unsaflok tekniği açıklandı

  • Araştırmacılar, Unsaflok adlı bir teknikle Dormakaba'nın Saflok markalı RFID tabanlı anahtar kartı kilitlerinin kolayca açılabildiğini ortaya koydu.
  • Bu teknik, Dormakaba'nın şifrelemesindeki ve kullanılan RFID sistemi olan MIFARE Classic'teki zafiyetlerden yararlanıyor.
  • Hackerlar, otelden elde ettikleri herhangi bir anahtar kartı kullanarak belirli bir kodu okuyabiliyor ve 300 dolarlık bir RFID okuma/yazma cihazıyla kendi iki anahtar kartlarını yazarak kilidi açabiliyor.

Dormakaba'nın yanıtı

  • Dormakaba, araştırmacılardan teknik ayrıntıları Kasım 2022'de aldı ve zafiyetten etkilendiğini bildirdiği otellerin düzeltme yapmasına yardımcı oluyor.
  • Son 8 yılda satılan Saflok sistemlerinde, tek tek kilitlerin değiştirilmesi gerekmiyor; ön büro yönetim sisteminin güncellenmesi veya değiştirilmesi ve ardından bir teknisyenin her kapıyı yeniden programlaması yeterli oluyor.
  • Ancak şu ana kadar Saflok sistemlerinin yalnızca %36'sı güncellendi ve tam düzeltmenin tamamlanması için birkaç ay daha gerekebileceği tahmin ediliyor.

Zafiyetin ayrıntıları

  • Araştırmacılar, Dormakaba anahtar kartlarına yazılabilen iki zafiyet buldu: biri anahtar karta veri yazılmasını sağlıyor, diğeri ise Saflok kilitlerini açmak için hangi verinin yazılması gerektiğini gösteriyor.
  • Araştırmacılar, Dormakaba'nın ön büro yazılımını tersine mühendislikle inceleyerek kartta saklanan tüm verileri anladı; otelin tesis kodunu ve her odanın kodunu çıkararak kendi değerlerini üretip bunları Dormakaba sistemi gibi şifreleyebildi.

Otel misafirleri ne yapmalı?

  • Otel misafirleri savunmasız kilitleri tespit edebilir ve anahtar kartlarını NFC Taginfo uygulamasıyla kontrol ederek kilidin güncellenip güncellenmediğini anlayabilir.
  • Eğer kilit hâlâ savunmasızsa, odada değerli eşya bırakmamak ve odanın içindeyken kapının zincirini takmak öneriliyor.

GN⁺ görüşü

  • Bu haber, otel misafirleri ve otel sektörü için önemli bir güvenlik sorununa işaret ediyor. Otel misafirlerinin, kaldıkları odanın kilidinin güvenli olup olmadığına daha fazla dikkat etmesi gerekiyor.
  • Zafiyetin ortaya çıkmış olması, otel sektörünü mevcut güvenlik sistemlerini yeniden gözden geçirmeye ve gerekirse yükseltmeye çağırıyor.
  • Bu tür zafiyetler, yalnızca fiziksel güvenliğin değil siber güvenliğin önemini de vurguluyor. Otellerin IT altyapılarını güçlendirmesi ve düzenli güvenlik denetimleri yapması gerekiyor.
  • Benzer işlevler sunan diğer güvenlik ürünleri veya projeleri arasında Onity'nin kilit sistemi bulunuyor; ancak bunun da geçmişte zafiyetler nedeniyle sorun yaşadığı örnekler var.
  • Yeni teknoloji veya güvenlik sistemleri devreye alınırken bu tür zafiyetlerin akılda tutulması ve sistem güvenliğinin sürekli güçlendirilmesi önemli.

İlgili okumalar

1 yorum

 
GN⁺ 2024-03-23
Hacker News görüşleri

  • Çeşitli kimlik standartlarını destekleyen erişim kontrolü ve iletişim sistemleri geliştiren bir şirkette çalışan birinin görüşü:

    • Müşterilerin çoğu, ucuz ve işletmesi kolay olduğu için en güvensiz tanımlayıcıları kullanmaya devam ediyor.
    • Kurulu cihazlar gerektiği gibi bakım görmüyor, çünkü bakım maliyetli.
    • Tüm ekipmanlar ağ üzerinden uzaktan güncellenebilir değil.
    • Kart şifreli olsa bile, çoğu durumda denetleyiciye Wiegand protokolü üzerinden bağlı oluyor ve bu da veri şifrelemesi sağlamıyor.

  • Bir binada yaşayan birinin deneyimi:

    • RFID anahtar kullanan Scantron kapı kilitleri kuruluydu, ancak MiFare Classic'in zayıf şifrelemesi nedeniyle bir ana anahtar oluşturmak mümkün oldu.
    • Sorunu anlatabilmek için muhabirle çok sayıda e-posta ve telefon görüşmesi gerekti; sonuçta kilitler daha iyi bir şifreleme şemasına yükseltildi ve anahtarlar yeniden verildi.

  • Araştırmaya katılan birinin görüşü:

    • Araştırmayla ilgili soruları yanıtlamaya hazır.
    • Araştırma sonuçları unsaflok.com adresinde görülebilir.

  • Otellerde ortaya çıkabilecek ciddi zafiyetle ilgili görüş:

    • Yalnızca bir anahtar kart okunursa, o tesisteki tüm kapılara yönelik saldırı gerçekleştirilebilir.

  • Dormakaba'nın yanıtına dair görüş:

    • Dormakaba'nın bu sorunu en yüksek öncelik olarak görüp görmediği ya da kurulu Saflok'ların üçte ikisinin neden ücretsiz düzeltmeyi zamanında almadığı sorgulanıyor.
    • Dormakaba'nın hem müşteriler hem de iş ortakları için güvenliği çok ciddiye aldığı ve bu sorunu sorumlu bir şekilde ele alacağına güveniliyor.

  • Otel kart anahtarlarının nasıl çalıştığına dair yanlış anlama:

    • Otelde check-in yapılırken rastgele seçilen bir kartın odayla eşleştirilip verildiği sanılıyordu, ancak gerçekte süreç, karta şifreleme uygulamaktan ya da bilgi yazmaktan daha karmaşık işlemler gerektiriyor.

  • Otelde güvende kalmak için kişisel önlem:

    • Otel kapıları dışarıdan açılabilecek şekilde tasarlandığından, kapıyı sabitleyen bir door jammer kullanılıyor.

  • Fiziksel güvenliğin önemi:

    • İçeriden kapıyı kilitlemeye yarayan bir kayış satın alınması tavsiye ediliyor.

  • RFID ve NFC algısı:

    • RFID ve NFC, manyetik şeritlerin ve barkodların yeni bir biçimi; insanlar bu teknolojilerin görünmez olduğu için güvenli olduğunu düşünüyor, ancak gerçekte bunlar yalnızca makinelerin okuyabildiği sayılardan ibaret.