Inbrekers gebruiken exploit voor openen elektronische hotelsloten
In de Amerikaanse staat Texas zijn er in hotels inbraken gepleegd via een methode die elektronische sloten in enkele seconden kan openen. De methodiek werd vijf maanden geleden deels openbaar gemaakt. Veel hotels zouden bezig zijn om sloten te vervangen.
In juli maakte beveiligingsonderzoeker Cody Brocious bekend dat elektronische hotelsloten van de firma Onity kwetsbaar zijn en binnen enkele seconden geopend kunnen worden. De sloten maken gebruik van een pasje met een magneetstrip. De benodigde sleutel om de deur te openen, de zogenaamde sitecode, is uit te lezen via de elektronica in het slot. Dat kan binnen enkele seconden en zou voor slechts 20 dollar aan hardware vereisen.
Forbes meldt dat in Texas in zeker vier hotels inbraken in hotelkamers zijn gepleegd waarbij de criminelen naar alle waarschijnlijkheid gebruik hebben gemaakt van de door Brocious geopenbaarde kwetsbaarheden in het Onity-systeem. Enkele maanden geleden slaagden andere beveiligingsonderzoekers er al in om de benodigde elektronica voor het kraken van de Onity-sloten in de behuizing van een pen te verwerken. Door deze hardware te gebruiken en een probe in een klein gaatje van het slot te laten glijden, zou de deur geopend kunnen worden. Inmiddels is een man gearresteerd die wordt verdacht van enkele inbraken.
Het Houston Hyatt, een van de getroffen hotels, heeft uit voorzorg de gaatjes in de sloten opgevuld met lijm. Daarnaast zou de firma Onity bezig zijn om de kwetsbare hotelsloten, waarvan er wereldwijd minimaal 4 miljoen zouden zijn geïnstalleerd, bij zijn klanten te vervangen door de elektronica te verwisselen of een nieuwe behuizing te plaatsen. Onity zou echter aan de eigenaren van de hotels een vergoeding vragen voor de vervangingswerkzaamheden aan de kwetsbare sloten.
Reacties (40)
Alle sloten die verkocht worden, digitaal of mechanisch, zijn te kraken.
Dacht jij dat als er bij jou wordt ingebroken door je 1 of 2 sterren slotje in een paar seconden te kraken dat je levernacier dan kosteloos de duurste en nieuwste slot gaat monteren of leveren ?
Denk eens na man, hotels kopen in per bulk bij de goedkoopste leverancier die een standaard hotelslot kan leveren, het hotel is zelf verantwoordelijk in de keuze of dit veilig is of niet.
Als je iets koopt moet het aan bepaalde voorwaarden voldoen. blijken deze sloten ondermaats veilig is het aan de leverancier dit op te lossen.
ik heb een hekel aan auto vergelijkingen maar goed, als je een auto koopt en die stopr na 100 km met rijden ga je ook terug naar de garage.
heb je een 2e hands auto voor 100 ¤ gekocht, is het eigen risico...
Er is dus een nuance, wat heeft de verkoper beloofd en laten betalen versus wat hebben de hotels daadwerkelijk gekregen.
In de us of a zou dit volgens mij in een rechtzaak een redelijke staart kunnen krijgen
Dit is natuurlijk te verwachten als je zo'n lek openbaart.
Ik vind dat ze het niet heel slecht doen hoor.Hmm, onity is wel lekker bezig.
... augustus, september, oktober ... en inmiddels in novemberIn juli maakte beveiligingsonderzoeker Cody Brocious bekend dat elektronische hotelsloten van de firma Onity kwetsbaar zijn
Dat vind ik een nette response tijd als je bedenkt dat het hier gaat om hardware + software combinatie en er ruim 4 miljoen zijn verkocht. Men heeft dit gewoon serieus opgepakt.zou Onity bezig zijn om de kwetsbare hotelsloten [..] bij zijn klanten te vervangen
Ok ze vragen een vergoeding. Dat vind ik niet onredelijk, tenzij die exorbitant hoog is. Als ze daar dikke winst op proberen te maken dan zou dat wel aso zijn idd, maar als dit gewoon tegen normale tarieven gebeurt dan vind ik er weinig tegenin te brengen. Je kunt moeilijk van ze verwachten dat ze even gratis 4 miljoen sloten gaan vervangen. Dan gaan ze failliet. Het is niet alsof ze onkraakbaarheidsgarantie bieden of zo toch?
onity verplicht niemand om ze te kopen en de exploit is pas lang na de productie ontwikkeld. Nergens staat dat ze onkraakbaar zijn en dus ook niet dat zij moeten instaan voor de gratis vervanging ervan.onity is wel lekker bezig. Eerst een relatief eenvoudig slot produceren die makkelijk te kraken blijkt en dan vergoedingen vragen voor de vervanging ervan
Jouw fietsslot is ook simpel te openen met wat doe het zelf materiaal, is de fabrikant ervan al langs geweest om het gratis te komen vervangen?
Dit type slot is al sinds 1954 bekend. Ondertussen zijn we wel een paar generaties verder, maar is er iemand überhaupt nog verbaasd dat er sloten zijn die ondertussen achterhaald zijn?
Zeker in de jaren 80 was het redelijk gebruikelijk om gebruik te maken 'security through obscurity'. Ondertussen is de electronica dusdanig geavanceerd aan het worden dat wat 10 jaar geleden nog voldoende veilig was ondertussen eenvoudig te kraken is. Als je bedenkt dat dit bedrijf 4 miljoen sloten heeft geïnstalleerd zal het ontwerp niet het meest recente zijn.
Echter kun je het ontwerp ook niet zomaar aanpassen, aangezien je dan alle bestaande klanten ook niet meer kunt bedienen.
Maar ook bijvoorbeeld de OV-chipkaart is nieuw gekocht, terwijl er al 2-3 generaties nieuwer op de plank lagen.... de leverancier is zeker niet altijd 'de schuldige'.
Dit is nu het nadeel van een monopolist die i.m.h.o te weinig aan R&D doet. Ik kan me niet voorstellen dat deze methode bij een grondige test niet naar voren zou komen.
Uiteraard moet je al hotelgast ook je eigen verantwoordelijkheid nemen. Je kunt je waardevolle spullen wel in die standaar flutkluis die ook binnen 30 sec te openen is, doen. Dat is tevens de eerste plek waar ze gaan zoeken.
Als ik in een hotel verblijf, wat ik regelmatig doe, laat ik de TV aanstaan met een volume net hard genoeg dat het buiten te horen is maar niet de andere gasten stoort. Verder laat ik het licht aan, en de ramen gesloten. MEt geluid uit de kamer ben je ineens een veel minder aantrekkelijk doelwit. Want tja, wat als....
...er iemand binnen is en ik de deur openmaak.
Volledig mee eens, dit doe ik (en waarschijnlijk veel andere tweakers) ook als we op vakantie gaan. Licht aanlaten zodat het lijkt alsof iemand thuis is.
Stel je loopt op de gang met een koffer en koevoet en rooft 4 kluisjes mee, die kun je later op je gemak openen.
Een inbreker heeft met 5 a 10 minuten contact tijd ook een 2* skgR slot open. Die R is overigens wel belangrijk in het logo.
Toevallig ben ik bezig met een mbv cursus en de docent wist nog niet dat er een kaart systeem was gekraakt. Nieuws zal zich vast wel sneller gaan verspreiden
Nou, blijkbaar is het te fixen door dat gaatje dicht te stoppen, dus dan is het wel degelijk de schuld van de fabrikant dat het slot kwetsbaar is. Het zal best dat het ook met dicht gaatje nog te kraken is, maar niet in een paar seconden.Natuurlijk niet, Sherlock...
Alle sloten die verkocht worden, digitaal of mechanisch, zijn te kraken.
Daarnaast hebben heel veel van die kluisjes inderdaad een master wachtwoord, en de meeste hotels veranderen deze niet eens van de fabrieksinstelling, die je dus ook gewoon op internet kan vinden.
Van een hotel dat niet in extreme low-budget klasse valt mag ik wel verwachten dat er een oplettende receptionist/beveiliger zit die de boel in de gaten houdt (dat mag je zelfs van een low-budget hotel verwachten), de meeste hotels hebben ook camera's hangen, en in chique hotels mag er nog wel meer aandacht aan worden besteed. Alles kan gekraakt worden, maar als je een bewaker hebt wordt het een stuk veiliger imo.
[Reactie gewijzigd door Thomasx4 op dinsdag 27 november 2012 23:30]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
