April 25, 2018 |

F-Securen tutkijat: Hotellien yleisavain voidaan luoda tyhjästä

Tietoturvatutkijat havaitsivat, että huoneavaimen hakkeroimalla hyökkääjät voivat päästä kaikkiin huoneisiin hotelleissa ja hotelliketjuissa maailmanlaajuisesti. Helsinki, 25. huhtikuuta 2018: F-Securen tietoturvatutkijat ovat havainneet, että hotelleissa ja hotelliketjuissa maailmanlaajuisesti käytetyssä elektronisessa lukitusjärjestelmässä on tietoturvapuute. Sitä hyväksikäyttämällä hyökkääjä voi päästä mihin tahansa hotellin huoneeseen tai tilaan. Suunnitteluvirheet löytyivät Vision by VingCard -lukkojärjestelmän ohjelmistosta. Sitä käytetään miljoonissa hotellihuoneissa eri […]

Tietoturvatutkijat havaitsivat, että huoneavaimen hakkeroimalla hyökkääjät voivat päästä kaikkiin huoneisiin hotelleissa ja hotelliketjuissa maailmanlaajuisesti.

Helsinki, 25. huhtikuuta 2018: F-Securen tietoturvatutkijat ovat havainneet, että hotelleissa ja hotelliketjuissa maailmanlaajuisesti käytetyssä elektronisessa lukitusjärjestelmässä on tietoturvapuute. Sitä hyväksikäyttämällä hyökkääjä voi päästä mihin tahansa hotellin huoneeseen tai tilaan. Suunnitteluvirheet löytyivät Vision by VingCard -lukkojärjestelmän ohjelmistosta. Sitä käytetään miljoonissa hotellihuoneissa eri hotelliketjuissa maailmanlaajuisesti. Maailman suurin lukkovalmistaja Assa Abloy on julkaissut ohjelmistopäivityksiä tietoturvakorjauksilla lieventääkseen vaikutuksia.

Tutkijoiden menetelmälle käy mikä tahansa elektroninen avain – jopa sellainen, jonka käyttöoikeus on vanhentunut tai kokonaan poistettu järjestelmästä tai vain tiettyihin tiloihin pääsyyn tarkoitettu, kuten autotallin avain. Avaimen tietojen avulla tutkijat pystyvät luomaan yleisavaimen, joka mahdollistaa pääsyn kaikkiin rakennuksen huoneisiin. Näin hyökkäys voidaan toteuttaa huomaamattomasti.

“Voitte kuvitella, mitä rikollinen voisi tehdä minkä tahansa hotellin huoneen avaavalla yleisavaimella, jonka hän on luonut käytännössä tyhjästä,” F-Securen tietoturvatutkija Tomi Tuominen sanoo. “Meidän tiedossamme ei ole, että kukaan muu käyttäisi hyökkäystapaa tällä hetkellä.”

Tutkijoiden kiinnostus hotellien lukkojen hakkerointiin heräsi jo yli kymmenen vuotta sitten, kun heidän kollegansa kannettava tietokone varastettiin hotellihuoneesta kansainvälisen turvallisuuskonferenssin aikana. Hotellin henkilökunta hylkäsi tutkijoiden varkaudesta tekemän valituksen, sillä murtautumisesta tai luvattomasta pääsystä huoneeseen ei ollut merkkiäkään. Tutkijat päättivät jatkaa asian selvittämistä, ja valitsivat kohteekseen laadusta ja turvallisuudesta tunnetun lukkobrändin.

Turvapuutteet eivät olleet helposti havaittavia aukkoja. Selvitystyö vaati tutkijoita tutustumaan koko järjestelmään perusteellisesti. Tutkijat löysivät pieniä suunnitteluvirheitä, jotka yhdistämällä he pystyivät toteuttamaan hyökkäyksen. Merkittävän määrän kokeita ja virheitä sisältänyt tutkimus kesti useita tuhansia tunteja ja sitä tehtiin muiden töiden ohessa.

“Halusimme selvittää, onko sähköistä lukkoa mahdollista ohittaa jälkiä jättämättä”, sanoo F-Securen tietoturvatutkija Timo Hirvonen. “Turvallisen kulunvalvontajärjestelmän rakentaminen on hyvin vaikeaa, sillä siihen liittyy niin monia asioita, jotka täytyy toteuttaa virheettömästi. Vasta kun ymmärsimme perusteellisesti, miten järjestelmä on suunniteltu, pystyimme löytämään näennäisen vaarattomia puutteita. Kun yhdistimme luovasti nämä puutteet, keksimme keinon luoda yleisavaimen. ”

F-Secure ilmoitti Assa Abloylle tuloksista, ja on nyt työskennellyt lukkovalmistajan kanssa viimeisen vuoden ajan ohjelmistopäivitysten parissa. Valmistaja tarjoaa päivityksiä vaarantuneille kohteille.

“Haluan henkilökohtaisesti kiittää Assa Abloyn tutkimus- ja kehitystiimiä erinomaisesta yhteistyöstä asioiden korjaamiseksi”, Tuominen sanoo. “Heidän määrätietoisuutensa ja halukkuutensa korjata ongelmat, jotka havaitsimme tutkimuksessamme, tekevät maailmasta nyt turvallisemman paikan. Kehotamme kaikkia kyseistä ohjelmistoa käyttäviä hotelleja päivittämään sovelluksen mahdollisimman pian.”

Vastuuvapauslauseke: Hotellihuoneita ei vahingoitettu tutkimuksen aikana. Hyökkäystyökaluja ei anneta yleiseen käyttöön.


Lisätietoa:

Videot: Ghost in the Locks

Electronic Lock Systems are Vulnerable

Tutkijat löysivät tavan luoda yleisavaimia hotelleihin

 

F-Secure lyhyesti

F-Secure on johtava kyberturvallisuusyhtiö, joka on kolmen vuosikymmenen ajan edistänyt kyberturvallisuuden innovaatioita. F-Securella on ensiluokkainen kokemus päätelaitteiden suojaamisesta sekä hyökkäysten tunnistamisesta ja niihin vastaamisesta. F-Secure suojaa ratkaisuillaan yrityksiä ja kuluttajia niin kehittyneiltä kyberhyökkäyksiltä ja tietomurroilta kuin laajalle levinneiltä kiristysohjelmien tartunnoilta. F-Securen turvallisuusasiantuntijat ovat osallistuneet useampaan eurooppalaiseen kyberrikoksen tutkintaan kuin yhdenkään muun markkinoilla toimivan yrityksen. F-Securen tuotteita myyvät maailmanlaajuisesti yli 200 operaattoria ja tuhannet jälleenmyyjät.

Vuonna 1988 perustettu F-Secure on listattu NASDAQ OMX Helsinki Ltd:ssä.

f-secure.com twitter.com/fsecure | facebook.com/f-secure


Mediayhteydenotot:

Simo Ristolainen
+358 50 405 3776

Social Media
Lehdistöarkistot
Valitse vuosi

Uusimmat lehdistötiedotteet

August 19, 2019

F-Securen työkalu auttaa selvittämään, mitä tietoja olet luovuttanut teknologiajäteille

Helsinki – 19. elokuuta 2019: F-Secure on julkaissut ilmaisen Data Discovery Portal -työkalun, jonka avulla internetkäyttäjät voivat tarkastaa, mitä tietoja he ovat antaneet suosituille nettipalveluiden tarjoajille. Data Discovery Portal -työkalu kerää yhteen Googlen, Applen, Facebookin, Amazon Alexan, Twitterin ja Snapchatin käyttäjätietojen tallennussivut, joita tavallisen kuluttajan voi olla hankala löytää palveluiden monimutkaisista sivurakenteista. Internetkäyttäjien tietojen kerääminen […]

August 9, 2019

F5 Networksin tuotteessa havaittu laaja tietoturvaongelma altistaa suuret yritykset ja organisaatiot kyberhyökkäyksille

F-Securen tietoturvakonsultti Christoffer Jerkebyn löydökset paljastavat maailmanlaajuisen tietoturvaongelman, jossa BIG-IP-kuormantasaajia käytetään kyberhyökkäysten apuvälineenä.      Helsinki – 9. elokuuta 2019: Kyberturvaratkaisuja tarjoava F-Secure suosittelee F5 Networksin BIG-IP-kuormantasaajaa käyttäviä organisaatioita suojautumaan tuotteeseen liittyviltä tietoturvauhilta. Kuormantasaajan avulla erilaiset internetpalvelut suojautuvat verkkoliikenteen ylikuormitustilanteilta sekä palvelunestohyökkäyksiltä. BiG-IP-kuormantasaaja on suosittu tuote erityisesti julkisen sektorin, pankkien ja muiden suurten yritysten keskuudessa. […]

August 5, 2019

F-Securen uusi katsaus rahoitusalan kyberuhkiin

Kyberturvallisuusyhtiö F-Securen uusi raportti osoittaa, että kansainvälisellä rahoitusalalla toimiviin organisaatioihin kohdistuu perinteisiä varkauksia huomattavasti monimutkaisempia uhkia. Helsinki — 5. elokuuta 2019: F-Securen raportti Rahoitusalan kyberuhat osoittaa, että hyökkäyksiä pankkeihin, vakuutusyhtiöihin, varallisuudenhallintayhtiöihin ja vastaaviin organisaatioihin tekevät tahot voivat olla ohjelmointitaitoisista nuorista järjestäytyneen rikollisuuden jäseniin ja valtioilta tukea saaviin toimijoihin. Hyökkääjien motiivit ovat yhtä moninaisia. Monille kyberhyökkääjille rahoitusala […]

July 3, 2019

F-Securen uusi suojausyksikkö keskittyy taktiseen tietoturvaan

Yksikön johtajan Christine Bejerascon mukaan tiimin fokus keskipitkälle aikavälille takaa, että F-Securen tuotteiden ja palveluiden kehitys pysyy tietoturvauhkien edellä. Helsinki, 26. kesäkuuta 2019: Tietoturvayhtiö F-Secure perustaa uuden tietoturva-alan tutkijoista ja analyytikoista koostuvan yksikön, joka saa nimekseen Tactical Defence Unit (suom. taktinen suojausyksikkö). Sen tarkoituksena on kehittää kokonaisvaltaisia suojausstrategioita ja siten varmistaa, että F-Securen tuotteet ja […]

%d bloggers like this: