Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 40, views: 23.642 •

In de Amerikaanse staat Texas zijn er in hotels inbraken gepleegd via een methode die elektronische sloten in enkele seconden kan openen. De methodiek werd vijf maanden geleden deels openbaar gemaakt. Veel hotels zouden bezig zijn om sloten te vervangen.

SlotIn juli maakte beveiligingsonderzoeker Cody Brocious bekend dat elektronische hotelsloten van de firma Onity kwetsbaar zijn en binnen enkele seconden geopend kunnen worden. De sloten maken gebruik van een pasje met een magneetstrip. De benodigde sleutel om de deur te openen, de zogenaamde sitecode, is uit te lezen via de elektronica in het slot. Dat kan binnen enkele seconden en zou voor slechts 20 dollar aan hardware vereisen.

Forbes meldt dat in Texas in zeker vier hotels inbraken in hotelkamers zijn gepleegd waarbij de criminelen naar alle waarschijnlijkheid gebruik hebben gemaakt van de door Brocious geopenbaarde kwetsbaarheden in het Onity-systeem. Enkele maanden geleden slaagden andere beveiligingsonderzoekers er al in om de benodigde elektronica voor het kraken van de Onity-sloten in de behuizing van een pen te verwerken. Door deze hardware te gebruiken en een probe in een klein gaatje van het slot te laten glijden, zou de deur geopend kunnen worden. Inmiddels is een man gearresteerd die wordt verdacht van enkele inbraken.

Het Houston Hyatt, een van de getroffen hotels, heeft uit voorzorg de gaatjes in de sloten opgevuld met lijm. Daarnaast zou de firma Onity bezig zijn om de kwetsbare hotelsloten, waarvan er wereldwijd minimaal 4 miljoen zouden zijn geïnstalleerd, bij zijn klanten te vervangen door de elektronica te verwisselen of een nieuwe behuizing te plaatsen. Onity zou echter aan de eigenaren van de hotels een vergoeding vragen voor de vervangingswerkzaamheden aan de kwetsbare sloten.

Reacties (40)

Hmm, onity is wel lekker bezig. Eerst een relatief eenvoudig slot produceren die makkelijk te kraken blijkt en dan vergoedingen vragen voor de vervanging ervan. Is volgens mij niet helemaal de manier om dit te doen. Ik neem aan dat er meer fabrikanten zijn die niet kwetsbaar zijn?
Natuurlijk niet, Sherlock...

Alle sloten die verkocht worden, digitaal of mechanisch, zijn te kraken.
Dacht jij dat als er bij jou wordt ingebroken door je 1 of 2 sterren slotje in een paar seconden te kraken dat je levernacier dan kosteloos de duurste en nieuwste slot gaat monteren of leveren ?

Denk eens na man, hotels kopen in per bulk bij de goedkoopste leverancier die een standaard hotelslot kan leveren, het hotel is zelf verantwoordelijk in de keuze of dit veilig is of niet.
Het vervelende voor de gast is dat veel Hotels zeggen niet aansprakelijk te zijn voor waardevolle items die van de kamer verdwijnen. Gelukkig levert een aantal dan een kluisje op de kamer. Maar lang niet allemaal en ook past bij niet allemaal er een tablet/laptop in.
@breezers, imo heb je deels gelijk en deels ook niet.
Als je iets koopt moet het aan bepaalde voorwaarden voldoen. blijken deze sloten ondermaats veilig is het aan de leverancier dit op te lossen.

ik heb een hekel aan auto vergelijkingen maar goed, als je een auto koopt en die stopr na 100 km met rijden ga je ook terug naar de garage.
heb je een 2e hands auto voor 100 ¤ gekocht, is het eigen risico...
Er is dus een nuance, wat heeft de verkoper beloofd en laten betalen versus wat hebben de hotels daadwerkelijk gekregen.
In de us of a zou dit volgens mij in een rechtzaak een redelijke staart kunnen krijgen
Ach, het gemiddelde huisslot is ook te "kraken" met een klopsleutel.
Dit is natuurlijk te verwachten als je zo'n lek openbaart.
Hmm, onity is wel lekker bezig.
Ik vind dat ze het niet heel slecht doen hoor.
In juli maakte beveiligingsonderzoeker Cody Brocious bekend dat elektronische hotelsloten van de firma Onity kwetsbaar zijn
... augustus, september, oktober ... en inmiddels in november
zou Onity bezig zijn om de kwetsbare hotelsloten [..] bij zijn klanten te vervangen
Dat vind ik een nette response tijd als je bedenkt dat het hier gaat om hardware + software combinatie en er ruim 4 miljoen zijn verkocht. Men heeft dit gewoon serieus opgepakt.

Ok ze vragen een vergoeding. Dat vind ik niet onredelijk, tenzij die exorbitant hoog is. Als ze daar dikke winst op proberen te maken dan zou dat wel aso zijn idd, maar als dit gewoon tegen normale tarieven gebeurt dan vind ik er weinig tegenin te brengen. Je kunt moeilijk van ze verwachten dat ze even gratis 4 miljoen sloten gaan vervangen. Dan gaan ze failliet. Het is niet alsof ze onkraakbaarheidsgarantie bieden of zo toch?
onity is wel lekker bezig. Eerst een relatief eenvoudig slot produceren die makkelijk te kraken blijkt en dan vergoedingen vragen voor de vervanging ervan
onity verplicht niemand om ze te kopen en de exploit is pas lang na de productie ontwikkeld. Nergens staat dat ze onkraakbaar zijn en dus ook niet dat zij moeten instaan voor de gratis vervanging ervan.

Jouw fietsslot is ook simpel te openen met wat doe het zelf materiaal, is de fabrikant ervan al langs geweest om het gratis te komen vervangen?
Zo komen die gasten zichzelf wel tegen wanneer die hotels een nieuwe locatie openen en gewoon de sloten van de concurrent op de deuren zetten. Echt belachelijke service.
Heerlijk, al die 'stuurlui'.

Dit type slot is al sinds 1954 bekend. Ondertussen zijn we wel een paar generaties verder, maar is er iemand überhaupt nog verbaasd dat er sloten zijn die ondertussen achterhaald zijn?

Zeker in de jaren 80 was het redelijk gebruikelijk om gebruik te maken 'security through obscurity'. Ondertussen is de electronica dusdanig geavanceerd aan het worden dat wat 10 jaar geleden nog voldoende veilig was ondertussen eenvoudig te kraken is. Als je bedenkt dat dit bedrijf 4 miljoen sloten heeft geïnstalleerd zal het ontwerp niet het meest recente zijn.
Echter kun je het ontwerp ook niet zomaar aanpassen, aangezien je dan alle bestaande klanten ook niet meer kunt bedienen.

Maar ook bijvoorbeeld de OV-chipkaart is nieuw gekocht, terwijl er al 2-3 generaties nieuwer op de plank lagen.... de leverancier is zeker niet altijd 'de schuldige'.
Tja..... Dit was te verwachten. Nadat ik het bericht las in Juli ofzo, had ik verwacht dat dit bericht al veel eerder zou verschijnen.

Dit is nu het nadeel van een monopolist die i.m.h.o te weinig aan R&D doet. Ik kan me niet voorstellen dat deze methode bij een grondige test niet naar voren zou komen.

Uiteraard moet je al hotelgast ook je eigen verantwoordelijkheid nemen. Je kunt je waardevolle spullen wel in die standaar flutkluis die ook binnen 30 sec te openen is, doen. Dat is tevens de eerste plek waar ze gaan zoeken.

Als ik in een hotel verblijf, wat ik regelmatig doe, laat ik de TV aanstaan met een volume net hard genoeg dat het buiten te horen is maar niet de andere gasten stoort. Verder laat ik het licht aan, en de ramen gesloten. MEt geluid uit de kamer ben je ineens een veel minder aantrekkelijk doelwit. Want tja, wat als....
Verschil is dat fietssloten nog worden verkocht als je al weet dat ze open te breken zijn. Binnen ~10 seconden. Dat was niet te verwachten met deze hotelsloten.
Aan een kluisje op de kamer zou ik ook geen waardevolle items toe vertrouwen, als op YouTube filmpjes staan waarbij hotelpersoneel deze leeghalen met een master wachtwoord.
"Want tja, wat als...."

...er iemand binnen is en ik de deur openmaak.

Volledig mee eens, dit doe ik (en waarschijnlijk veel andere tweakers) ook als we op vakantie gaan. Licht aanlaten zodat het lijkt alsof iemand thuis is.
In het hotel waar ik verbleef in Barcelona gaat dat dus niet, daar gebruik je dezelfde pas om de deur te openen en de stroom aan te zetten in de kamer. Overigens wel een kluisje in de kast.
Zo'n schakelaar waar een pasje in gaat is gewoon een contact dat sluit als je er een willekeurig stuk plastic op credit-card formaat in steekt. Ik steek daar meestal een ander kaartje in.
Een klusje op een houten plantjes is alleen geschikt tegen de snelle grijp.
Stel je loopt op de gang met een koffer en koevoet en rooft 4 kluisjes mee, die kun je later op je gemak openen.
Een inbreker heeft met 5 a 10 minuten contact tijd ook een 2* skgR slot open. Die R is overigens wel belangrijk in het logo.


Toevallig ben ik bezig met een mbv cursus en de docent wist nog niet dat er een kaart systeem was gekraakt. Nieuws zal zich vast wel sneller gaan verspreiden
Ken je die sloten nog met 2 rijen mechanische drukknopjes? 0 t/m 9 en XYZ ofzoiets. Dat kon je ook nauwelijks sloten noemen (zelfs als je zou moeten bruteforcen was de verwachtte tijd ongeveer 45 minuten) en daar is toch nooit over geklaagd.
Natuurlijk niet, Sherlock...

Alle sloten die verkocht worden, digitaal of mechanisch, zijn te kraken.
Nou, blijkbaar is het te fixen door dat gaatje dicht te stoppen, dus dan is het wel degelijk de schuld van de fabrikant dat het slot kwetsbaar is. Het zal best dat het ook met dicht gaatje nog te kraken is, maar niet in een paar seconden.
Ik heb thuis zo'n soortgelijk kluisje staan als ze hebben in van die hotels, batterijen waren leeg, sleutels kwijt. Na een kwartier op internet rondgesnuffeld te hebben heb je een manier om zo'n ding binnen 30 seconden open te breken, zonder ook maar enig gereedschap te gebruiken, en zonder hem te slopen (hij kan gewoon weer dicht naderhand).

Daarnaast hebben heel veel van die kluisjes inderdaad een master wachtwoord, en de meeste hotels veranderen deze niet eens van de fabrieksinstelling, die je dus ook gewoon op internet kan vinden.

Van een hotel dat niet in extreme low-budget klasse valt mag ik wel verwachten dat er een oplettende receptionist/beveiliger zit die de boel in de gaten houdt (dat mag je zelfs van een low-budget hotel verwachten), de meeste hotels hebben ook camera's hangen, en in chique hotels mag er nog wel meer aandacht aan worden besteed. Alles kan gekraakt worden, maar als je een bewaker hebt wordt het een stuk veiliger imo.

[Reactie gewijzigd door Thomasx4 op 27 november 2012 23:30]

bonus-kaart doet 't prima ;)

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Websites en communities Smartphones Beheer en beveiliging Windows Sony Microsoft Games Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013