Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 40, views: 23.657 •

In de Amerikaanse staat Texas zijn er in hotels inbraken gepleegd via een methode die elektronische sloten in enkele seconden kan openen. De methodiek werd vijf maanden geleden deels openbaar gemaakt. Veel hotels zouden bezig zijn om sloten te vervangen.

SlotIn juli maakte beveiligingsonderzoeker Cody Brocious bekend dat elektronische hotelsloten van de firma Onity kwetsbaar zijn en binnen enkele seconden geopend kunnen worden. De sloten maken gebruik van een pasje met een magneetstrip. De benodigde sleutel om de deur te openen, de zogenaamde sitecode, is uit te lezen via de elektronica in het slot. Dat kan binnen enkele seconden en zou voor slechts 20 dollar aan hardware vereisen.

Forbes meldt dat in Texas in zeker vier hotels inbraken in hotelkamers zijn gepleegd waarbij de criminelen naar alle waarschijnlijkheid gebruik hebben gemaakt van de door Brocious geopenbaarde kwetsbaarheden in het Onity-systeem. Enkele maanden geleden slaagden andere beveiligingsonderzoekers er al in om de benodigde elektronica voor het kraken van de Onity-sloten in de behuizing van een pen te verwerken. Door deze hardware te gebruiken en een probe in een klein gaatje van het slot te laten glijden, zou de deur geopend kunnen worden. Inmiddels is een man gearresteerd die wordt verdacht van enkele inbraken.

Het Houston Hyatt, een van de getroffen hotels, heeft uit voorzorg de gaatjes in de sloten opgevuld met lijm. Daarnaast zou de firma Onity bezig zijn om de kwetsbare hotelsloten, waarvan er wereldwijd minimaal 4 miljoen zouden zijn geïnstalleerd, bij zijn klanten te vervangen door de elektronica te verwisselen of een nieuwe behuizing te plaatsen. Onity zou echter aan de eigenaren van de hotels een vergoeding vragen voor de vervangingswerkzaamheden aan de kwetsbare sloten.

Reacties (40)

Hmm, onity is wel lekker bezig. Eerst een relatief eenvoudig slot produceren die makkelijk te kraken blijkt en dan vergoedingen vragen voor de vervanging ervan. Is volgens mij niet helemaal de manier om dit te doen. Ik neem aan dat er meer fabrikanten zijn die niet kwetsbaar zijn?
Het vervelende voor de gast is dat veel Hotels zeggen niet aansprakelijk te zijn voor waardevolle items die van de kamer verdwijnen. Gelukkig levert een aantal dan een kluisje op de kamer. Maar lang niet allemaal en ook past bij niet allemaal er een tablet/laptop in.
Aan een kluisje op de kamer zou ik ook geen waardevolle items toe vertrouwen, als op YouTube filmpjes staan waarbij hotelpersoneel deze leeghalen met een master wachtwoord.
Ik heb thuis zo'n soortgelijk kluisje staan als ze hebben in van die hotels, batterijen waren leeg, sleutels kwijt. Na een kwartier op internet rondgesnuffeld te hebben heb je een manier om zo'n ding binnen 30 seconden open te breken, zonder ook maar enig gereedschap te gebruiken, en zonder hem te slopen (hij kan gewoon weer dicht naderhand).

Daarnaast hebben heel veel van die kluisjes inderdaad een master wachtwoord, en de meeste hotels veranderen deze niet eens van de fabrieksinstelling, die je dus ook gewoon op internet kan vinden.

Van een hotel dat niet in extreme low-budget klasse valt mag ik wel verwachten dat er een oplettende receptionist/beveiliger zit die de boel in de gaten houdt (dat mag je zelfs van een low-budget hotel verwachten), de meeste hotels hebben ook camera's hangen, en in chique hotels mag er nog wel meer aandacht aan worden besteed. Alles kan gekraakt worden, maar als je een bewaker hebt wordt het een stuk veiliger imo.

[Reactie gewijzigd door Thomasx4 op 27 november 2012 23:30]

@breezers, imo heb je deels gelijk en deels ook niet.
Als je iets koopt moet het aan bepaalde voorwaarden voldoen. blijken deze sloten ondermaats veilig is het aan de leverancier dit op te lossen.

ik heb een hekel aan auto vergelijkingen maar goed, als je een auto koopt en die stopr na 100 km met rijden ga je ook terug naar de garage.
heb je een 2e hands auto voor 100 ¤ gekocht, is het eigen risico...
Er is dus een nuance, wat heeft de verkoper beloofd en laten betalen versus wat hebben de hotels daadwerkelijk gekregen.
In de us of a zou dit volgens mij in een rechtzaak een redelijke staart kunnen krijgen
Heerlijk, al die 'stuurlui'.

Dit type slot is al sinds 1954 bekend. Ondertussen zijn we wel een paar generaties verder, maar is er iemand überhaupt nog verbaasd dat er sloten zijn die ondertussen achterhaald zijn?

Zeker in de jaren 80 was het redelijk gebruikelijk om gebruik te maken 'security through obscurity'. Ondertussen is de electronica dusdanig geavanceerd aan het worden dat wat 10 jaar geleden nog voldoende veilig was ondertussen eenvoudig te kraken is. Als je bedenkt dat dit bedrijf 4 miljoen sloten heeft geïnstalleerd zal het ontwerp niet het meest recente zijn.
Echter kun je het ontwerp ook niet zomaar aanpassen, aangezien je dan alle bestaande klanten ook niet meer kunt bedienen.

Maar ook bijvoorbeeld de OV-chipkaart is nieuw gekocht, terwijl er al 2-3 generaties nieuwer op de plank lagen.... de leverancier is zeker niet altijd 'de schuldige'.
Waarschijnlijk niet hoor.
Ze hebben daar ook gewoon systemen om inbraakwerendheid te beoordelen.
Dus ga er maar rustig van uit, dat de sloten aan al de eisen voldoen, die er aan gesteld worden, door de beoordelingsmethodes.
Dus leverancier voldoet gewoon aan wat hij heeft beloofd, dat kopers niet de moeite nemen om enig onderzoek te doen, wat iets inhoud, tja, das hun eigen keuze.

Als inbrekers een nieuwe manier vinden om een constructie open te maken, waar de beoordelingsmethoden geen rekening mee houden, tja das dan jammer voor de klanten, maar dat betekent echt niet, dat de leverancier in de problemen er door komt.
Die heeft gewoon een slot geleverd, dat aan norm A, B en/of C voldoet en dat nog steeds aan die normen voldoet, totdat de beoordelingsmethodes de nieuwe inbraakmethode ook in pakketje van eisen gooit.
Natuurlijk niet, Sherlock...

Alle sloten die verkocht worden, digitaal of mechanisch, zijn te kraken.
Nou, blijkbaar is het te fixen door dat gaatje dicht te stoppen, dus dan is het wel degelijk de schuld van de fabrikant dat het slot kwetsbaar is. Het zal best dat het ook met dicht gaatje nog te kraken is, maar niet in een paar seconden.
Hmm, onity is wel lekker bezig.
Ik vind dat ze het niet heel slecht doen hoor.
In juli maakte beveiligingsonderzoeker Cody Brocious bekend dat elektronische hotelsloten van de firma Onity kwetsbaar zijn
... augustus, september, oktober ... en inmiddels in november
zou Onity bezig zijn om de kwetsbare hotelsloten [..] bij zijn klanten te vervangen
Dat vind ik een nette response tijd als je bedenkt dat het hier gaat om hardware + software combinatie en er ruim 4 miljoen zijn verkocht. Men heeft dit gewoon serieus opgepakt.

Ok ze vragen een vergoeding. Dat vind ik niet onredelijk, tenzij die exorbitant hoog is. Als ze daar dikke winst op proberen te maken dan zou dat wel aso zijn idd, maar als dit gewoon tegen normale tarieven gebeurt dan vind ik er weinig tegenin te brengen. Je kunt moeilijk van ze verwachten dat ze even gratis 4 miljoen sloten gaan vervangen. Dan gaan ze failliet. Het is niet alsof ze onkraakbaarheidsgarantie bieden of zo toch?
onity is wel lekker bezig. Eerst een relatief eenvoudig slot produceren die makkelijk te kraken blijkt en dan vergoedingen vragen voor de vervanging ervan
onity verplicht niemand om ze te kopen en de exploit is pas lang na de productie ontwikkeld. Nergens staat dat ze onkraakbaar zijn en dus ook niet dat zij moeten instaan voor de gratis vervanging ervan.

Jouw fietsslot is ook simpel te openen met wat doe het zelf materiaal, is de fabrikant ervan al langs geweest om het gratis te komen vervangen?
Ach, het gemiddelde huisslot is ook te "kraken" met een klopsleutel.
Dit is natuurlijk te verwachten als je zo'n lek openbaart.
"Want tja, wat als...."

...er iemand binnen is en ik de deur openmaak.

Volledig mee eens, dit doe ik (en waarschijnlijk veel andere tweakers) ook als we op vakantie gaan. Licht aanlaten zodat het lijkt alsof iemand thuis is.
In het hotel waar ik verbleef in Barcelona gaat dat dus niet, daar gebruik je dezelfde pas om de deur te openen en de stroom aan te zetten in de kamer. Overigens wel een kluisje in de kast.
Zo'n schakelaar waar een pasje in gaat is gewoon een contact dat sluit als je er een willekeurig stuk plastic op credit-card formaat in steekt. Ik steek daar meestal een ander kaartje in.
Meestal klopt de inbreker als ie de tv hoort even op de deur en roept 'roomservice!'. Komt er niemand naar de deur kan deze gerust gekraakt worden. Ja tweakers inbrekerts zijn niet gek en laten zich niet zo gemakkelijk voor de gek houden. TV en licht aanlaten creert alleen bij jezelf een gevoel van schijnveiligheid... 8)7
Inderdaad. Je hebt het hier over proffesionele inbrekers. Mensen die langdurig onderzoek doen naar een beveiliging, waarschijnlijk jaren ervaring en sociaal erg handig zijn en allerlei truukjes hebben om iemand om de tuin te leiden. Deze mensen weten precies welke hotelkamers ze moeten hebben. En houden mensen denk ik ook in de gaten, die ze op het oog hebben.

Ik denk niet dat deze mensen random door de hotels zwerven en willekeurig kamers gaan proberen, aangezien ze een redelijke kans willen hebben op een waardige buit en risico's willen minimaliseren.
In een hotel lijkt me dat niet betrouwbaar. Sleutels kunnen makkelijk bijgemaakt worden. Het voordeel van zo'n kaart is dat je het makkelijk kunt resetten voor een volgende gast.
Had laatst ook een kamer met inderdaad zo'n gaatje aan de onderkant. Liet toen een collega even zo'n filmpje zien over hoe snel hackers/inbrekers zijn kamer open konden maken. Toen werd hij wel even stil.

Hieruit blijkt meteen maar weer hoe duur fouten kunnen zijn als ze pas in productie worden ontdekt. Kom je dit in het development stadium tegen is het een kwestie van duizenden euro's om het op te lossen maar nu gaat het in de miljoenen lopen.

Die quick fix van het Hyatt is op zich wel slim alleen is die poort in eerste instantie bedoeld als service poort. Dus als je nu echt een storing hebt en je kamer niet meer in kunt, zullen ze eerst het gaatje weer open moeten boren. Nog niet zo heel erg vergeleken met een leeggeroofde hotelkamer natuurlijk.
Dit alles toont maar weer eens aan hoe belangrijk een reisverzekering is. Je spullen zijn nooit 100% veilig.
Onity zou echter aan de eigenaren van de hotels een vergoeding vragen voor de vervangingswerkzaamheden aan de kwetsbare sloten.
Is dat niet een beetje de omgekeerde wereld? Naar mijn idee is de fabrikant (Onity dus) verantwoordelijk voor het leveren van deugdelijke sloten, het minste wat ze kunnen doen is deze sloten kosteloos vervangen (als ze tenminste willen voorkomen dat alle getroffen hotels overstappen op een ander merk).
Bij mijn vorig werk deden ze dat ook. Klant kreeg x aantal maanden de tijd om software te testen. Alle bugs in onze programmatie die nadien pas ontdekt werden, werden enkel betalend opgelost.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Processors Sony Microsoft Games Apple Politiek en recht Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013