7/9/2011
Po sieci krąży video, pokazujące jak łatwo otworzyć hotelowy sejf za pomocą domyślnego hasłą, którym są …same zera.
Domyślne hasło do hotelowego sejfu
Oto rzeczone video:
Zanim złodziejaszkowie wpadną w euforię i ruszą zatrudniać się jako hotelowe pokojówki, warto wspomnieć o jednej drobnej rzeczy. Domyślne hasło sejfu, które “nadpisuje” hasło użytkownika jest konfigurowalne (z reguły przez pracowników hotelu). W ukazanym na filmie przypadku hotel wybrał zera jako swój “master password” — miejmy nadzieję, że inne hotele wykazały się w tym zakresie większą wyobraźnią…
Jeśli interesuje was jak działa zamek sejfu, kliknijcie tutaj. Jeśli zaś chcielibyście poczytać o tym, jak można zautomatyzować łamanie kodu do sejfu, zapraszamy tutaj. Powyższa wiedza na pewno przyda się w Japonii, gdzie po ostatnich powodziach znaleziono sporo “wypłukanych” z domów sejfów.
Literówka, jest “mniejmy nadzieję”, a powinno być: miejmy nadzieję.
“mniejmy”? :)
w każdym razie pracowałem chwilę na outsourcingu w jednym z hoteli (taki lepsiejszy), to w kwestii bezpieczeństwa (w tym IT) mowy nie ma. Hasła dla niemowlaka w sejfach to nic nowego, za to dopuszczanie gości hotelowych do komputerów recepcji “na chwilę, bo zaraz ma samolot” było już przegięciem (za które spędziłem kilka cudownych wieczorów w pięciogwiazdkowym badziewiu podczas “sprzątania” po gościach) _-_
Pod koniec przedostatniego akapitu, jest literówka – “mniejmy”, a chodziło zapewne o “miejmy”… Chyba, że chodziło o to, że mniej z nas?…
Nigdy nie sądziłem, że w sejfach też jest hasło roota. Skoro oba hasła ostatecznie umożliwiają otworzenie sejfu, to czy nie lepiej żeby były takie same? Przynajmniej spadnie prawdopodobieństwo znalezienia jednego przy atakach brute-force. Z drugiej strony, jak hasła wyglądają tak, jak większość haseł (vide https://niebezpiecznik.pl/post/hasla-do-stron-porno/), to nie będzie różnicy, czy mówimy o trzeciej, czy o szóstej próbie ;-)
Jak czytam powyższe komentarze, wyobrażam sobie minę moderatorów i “ciepłe słowa”, z jakimi z pewnością wyraża się o komentujących.
Wpisując się w nurt tej niezwykle merytorycznej dyskusji o bezpieczeństwie, chciałem zwrócić uwagę na błędy interpunkcyjne. :))) A zatem z nadzieją, że podczas czytania mojego posta Piotr rzuci coś w stylu “no żesz ku!@#@ mać” lub “ale się dojeba!@#$”, uprzejmie donoszę, że w zdaniu:
Domyślne hasło sejfu, które “nadpisuje” hasło użytkownika jest konfigurowalne (z reguły przez pracowników hotelu)
znajduje się błąd interpunkcyjny polegający na braku przecinka przed słowem “jest”.
Dziękuję za uwagę :))
http://91.121.151.24/personalit_media/pictures/2011/06/30/zdjwcqa.gif ;-)
@Dalaj Lama: Na Twoim miejscu, w odpowiedzi rzuciłbym Piotrkowi te dwa linki:
http://goo.gl/vXELL
http://goo.gl/AWyTX
Ale żeby nie było, że piszę nie na temat, to już w pierwszym zdaniu jest błąd interpunkcyjny, mianowicie źle ospacjowany wielokropek (uzasadnienie: http://goo.gl/6Gd2a)
Paweł. bo Bożenkę zawołam! ;)
Tragedia … az mowe odbiera.
Pracowałem kilka lat w hotelu pięciogwiazdkowym, i prezentowane na filmie rozwiązanie to nie jest standard. U nas procedura resetu hasła wymagała podłączenia w port serwisowy palm’a ze specjalną aplikacją która potrafiła taki sejf otworzyć po wpisaniu odpowiednich kodów serwisowych (ustalanych na etapie wdrożenia).
Bawiłem się dosyć długo takim sejfem for fun :)
Ja również pracowałem w hotelu i hasło “main” było zupełnie inne niż same zera.. fakt faktem nie trzeba było nic podłączać, ale z tego co się dowiedziałem hasło to zostało przydzielone tylko do sejfów w naszym hotelu.
PS> Model sejfu był identyczny jak w filmie.. tylko czarny :P
„konfigurowalne (z reguły przez pracowników hotelu)” – co z tego? W takim przypadku pewnie będzie to 123456. :P Ciekawe czy jest jakaś blokada po x próbach, ale pewnie wtedy i tak wystarcza „master password”. :]
Ten jest niezły:
http://91.121.151.24/comic/comic/32-0017/
A propos sejfów hotelowych – niemal żaden nie jest przykręcony do ściany. Trzeba jedynie przekonać jakoś recepcjonistkę przy wyjściu, że ten sejf pod naszą pachą to standardowy bagaż…
Kiedyś robiliśmy projekt w nocy u klienta i stwierdziliśmy, że przydałyby się dodatkowe kompy, żeby jechać na dwie ręce. Maszyn stało pełno, tylko nie mieliśmy do nich haseł. Kumpel poszedł do komputera sekretarki i jedzie brute-force: “abcd”, “Polska”, “qwerty”, “12345”. Niestety bez rezultatu i daliśmy sobie spokój do rana.
Na drugi dzień:
– Pani Kasiu, może nam Pani podać hasło do tego komputera
– Oczywiście. “123456”.
ostatnio klient poprosil zeby zmienic mu haslo bo nie moze zapamietac no to dalismy mu password w odpowiedzi uslyszelismy czy nie dalo by sie prosciej :D
Unsafe safe …
[…] w procesie uwierzytelniania. Wiadomo natomiast, że zniknęła z hotelowego sejfu — tak, hotelowe sejfy da się otwierać, ale tym razem złodzieje po prostu zabrali cały sejf z pokoju (!!!). I wygląda na to, że udało […]
[…] Nie ma to jak brute-force! :) Gdyby jednak kogoś otwierało bardziej subtelne otwieranie sejfów, zapraszamy do lektury tego artykułu. […]