PC Revenge La tecnologia che non fa male
Cattive notizie: con poco più di 50 dollari e un po’ di programmazione, in teoria ogni hacker avrebbe accesso, instantaneo e non rintracciabile, a milioni di camere di hotel protette da tessere magnetiche.
Questo trucchetto è stato dimostrato da Cody Brocious, sviluppatore di software Mozilla, alla Black Hat Conference a Las Vegas. A rischio quattro milioni di camere d’albergo protette tramite tessere magnetiche Onity. Secondo Brocious, che taluni rimproverano per aver svelato il trucco a Onity prima ancora di renderlo pubblico, non c’è facile soluzione: non basta l’aggiornamento del firmware – se gli hotel vogliono garantire la sicurezza dovranno cambiare ogni singola serratura.
L’hack viene spiegato nel dettaglio sul sito di Brocious, ma vediamo in breve di cosa si tratta. Alla base di ogni serratura Onity c’è una piccola presa di corrente (come quella dei vecchi Nokia) che serve a ricaricare la batteria e a programmare la serratura con un codice (una chiave a 32 bit che identifica l’hotel). Inserendo un microcontrollore Arduino nella presa, si può leggere la chiave a 32 bit.
Naturalmente, inserendo il codice nella serratura, questa si apre. Secondo Brocious questa procedura non impiega più di 200 millisecondi. “Collego l’apparecchio, lo accendo e la serratura si apre” commenta Brocious. Questa tecnica non funziona con tutte le serrature, e lo sviluppatore non intende approfondire ulteriormente il suo progetto. Ma i suoi studi dimostrano che alle serrature Onity mancano i più elementari sistemi di sicurezza.
E questo comporta seri rischi. “Vista la semplicità con cui si può violare il sistema Onity, non mi stupirebbe che altre migliaia di persone abbiano già scoperto questa vulnerabilità e abbiano venduto la loro scoperta ad altri governi”, afferma Brocious in un’intervista. “Uno stagista della NASA ci riuscirebbe in cinque minuti”.
Se le agenzie di sicurezza hanno ora accesso a quattro milioni di camere d’albergo, allora l’unico modo di costringere Onity a revisionare le sue serrature è proprio rendere pubblico il fatto. Bisogna cercare altri sistemi per proteggere le camere dei nostri alberghi.
Come Onity giustifichi una simile mancanza nei sistemi di sicurezza, non si sa. Per quanto riguarda gli imprenditori, i sistemi di sicurezza possono sembrare una spesa inutile, almeno fin quando un hacker non riesce a violarli. Ma per una compagnia che aveva il compito di proteggere milioni di persone ogni notte, avremmo gradito che Onity avesse mostrato un po’ più di lungimiranza.
