Beveiligingsbedrijf vindt methode om masterkey voor hotelsloten te achterhalen

Beveiligingsbedrijf F-Secure heeft een manier gevonden om hotelsloten van VingCard Vision te openen. De onderzoekers hebben jaren aan de exploit gewerkt. Ze maken geen details bekend om inbraken te voorkomen.

Moederbedrijf Assa Abloy heeft een patch uitgebracht voor VingCard Vision die hotels moeten implementeren om zich te beveiligen tegen de aanval, zegt F-Secure. Hotels met het nieuwere Visionline-systeem zijn niet kwetsbaar, meldt Wired. Het is onbekend hoeveel hotels nu kwetsbaar zijn. Het zou minimaal gaan om 500.000 hotelsloten, maar het aantal kan ook in de miljoenen lopen. Het sleutelsysteem is wereldwijd in gebruik.

De aanval werkt met een Proxmark en door F-Secure gemaakte software. Met reverse engineering hebben de onderzoekers een methode gevonden om het aantal mogelijke masterkeys te beperken als zij de beschikking hebben over een pasje dat ooit in gebruik is geweest bij een hotel. Vervolgens kan de Proxmark bij een deur met slot in het hotel pogingen doen om de masterkey te proberen. Dat lukt veelal binnen twintig pogingen.

Daarnaast bleek het mogelijk om met een bug in de software voor Vision-sloten de database met huidige gasten uit te lezen. Ook bleek het mogelijk om gasten toe te voegen, data te bewerken en data te verwijderen.

F-Secure is sinds 2003 bezig geweest met het vinden van de exploit, nadat een laptop van een medewerker op mysterieuze wijze verdween uit een hotelkamer. Het beveiligingsbedrijf heeft Assa Abloy een jaar geleden op de hoogte gesteld van het lek.

IT-banen

Reacties (46)

jpsch 25 april 2018 17:58

Verwijderd @jpsch • 25 april 2018 18:00

Uiteindelijk zal die interfacen met een database, en als alles zo brak is opgezet... Ik geloof het wel.

Stoelpoot @Verwijderd • 26 april 2018 11:41

Nou ja, brak... meer dan 10 jaar aan een hack besteden vind ik niet brak klinken.

Verwijderd @Stoelpoot • 26 april 2018 11:58

Als side-project. En stel fulltime doet een kwaadwillend persoon of team er 2 jaar over, en vervolgens kunnen ze een paar hotels voor losgeld op hun knieën krijgen, of leegroven, dan is het het wel waard geweest.

Fox @Verwijderd • 25 april 2018 21:29

Erg slechte security policy als een extern device zoals een slot read access kan krijgen tot de database. Om dit soort dingen te voorkomen zijn juist interfaces ontwikkeld, zodat alle mogelijke input en output altijd bekend is. Met goede security policy zou het slot enkel de sleutel moeten kunnen sturen naar een extern system, die de read access afhandeld van de database en enkel ( een gecodeerde vorm van ) TRUE / FALSE returned om data lekken te voorkomen.

[Reactie gewijzigd door Fox op 24 juli 2024 11:18]

grafgever @Fox • 25 april 2018 21:34

Niet alleen read-access ook write access to database als ik lees dat ze ook gasten toe konden voegen

Verwijderd @grafgever • 26 april 2018 03:03

Het is zo goedkoop mogelijk in elkaar gedrukt en toegepast als kant en klaar pakket voor vele hotels wereldwijd.

Verwijderd @Fox • 25 april 2018 21:53

Ja... maar kijk naar IoT. Alles snel en goedkoop, vervolgens lek als een mandje. Zou me niks verbazen als die cardreaders gewoon een SSH/SQL-verbinding maken naar een server, en allemaal als een account met volle rechten (toch makkelijk, gewoon met root laten inloggen, hoeven we ook geen permissions te troubleshooten of ACLs te maken) data opvragen.

Kadardar @jpsch • 25 april 2018 18:05

Er zou uiteindelijk een database aanhangen. Zo lang je een database kan laten geloven dat jij gerechtigde bent die gegevens op mag vragen kan het in feite zelfs via een goudvis met WiFi. Dus zo raar is zou het niet zijn.

[Reactie gewijzigd door Kadardar op 22 juli 2024 23:18]

jpsch @Kadardar • 25 april 2018 18:18

Gaat niet om opvragen, maar om schrijfrechten.

Kadardar @jpsch • 25 april 2018 19:03

Zelfde verhaal. Er hangen vaak meerdere accounts aan zo database. Zolang jij de database laat geloven dat jij dat account bent waar schrijfrechten aanhangen kun je in feite doen wat je wilt.

Denk hierbij aan de balie medewerker om de klant te registreren of om aan te geven dat de klant is in gechecked. Op dat moment doe je al een schrijf actie in de database.

R4gnax @Kadardar • 25 april 2018 19:59

Zelfde verhaal. Er hangen vaak meerdere accounts aan zo database. Zolang jij de database laat geloven dat jij dat account bent waar schrijfrechten aanhangen kun je in feite doen wat je wilt.

Denk hierbij aan de balie medewerker om de klant te registreren of om aan te geven dat de klant is in gechecked. Op dat moment doe je al een schrijf actie in de database.

Hoeft niet eens een andere account te zijn. Wie zegt dat die sloten niet bijhouden wanneer jij op je kamer bent of je kamer weer verlaat?

[Reactie gewijzigd door R4gnax op 24 juli 2024 11:18]

Kadardar @R4gnax • 25 april 2018 22:51

Ja das ook nog een goeie, had ik niet eens aan gedacht

In feite moet die al ergens een 1 of 0 of iets als open/closed schrijven om de deur daadwerkelijk te vergrendelen

Tokkes @R4gnax • 26 april 2018 03:20

treinkaartje in het cardslot doen om de elektriciteit aan te zetten

jongetje

@R4gnax • 26 april 2018 08:14

Je gebruikt het slot alleen als je naar binnenkomt, eruit kan gewoon met de deurklink dus dat is wel lastig.

R4gnax @jongetje • 26 april 2018 19:18

Je gebruikt het slot alleen als je naar binnenkomt, eruit kan gewoon met de deurklink dus dat is wel lastig.

In praktisch alle kamers is het nodig om je card in een speciale gleuf te zetten om stroom te krijgen voor o.a. de lampen.

Kaart er in -> aanwezig
Kaart er uit -> afwezig

Als dat op hetzelfde systeem zit als het slot zelf, dan maken ze 99% zeker ook gebruik van dezelfde inlog account. Je kunt er donder op zeggen dat het 'teveel moeite' is om dan het slot te scheiden.

[Reactie gewijzigd door R4gnax op 24 juli 2024 11:18]

jongetje

@R4gnax • 26 april 2018 21:55

Nee joh. Dat ding voor de elektra in de kamer is gewoon een schakelaar die in de gleuf zit. Als je er een airmilespas of ander pasje in doet werkt het ook.

R4gnax @jongetje • 26 april 2018 22:00

Nee joh. Dat ding voor de elektra in de kamer is gewoon een schakelaar die in de gleuf zit. Als je er een airmilespas of ander pasje in doet werkt het ook.

Ik kan me gerust indenken dat het niet bij alle systemen een 'domme schakelaar' zal zijn. Heb bijv. al eens op hotel gezeten waar alle lampen 's avonds automatisch aangingen bij het in de gleuf steken van die kaart, maar overdag niet. Als het een simpele stroomonderbreker is of hotelschakelaar is, dan werkt dat toch echt niet.

Helaas destijds niet gechecked of een ander pasje / kaartje ook had gewerkt en het enkel wat smart elektronica achter een schakelaar betrof of de kaart ook echt ergens voor gecontroleerd werd. Jammer eigenlijk. Nu vraag ik het me af.

[Reactie gewijzigd door R4gnax op 24 juli 2024 11:18]

Tokkes @R4gnax • 28 april 2018 01:54

Heb bijv. al eens op hotel gezeten waar alle lampen 's avonds automatisch aangingen bij het in de gleuf steken van die kaart, maar overdag niet. Als het een simpele stroomonderbreker is of hotelschakelaar is, dan werkt dat toch echt niet.

En...dus? simpele AND-operatie.
kaartgleuf = schakelaar -----> Timer ingesteld op ('s avonds=aan,overdag=uit) -----> lamp.

Enkel als kaartgleufschakelaar EN timer beiden 'aan' zijn gaan de lichten aan. Je hoeft het niet ver te zoeken. Zo'n systeem moet in honderden, dan wel duizenden kamers werken en gemakkelijk te onderhouden/repareren zijn. Je kan alles blijven simplifyen tot je op transistor-niveau zit, wat niet meer is dan schakelaartjes omzetten.

[Reactie gewijzigd door Tokkes op 24 juli 2024 11:18]

mvnieuw @jongetje • 4 mei 2018 14:47

Nee joh. Dat ding voor de elektra in de kamer is gewoon een schakelaar die in de gleuf zit. Als je er een airmilespas of ander pasje in doet werkt het ook.

Meestal wel, maar ik heb één keer meegemaakt dat de smartcard er toch echt in moest om stroom te krijgen. Was er eentje met fysieke contactpunten.

[Reactie gewijzigd door mvnieuw op 24 juli 2024 11:18]

J0HAN @jpsch • 25 april 2018 21:06

Ja hoor, dat kan prima, ook als het geen online slot is.
De data van de sloten wordt via de passen bijgewerkt, dus nieuwe data toevoegen kan prima direct op het slot.

DnJealt 25 april 2018 17:48

F-Secure is sinds 2003 bezig geweest met het vinden van de exploit, nadat een laptop van een medewerker op mysterieuze wijze verdween uit een hotelkamer.

Interessante aanleiding voor een onderzoek! Wordt hiermee nu gesuggereerd dat iemand al die jaren al van de exploit af wist en gewoon zijn gang kon gaan? Het zou immers ook de schoonmaakster of andere werknemer geweest kunnen zijn..

Craimasjien @DnJealt • 25 april 2018 17:50

Wat ik interessanter vind is dat er al 15 jaar actief onderzoek verricht is. Gesproken over toewijding.

DnJealt @Craimasjien • 25 april 2018 17:53

Ze zijn hier natuurlijk niet 40 uur per week mee bezig geweest.

Vanuit de bron:

Finally, after years of on-and-off research as a side project, they’ve figured out how to do exactly that.

LOTG @DnJealt • 25 april 2018 17:57

Dan nog, als hier 15 jaar in word gestoken was het niet echt reëel dat het actief misbruikt kon worden. Stel dat iemand anders het in een jaar of twee had kunnen doen dan was het waarschijnlijk nog niet gebeurd.

Laten we eerlijk zijn, de technologie is in de afgelopen 15 jaar ook verbeterd dus het is nu veel makkelijker om 10 jaar oude techniek te kraken dan toen.

Goed dat ze het gevonden hebben, maar echt een probleem was het volgens mij niet.

bbob

Netwerk en systeembeheer

@LOTG • 25 april 2018 18:39

Het kan zo maar zijn dat iemand het binnen 4 uur gekraakt kan hebben, net de juiste manier bug gevonden of geluk.

svenk91 @bbob • 25 april 2018 19:03

Of een van de makers heeft een backdoor ingebouwd, daar kan je goed aanverdienen lijkt me.

bigbadbull @bbob • 26 april 2018 10:07

lijkt mij eerder een geval van kaart duplicatie bij een hotel dat niet steeds een reset uitvoert.
of gewoon trail en error testen of je met een dergelijke kaart ook binnen kan..
bij ons op het werk hebben we een parkeerbadge en op totaal andere plaatsen die dezelfde badges gebruiken kunnen we soms ook gewoon binnen en buiten.

rkeet @LOTG • 26 april 2018 14:11

Laten we eerlijk zijn, de technologie is in de afgelopen 15 jaar ook verbeterd dus het is nu veel makkelijker om 10 jaar oude techniek te kraken dan toen.

Misschien is de techniek wel verbeterd, maar dan klinkt alsof er niet veel meer geimplementeerd is van het nieuwe. Met name omdat ze dus zoveel sloten zouden kunnen treffen met deze hack...

Het zou minimaal gaan om 500.000 hotelsloten, maar het aantal kan ook in de miljoenen lopen. Het sleutelsysteem is wereldwijd in gebruik.

PPie @DnJealt • 25 april 2018 21:48

Het zou immers ook de schoonmaakster of andere werknemer geweest kunnen zijn..

Waarschijnlijk niet.
Dit soort sloten heeft een log van de laatste x acties. Als er een schoonmaker is binnengekomen met een sleutel, is dit dus uit te lezen. Dat zullen ze dus wel uitgesloten hebben, anders zeg je niet 'op mysterieuze wijze'.

Pwuts @PPie • 26 april 2018 11:50

uitgesloten

/offtopic

Als dit klopt en er inderdaad een log is, dan wil dat nog niet zeggen dat die logs helemaal veilig waren. Het lijkt er namelijk op dat het ook mogelijk was om de database met gasten te lezen en bewerken via een slot. Zou die log dan niet ook lek zijn geweest?

Desondanks kun je denk ik wel zeggen dat iemand erg inventief is geweest destijds.

rkeet @PPie • 26 april 2018 14:14

Waarom zou er per se een high-tech hack plaatsgevonden moeten hebben om deze laptop mee te nemen? ;-)

Simpel weg een touw, een kamer op de bovenliggende verdieping en een gebrek aan hoogtevrees lijkt me voldoende om om de loggende deur mechanismen te komen?

(er vanuit gaande dat er voorkennis was van de laptop in de kamer, welke kamer, etc., dan ja, high-tech, anders mogelijk gelukje bij een diefstalletje?)

robvanwijk

Netwerk en systeembeheer

@DnJealt • 25 april 2018 21:02

Wordt hiermee nu gesuggereerd dat iemand al die jaren al van de exploit af wist en gewoon zijn gang kon gaan?

Als de mensen van F-Secure er 15 jaar voor nodig hebben om een exploit te vinden, dan lees ik het juist als een hele sterke suggestie dat er indertijd geen exploit is gebruikt (en dat er dus waarschijnlijk misbruik is gemaakt van een "echte" master key).

Verwijderd 25 april 2018 17:56

Buiten dat ik de gang van zaken toejuich, heb ik het idee dat dit weer een pr stuntje is van het bedrijf.

Wat eerder al gezegd word is 15 jaar om een probleem te achterhalen erg lang.
Maar op deze manier promoten ze hun nieuwe systeem, en geven ze toch nog het signaal "kijk ons eens actief problemen oplossen"

Yoshi @Verwijderd • 25 april 2018 18:09

toch niets mis mee, liever dit soort pr stuntjes dan iets anders. Verder lijkt het me vooral een zijprojecte uit een soort wraak gevoel met de glimlach

.

En ze hebben het nog netjes opgelost, ze konden het ook zoals Google na 90 dagen het www opgooien.

Verwijderd @Yoshi • 25 april 2018 18:19

Ach zolang baliemedewerkers je een nieuw pasje geven zonder controle of alleen het roepen van je naam.
Sja dan kan je triple encrypted blockchain sequences gebruiken maar dan is de veiligheid nog niet verbeterd.

HenkEisDS 25 april 2018 19:40

Leuke find, maar de zwakste schakel blijft hier weer de mens. Verbaas me vaak over hoe laks ze in hotels zijn met identificatie, verificatie en authorisatie. Schoonmakers die hun sleutelbos met masterkeys om hun karretje laten hangen of baliemedewerkers die zonder je ID te checken je toegang geven tot een kamer als er iets mis lijkt te zijn met een sleutel. Heb zelfs een keer een masterkey in mijn kamer gevonden die de schoonmaakster was vergeten. Leuk geintje mee kunnen uithalen met een collega voordat ik hem teruggaf.

sugarlee89 @HenkEisDS • 25 april 2018 20:02

je ging snachts bij hem in bed liggen?

Verwijderd 25 april 2018 17:58

Veertien jaar er aan gewerkt om een exploit te vinden. Damn, dan zet je wel ff ergens je tanden in zeg. Maar het bewijst weer dat alles te hacken is.

Mooi ook om te lezen dat deze mensen actief met de producent hebben samengewerkt om het probleem te verhelpen. Dat is terecht etisch hacken te noemen.

mashell 25 april 2018 18:16

Als een beveiligingsbedrijf er zo lang aan moet werken om eenn hotelslot te kraken dan was de beveiliging van Assa Abloy eigenlijk best wel heel goed.

LightlessFilms 25 april 2018 18:33

Moederbedrijf Assa Abloy heeft een patch uitgebracht voor VingCard Vision die hotel moeten implementeren om zich te beveiligen tegen de aanval, zegt F-Secure. Hotels met het nieuwere Visionline-systeem zijn niet kwetsbaar, meldt Wired. Het is onbekend hoeveel hotels nu kwetsbaar zijn.

Als Hotels dit op eigen houtje moeten doen, dan durf ik mijn hand ervoor in het vuur steken dat er weinig hotels deze patch gaan installeren

JohanPetra 25 april 2018 17:49

Wat een klets! Waarschijnlijk gejat door hotel medewerker met een masterkey. Als een beveiligings bedrijf 15 jaar nodig heeft om een manier te vinden de hotel deuren te openen is het voor de gemiddelde crimineel al niet interessant meer, die zou dan minstens 150 jaar nodig hebben

Saturnus @JohanPetra • 25 april 2018 17:58

Misschien was de dief de schrijver van de code. 😏

Bor Coördinator Frontpage Admins / FP Powermod @JohanPetra • 25 april 2018 18:11

De tijd dat er in het vinden van een exploit wordt gestoken zegt echt niets over de vraag of iets wel of niet actief misbruikt wordt. Het is goed mogelijk dat een exploit langere tijd misbruikt wordt door een beperkt gezelschap alvorens aan het licht te komen.

Hiernaast hebben ze het over "on-and-off research" waardoor de echte onderzoekstijd vele malen korter kan zijn.

[Reactie gewijzigd door Bor op 24 juli 2024 11:18]

NSG 25 april 2018 18:16

Mooi ook die sluikreclame voor het Nederlandse Secrid

Puch-Maxi @NSG • 25 april 2018 19:07

Alleen jammer dat het RFID-pasje daar niet in past lijkt toch wel te passen?, kun je hem ook niet uitlezen!

[Reactie gewijzigd door Puch-Maxi op 24 juli 2024 11:18]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: