Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Assa Abloy's elektroniska hotell-lås kan hackas! ("GHOST IN THE LOCKS")

Svara
2018-04-25, 20:29
  #1
hacke-hackspett
Medlem
https://www.bbc.com/news/technology-43896360

Citat:
Millions of electronic door locks fitted to hotel rooms worldwide have been found to be vulnerable to a hack.

Researchers say flaws they found in the equipment's software meant they could create "master keys" that opened the rooms without leaving an activity log.

Assa försöker sig på "damage control":
Citat:
But the Swedish manufacturer is playing down the risk to those hotels that have yet to install an update.

"Vision Software is a 20-year-old product, which has been compromised after 12 years and thousands of hours of intensive work by two employees at F-Secure," said a spokeswoman for the company, Assa Abloy.

Men F-Secure antyder att tjuvar redan känner till säkerhetsbristen:
Citat:
The F-Secure researchers said they began their inquiry after a colleague's laptop was stolen from a hotel room without the thief leaving behind any sign of unauthorised access.

"We wanted to find out if it's possible to bypass the electronic lock without leaving a trace," explained Timo Hirvonen, describing the Ghost In The Locks exploit.

"Only after we thoroughly understood how it was designed were we able to identify seemingly innocuous shortcomings [and] come up with a method for creating master keys."

Mer info från F-Secure: Frågeställningar:
  • Vem ska man tro på? (var F-Secure först eller har inbrottstjuvar kunnat hacka dessa lås i flera år?)
  • Gör Assa inga ordentliga säkerhetskontroller innan man släpper ut sina produkter på marknaden? (Blev väl en liten skandal för några år sen med deras Assa 2000 Evo)
  • Är de elektroniska "kassaskåpen" som finns inne i hotellrummen lika osäkra tror ni?
  • Nu börjar även elektroniska lås användas på ytterdörrar hos vanliga privatpersoner, hur säkra är dessa?
  • Hur säkra är "blipp-låsen" i våra hyreshus?
  • Hur säkra är dessa "smarta" larmsystem som privatpersoner installerar i sina hem och som kan kontrolleras med mobilen?
  • Man kanske ska byta karriär från hackare till inbrottstjuv?
__________________
Senast redigerad av hacke-hackspett 2018-04-25 kl. 20:53.
Citera
2018-04-25, 20:58
  #2
Trollfeeder
Medlem
Trollfeeders avatar
Citat:
[*]Gör Assa inga ordentliga säkerhetskontroller innan man släpper ut sina produkter på marknaden? (Blev väl en liten skandal för några år sen med deras Assa 2000 Evo)

Det gör dom garanterat. Det är i stort sett omöjligt att göra produkter som är omöjliga att hacka. Och "i stort sett" är det tveksamt om man behöver skriva ens.

Citat:
[*]Är de elektroniska "kassaskåpen" som finns inne i hotellrummen lika osäkra tror ni?

Lika vet jag inte, men det går nog att ta sig in i dom också om man vill det tillräckligt mycket, ja. Framför allt om det är Franz Jäger-skåp.

Citat:
[*]Nu börjar även elektroniska lås användas på ytterdörrar hos vanliga privatpersoner, hur säkra är dessa?

Det finns redan, och jag vet att ett av dom tidiga var löjligt lätt att hacka.

Citat:
[*]Hur säkra är "blipp-låsen" i våra hyreshus?

Dom som går på bricka? Så säkert som RFID blir.

Citat:
[*]Hur säkra är dessa "smarta" larmsystem som privatpersoner installerar i sina hem och som kan kontrolleras med mobilen?

Det var ett sådant jag syftade på i exemplet tidigare med ett lås som var löjligt lätt att hacka.

Citat:
[*]Man kanske ska byta karriär från hackare till inbrottstjuv?

Jag tror inte på att du är hacker.

Citat:
[*]Vem ska man tro på?

Ingen.
Citera
2018-04-26, 06:17
  #3
Skattebrott
Medlem
Skattebrotts avatar
Detta är ju trots allt inte värre än traditionella lås (som har nyckel istället för kort). Även för dessa går det att tillverka huvudnycklar som kan hamna i orätta händer, och någon logg finns ju inte överhuvudtaget.
Citera
2018-04-26, 06:23
  #4
Skattebrott
Medlem
Skattebrotts avatar
Citat:
[*]Är de elektroniska "kassaskåpen" som finns inne i hotellrummen lika osäkra tror ni?

Om du med "osäkert" menar att nån betrodd person ur personalen kan gå in i kassaskåpet utan att nån över denne märker det, så ja. Dock måste personalen passera hotellrummets lås innan
den kommer fram till kassaskåpet.
Förhoppningsvis litar hotellet dock på sin personal.

Citat:
[*]Nu börjar även elektroniska lås användas på ytterdörrar hos vanliga privatpersoner, hur säkra är dessa?

Tillräckligt säkra.

Citat:
[*]Hur säkra är "blipp-låsen" i våra hyreshus?

Tillräckligt säkra.

Citat:
[*]Hur säkra är dessa "smarta" larmsystem som privatpersoner installerar i sina hem och som kan kontrolleras med mobilen?

Minst lika säkra som traditionella lås, i normalfallet. Kanske kan nån bryta upp ett fönster, och kanske kan nån hacka en app (men snart släpps en patch). Same but different.

Citat:
[*]Man kanske ska byta karriär från hackare till inbrottstjuv?

Hacking har främst den fördelen att den är skalbar. Dvs hittar du ett säkerhetshål kan du attackera miljoner offer på ett bräde helt automatiskt. I övrigt skulle jag faktiskt säga att det är lättare att dyrka traditionella lås än att försöka hacka ett givet elektroniskt låssystem.
Citera
Svara

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback