Könnyűszerrel feltörhetők a mágneskártyával nyíló hotelszobaajtók?
2012. augusztus 01.
Képgaléria - ajtó
A legitim vendégek számára nem éppen kellemes lehetőséget - ti. hogy szinte bárki észrevétlenül beléphet bérelt szobájukba - az ilyen szállodákban leggyakrabban alkalmazott beléptetőrendszer egy súlyos tervezési hibája teszi lehetővé - írja Sting a PC Fórumon.
A sebezhetőséget felfedező - egyébként a Firefox-ot is fejlesztő Mozilla-nál dolgozó - programozó szerint a probléma által érintett Onity típusú beléptetőrendszerek világszerte mintegy 4-5 millió hotelszoba ajtaját hivatottak megvédeni, amely feladatuknak azonban a fejlemények tükrében aligha tudnak eleget tenni. Az illetéktelen behatolást azt teszi lehetővé, hogy a szóban forgó, kártyaolvasóval egybeépített zárszerkezeteken egy olyan, teljesen nyílt csatlakozó található, amin keresztül közvetlenül hozzá lehet férni az egység szinte minden adatához - közöttük ahhoz a kódhoz is, amely az ajtó nyitásához szükségeltetik.
A PC Fórum szerzője szerint bár a kód az eszköz memóriájában nem közvetlenül olvasható formában van jelen, azt mindössze egy a szakértő szerint "gyenge"-ként besorolt titkosítás (vélhetően XOR vagy hasonló bonyolultságú kódolás) védi csak. Így az egy mindössze párezer forintos, akár a tenyérben is elférő miniszámítógép segítségével pillanatok alatt kiolvasható a zárból, birtokában pedig aktiválható az ajtó nyitását lehetővé tevő mechanizmus is.
A Forbes magazin a módszert néhány New York-i hotelben már előzetesen tesztelő riportere szerint ugyan a támadókód neki ugyan csak minden harmadik ajtó nyitását tette lehetővé, azonban ez is elképesztő lehetőségeket csillant fel a szállodai tolvajok számára - és hasonlóan intenzív aggodalommal töltheti el a megszálló vendégeket.
Előbbiek ugyanis így egy párezer forintos szerkezet segítségével gyakorlatilag probléma nélkül juthatnak be a szállodai szobák jelentős részébe, ahonnan az ott tartózkodó vendégek értékeit könnyűszerrel lovasíthatják meg. Ehhez ráadásul még programozónak sem kell lenniük, hiszen a Mozilla-munkatárs által weboldalán most közzétett támadókód, valamint az annak futtatására képes Arduino számítógép összepárosítására akár közepesen komoly felhasználói ismeretek birtokában is bárki képes lehet.
A támadókód közzétételétől a felfedező azt reméli, hogy a szóban forgó, sebezhető ajtózárakat gyártó cég így lezárja majd a biztonsági réseket termékein. Az azonban továbbra is kérdéses, hogy ehhez mindenképpen szükséges -e a veszélyes kódok hozzáférhetővé tétele bárki számára, illetve, hogy minderre biztosan az üdülési szezon kellős közepén kell -e sort keríteni - vagy megoldható lett volna -e más időzítéssel is.
forrás: www.turizmusonline.hu
A sebezhetőséget felfedező - egyébként a Firefox-ot is fejlesztő Mozilla-nál dolgozó - programozó szerint a probléma által érintett Onity típusú beléptetőrendszerek világszerte mintegy 4-5 millió hotelszoba ajtaját hivatottak megvédeni, amely feladatuknak azonban a fejlemények tükrében aligha tudnak eleget tenni. Az illetéktelen behatolást azt teszi lehetővé, hogy a szóban forgó, kártyaolvasóval egybeépített zárszerkezeteken egy olyan, teljesen nyílt csatlakozó található, amin keresztül közvetlenül hozzá lehet férni az egység szinte minden adatához - közöttük ahhoz a kódhoz is, amely az ajtó nyitásához szükségeltetik.
A PC Fórum szerzője szerint bár a kód az eszköz memóriájában nem közvetlenül olvasható formában van jelen, azt mindössze egy a szakértő szerint "gyenge"-ként besorolt titkosítás (vélhetően XOR vagy hasonló bonyolultságú kódolás) védi csak. Így az egy mindössze párezer forintos, akár a tenyérben is elférő miniszámítógép segítségével pillanatok alatt kiolvasható a zárból, birtokában pedig aktiválható az ajtó nyitását lehetővé tevő mechanizmus is.
A Forbes magazin a módszert néhány New York-i hotelben már előzetesen tesztelő riportere szerint ugyan a támadókód neki ugyan csak minden harmadik ajtó nyitását tette lehetővé, azonban ez is elképesztő lehetőségeket csillant fel a szállodai tolvajok számára - és hasonlóan intenzív aggodalommal töltheti el a megszálló vendégeket.
Előbbiek ugyanis így egy párezer forintos szerkezet segítségével gyakorlatilag probléma nélkül juthatnak be a szállodai szobák jelentős részébe, ahonnan az ott tartózkodó vendégek értékeit könnyűszerrel lovasíthatják meg. Ehhez ráadásul még programozónak sem kell lenniük, hiszen a Mozilla-munkatárs által weboldalán most közzétett támadókód, valamint az annak futtatására képes Arduino számítógép összepárosítására akár közepesen komoly felhasználói ismeretek birtokában is bárki képes lehet.
A támadókód közzétételétől a felfedező azt reméli, hogy a szóban forgó, sebezhető ajtózárakat gyártó cég így lezárja majd a biztonsági réseket termékein. Az azonban továbbra is kérdéses, hogy ehhez mindenképpen szükséges -e a veszélyes kódok hozzáférhetővé tétele bárki számára, illetve, hogy minderre biztosan az üdülési szezon kellős közepén kell -e sort keríteni - vagy megoldható lett volna -e más időzítéssel is.
forrás: www.turizmusonline.hu
ünnepi ajánlatok
- Valutaváltó
- Üzemanyagárak
- Iránytű
- EURÓPA ÁZSIA AFRIKA ÉSZAK-AMERIKA DÉL-AMERIKA AUSZTRÁLIA ÉS ÓCEÁNIA ANTARKTISZ
- Hasznos információk
- Útiokmányok Pénzügyek Utazás előtt... Biztosítás Kommunikáció Utazás gépkocsival Utazás repülővel Utazás vonattal
- Utazók sarka
- Útitárs kereső Fórum Repülőjegy börze Útifotó 2000
magazin
NagyUtazás.hu
Több, mint 50 megbízható utazásszervező kínálata egy helyen.