È un metodo un po’ complesso, ma consente di accedere a quasi 3 milioni di camere di hotel nel mondo.

Ultimamente, la sicurezza dei dispositivi IoT sta facendo molto discutere, perché non è mai stata una priorità e ora cominciamo a pagarne le conseguenze. Questo caso di hacking etico ne è un buon esempio: un gruppo di hacker è stato invitato da una catena alberghiera a provare a superare i suoi sistemi di sicurezza… e ci è riuscito.

Gli hacker hanno sfruttato due vulnerabilità informatiche dei sistemi delle serrature elettroniche di un noto fabbricante (di cui preferiamo non divulgare il nome) che utilizzano la tecnologia RFID per la apertura e chiusura delle porte (le tipiche schede da avvicinare alla serratura). La cattiva notizia è che il produttore non ha risolto tutti i problemi di sicurezza dei suoi dispositivi, quella buona è che non è un procedimento facile, per cui la maggior parte dei viaggiatori può considerarsi al sicuro.

In questo post parliamo della nuova tecnica hacker per aprire le serrature elettroniche degli hotel, di sicurezza dei dispositivi smart e di hacking etico. Buona lettura!

Il fabbricante di queste serrature hackerabili ha aggiornato solo il 36% di quelle vendute, per cui ne rimangono circa 3 milioni a rischio.

Unsaflok, la tecnica utilizzata per aprire le serrature elettroniche

Durante un evento privato a Las Vegas nel 2022, una catena alberghiera ha invitato un gruppo di hacker a provare ad hackerare le sue misure di sicurezza. Questi hacker white hat, che utilizzano le loro competenze a favore della cybersecurity, hanno trovato un modo per aprire le serrature elettroniche delle camere di hotel, con un lettore/codificatore, delle schede vergini e alcuni dati dell’hotel.

Ecco come funziona, in modo semplificato e riassuntivo, questa tattica di hackeraggio di serrature smart:

  1. L’hacker deve innanzitutto risalire al codice specifico di ciascun hotel che viene integrato nelle schede, ad esempio rubandone una inutilizzata o buttata.
  2. Poi, sfrutta una vulnerabilità del sistema delle serrature per sovrascrivere i dati su una card qualsiasi con un codificator.
  3. Inoltre, gli hacker hanno hackerato la crittografia delle schede in modo da poterle modificare velocemente. Altrimenti un attacco a forza bruta impiegherebbe un tempo troppo lungo, che potrebbe destare sospetti.
  4. Infine, gli hacker possono utilizzare la scheda con i dati contraffatti per aprire la serratura.

Il gruppo di hacker che ha fatto questa scoperta ha battezzato questo metodo Unsaflok (che ricorda il termine inglese “unsafe lock”, il cui significato è “serratura non sicura”) e ha pubblicato tutte le informazioni su questo sito: www.unsaflok.com.

È importante notare che in questi casi, gli hacker con scopi etici descrivono sommariamente il metodo utilizzato per non divulgare informazioni che consentirebbero di replicare l’attacco. Inoltre, prima ancora di pubblicare il loro caso online, hanno contattato il fabbricante, che però ha aggiornato solo un terzo dei suoi dispositivi, lasciando un potenziale di circa 3 milioni di serrature non sicure negli hotel di tutto il mondo.

Perché alcune serrature non sono sicure

Nessun dispositivo o sistema informatico può essere considerato “a prova di hacker”, ma esistono vari livelli di sicurezza e accettabilità. Per i fabbricanti di dispositivi IoT, cioè i dispositivi di smart home, macchine intelligenti e smart city, la sicurezza informatica non è mai stata una priorità e hanno spesso sottovalutato la criticità di queste falle di sicurezza.

La scarsa attenzione che si dà ai problemi di cybersecurity non è una novità. Ma nel caso dei dispositivi smart stiamo assistendo a un’inversione di tendenza: la maggiore diffusione li ha resi più interessanti per i cybercriminali, che iniziano a sfruttarli per accedere a reti informatiche, sistemi o addirittura alle case delle persone.

Risolvere i problemi di sicurezza di un dispositivo non è sempre facile: in alcuni casi basta un aggiornamento del firmware, se ne ha uno, ma alcuni devono essere direttamente sostituiti perché non è possibile correggere la vulnerabilità.

Per un fabbricante questo significa perdere milioni di euro e dover investire risorse umane e di tempo che altrimenti potrebbero destinare all’innovazione. Insomma, molte aziende non sono disposte a farlo, come è successo a Onity, in occasione della black hat conference del 2012: alcuni hacker trovarono un modo per sfruttare una vulnerabilità delle serrature di questa marca, ma l’azienda rifiutò di assumersi la responsabilità e ha lasciato in circolazione quasi 10 milioni di serrature non sicure.

LEGGI ANCHE: Sondaggio di cybersecurity, il 36% degli europei non possiede neanche un dispositivo IoT

I dispositivi smart sono sicuri

Il fatto che possano essere hackerati non significa che qualcuno cercherà di farlo. La maggior parte delle persone non ha nulla da temere, ma chi ha un ruolo critico in un’azienda o ha in casa molti oggetti di valore farebbe bene a tenere presente questo problema e acquistare solo dispositivi smart sicuri.

Questo perché il rischio più concreto è che un cybercriminale scelga come bersaglio una persona molto benestante o in possesso di informazioni riservate e preziose, e provi a integrare i dispositivi IoT nel suo piano di attacco.

Ad esempio, immaginiamo un hacker che si dedica allo spionaggio industriale. Una corporation poco onesta gli affida il compito di raccogliere informazioni su un nuovo prodotto di un’azienda della concorrenza. L’hacker potrebbe trovare una persona che abbia accesso a quelle informazioni all’interno dell’azienda e seguirla nei suoi viaggi di lavoro. Approfittare di un momento propizio per hackerare la serratura elettronica della sua camera di hotel e rubargli il laptop.

Più in generale, i dispositivi di ultima generazione sono sempre più sicuri, perché ormai si dà più importanza alla sicurezza informatica dell’IoT. L’unica raccomandazione in questo senso è verificare gli standard di sicurezza del fabbricante prima di acquistare un dispositivo critico, come le serrature delle porte esterne di casa.

Questo problema interessa solo le serrature di una certa marca, ma è ragionevole pensare che i prodotti con vulnerabilità simili siano molti di più.

Come usare i dispositivi smart e le serrature elettroniche in sicurezza

Se viaggi spesso per lavoro e per te la sicurezza è la priorità assoluta, allora ti consigliamo di scaricare l’app NFC Taginfo by NXP (disponibile sia per Android che per iOS) per scoprire il sistema e il marchio delle serrature elettroniche e delle card utilizzate. Puoi rapidamente fare una ricerca su internet per vedere se hanno delle vulnerabilità non risolte. E, in quel caso, decidere se portare con te i tuoi oggetti di valore, invece di lasciarli nella stanza quando esci.

In tutti gli altri casi, è ragionevole pensare che il rischio sia molto basso. Tuttavia, qui ti diamo alcuni semplici consigli per utilizzare in modo più sicuro i tuoi dispositivi smart:

  1. Informati sulle vulnerabilità dei dispositivi che usi.
  2. Installa aggiornamenti e patch di sicurezza non appena vengono rilasciati.
  3. Proteggi la rete a cui sono collegati con una password complessa (aiutati con un password manager) e con un secondo sistema di autenticazione biometrica.
  4. Evita il più possibile di condividere password e token di accesso con altre persone.
  5. Crea una rete Wi-Fi per gli ospiti per evitare intrusioni o infezioni involontarie.
  6. Configura con attenzione le funzionalità di sicurezza dei tuoi dispositivi, soprattutto di quelli più interconnessi o che hanno accesso a dati sensibili.

Seguendo queste semplici linee guida per la sicurezza dei dispositivi smart. Potrai utilizzare le serrature elettroniche e altri oggetti IoT senza doverti preoccupare per la tua sicurezza. In caso di dubbi, se hai un ruolo importante in un’azienda, chiedi consiglio ai tecnici informatici o al tuo CISO, che sapranno dirti quali misure implementare.

In questo post abbiamo visto come un gruppo di hacker ha trovato un modo per hackerare le serrature elettroniche degli hotel. I contributi di questo tipo di hacker (etici) aiutano sia la comunità della cybersecurity sia gli utenti finali a comprendere meglio il funzionamento dei propri dispositivi e i limiti che hanno a livello di sicurezza. Per questo, è fondamentale informarsi regolarmente sulle nuove scoperte e migliorare le proprie competenze informatiche.

CONTINUA A LEGGERE: Come capire se ti hanno rubato la password del wifi

Buona navigazione e buon utilizzo sicuro delle serrature elettroniche!