10:49
31/1/2017

Advertisement

Przez weekend na wielu serwisach internetowych pojawiła się informacja o ciekawym ataku na austriacki hotel. Z opisu, sytuacja wyglądała na poważną. Ransomware zainfekował komputer sterujący zamkami hotelowymi, w konsekwencji czego, goście zostali uwięzieni w pokojach. Musimy was trochę rozczarować. Nie wszystko w tych doniesieniach medialnych było prawdą…

BILD zu TP/OTS – Au§enansicht vom Romantik Seehotel JŠgerwirt im Sommer

Austriacki hotel rzeczywiście został zaatakowany, ale…

Prawdą jest, że hotel Romantik Seehotel Jägerwirt stał się ofiarą ransomware’u. I że zapłacił okup w Bitcoinach, aby odzyskać zaszyfrowane przez przestępców pliki. Dokładnie było to 1500 EUR.

Bzdurą natomiast jest to, że goście zostali uwięzieni w hotelowych pokojach. Pokój zawsze można otworzyć od wewnątrz. Klamką. Jedyny wpływ jaki atak miał na hotelowe zamki, wedle wypowiedzi managera hotelu, to brak możliwości wydawania nowych kart przez 24 godziny. Po prostu komputer odpowiedzialny za programowanie kart zbliżeniowych nie działał poprawnie. Zapewne jego pliki konfiguracyjne zostały zaszyfrowane, nie wiadomo czy z powodu phishingu czy tego, że recepcjonista podpiął do komputera zainfekowany pendrive, aby coś wydrukować gościowi hotelowemu.

W konsekwencji, właściciel hotelu zapowiedział, że podczas kolejnego generalnego remontu, planuje wymianę zamków na takie, które otwierane są przez tradycyjne klucze. Na marginesie, to stwierdzenie też jest ciekawe, ponieważ wszystkie znane nam hotelowe zamki działające w oparciu o karty bezstykowe lub magnetyczne posiadają tak naprawdę zasłoniętą dziurkę od tradycyjnego klucza, który w przypadku awarii pozwala otworzyć drzwi.

Ransomware atakuje nie tylko hotele…

Ataki złośliwego oprogramowania paraliżowały prace różnych instytucji na długo zanim “wymyślono” ransomware. Wirusy zmuszały do ewakuacji szpitale ale i antywirusy, na skutek fałszywych alarmów, powodowały spore szkody na setkach tysięcy komputerów, z których część funkcjonowała w “ważnych miejscach” obsługując “krytyczne procesy”.

Na ransomware łapią się notorycznie polskie firmy i urzędy. Znamy sytuacje, w których zainfekowani zdecydowali się na zapłatę okupu. Ale przy takiej skali — łapią się wszyscy i jak pokazują badania, płaci ponad połowa ofiar. Nie tylko szpitale, ale nawet amerykańska policja.

Ale hotele są szczególnie atrakcyjnym celem

Hotele to ciekawe miejsca. Dużo ludzi, tym ważniejszych im więcej gwiazdek hotel posiada. Nie ma co ukrywać, że managerzy i członkowie zarządu to łakome kąski dla przestępców. Niestety, większość hoteli nie posiada sieci zorganizowanej w bezpieczny sposób i odpowiednich procedur bezpieczeństwa. A jeśli nawet one istnieją, to często są naginane… Taki biznes, klientom trzeba “iść na rękę”.

Recepcjoniści zgadzają się na przykład na przysługi w stylu “Czy wydrukuje mi pani mojego boarding passa” i podpinają pendrive’y klientów pod komputery z systemem rezerwacji, w których znajdują się nie tylko szczegółowe informacje o hotelowych gościach, ale również dane kart płatniczych, także z CVV2 (por. hotel prosi o wpisanie kodu CVV2 na karcie meldunkowej). Ochronie informacji nie sprzyja też często rotujący w hotelach personel, który ma dostęp do danych klientów i może je “niepostrzeżenie” podglądać i robić z nich użytek. To samo dotyczy pokojówek …i obcych służb. Dlatego, jeśli zamierzacie zostawić laptopa w hotelowym sejfie, wcześniej wyposażcie się w miętówki i lakier z brokatem. Choć i to może nie pomóc, bo jak pokazuje przypadek kradzieży karty do systemu informatycznego MSZ, złodzieje mogą wynieść cały sejf.

Ale do danych innych gości wcale nie trzeba dostawać się przez atak na komputer recepcjonisty albo podstawienie swojego pracownika czy też otwarcie hotelowego sejfu. W niektórych hotelach wystarczy siąść w lobby i podpiąć się do Wi-Fi dla gości. W takich sieciach często brak jest separacji klienta, a że managerzy nie zawsze należą do najbardziej rozgarniętych osób, to już skan netbiosa może ujawnić kilka interesujących dokumentów. Nie wspominając już o atakach MITM i zwykłym podsłuchiwaniu nieszyfrowanej komunikacji, czy atakach “fałszywymi aktualizacjami” przed jakimi ostrzega FBI.

Nocuję w hotelach z zamkami elektornicznymi — co robić, jak żyć?

Gdyby jednak w przyszłości przyszło Wam nocować w hotelu, w którym rzeczywiście przestaną działać elektroniczne zamki, pokazujemy jak dostać się do zablokowanego pokoju (obiecajcie, że nie wykorzystacie tego triku aby wejść do cudzego pokoju):

…a gdyby dodatkowo drzwi były zamknięte na łańcuch:

Pomocna może też być umiejętność klonowania kart RFID (gdyby trzeba było “dorobić” klucz do czyjewłasnego pokoju, ale komputer na recepcji nie działał) lub awaryjnego otwierania hotelowego sejfu — bo wiadomo, można zapomnieć swoje hasło.

Kilka innych pomysł na otwieranie różnych, nie tylko hotelowych, zamków znajdziecie w naszym artykule z 2010 roku :)

Jeśli ktoś boi się, że nagle do hotelowego pokoju wparuje mu przez pomyłkę jakiś czytelnik Niebezpiecznika, to polecamy zastosować Howsar Locka, którego opisywaliśmy tutaj. Niestety, w niektórych polskich framugach nie da się go “zainstalować”…

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. Cały temat wydaje się nadmuchany do granic możliwości. Nie wyobrażam sobie managera, który wymienia zamki elektroniczne na standardowe wkładki tylko dlatego, że wydarzyła sie opisana awaria. Strach pomyśleć, co będzie jeśli ktoś otworzy standardowy zamek. Co wtedy? Wymieni zamki na łańcuchy?
    Przede wszystkie małe sprostowanie. Nie wszystkie zamki mają wkładki ze standardowym kluczem. Często to opcja. W ramach oszczędności można ich nie stosować.
    Natomiast zawsze i wszędzie można z pokoju (nawet przy nieaktywnej karcie) wyjść. Nie może być inaczej. Straż pożarna nigdy by nie zaakceptowała rozwiązania w hotelu, w którym gość nie może opuścić pokoju. Ta klamka od strony pokoju naprawdę działa.
    A teraz sam atak. Jeśli rzeczywiście były to zamki online i zainfekowano serwer tych zamków, to oznacza jedynie, ze musiał służyć jako stacja robocza.
    Jeśli tak było, to do wymiany nie są zamki, tylko głowa managera.
    Infekcja takiego komputera nie powoduje zmian w poszczególnych zamkach, ponieważ zachowują się one wtedy jak przy braku prądu – po prostu kontrolery zamków akceptują już przydzielone uprawnienia. Zmiany uprawnień musiałby dokonać program, który miałby wiedzę zarówno co do adresacji zamków, jak i składni poleceń. Czy – jest to możliwe, ale raczej nie w tym przypadku.
    Wydaje mi się, że tu mieliśmy do czynienia nie z atakiem na zamki online, tylko zamki offline, gdzie informacja o uprawnieniach jest zawarta na karcie.
    Często zdarza się, że w tańszych rozwiązaniach na stacji roboczej instaluje się program do kodowania kart. Wtedy znów mamy sytuację, że zamki nadal sie otwierają i zamykają w ramach juz przydzielonych uprawnień. Metoda naprawy jest przerażająco prosta, nawet jeśli nie mamy kopii. Instalujemy na innym stanowisku program do generowania kart. Oczywiście, w sytuacji naprawdę wielkiego pecha będziemy musieli przeprogramować zamki (dla systemów offline), ale nadal to nie powód aby płacić okup.
    Pamiętajmy, ze ten obiekt to hotel. W hotelu nic nie dzieje się natychmiast. Jeżeli nawet będzie potrzebny pilny dostęp do pomieszczenia zawsze pozostają karta serwisowa.
    Podsumowując – jak na wstępie: w wielkim jajku małe żółtko.

    • W opisie jest podane, że nie można było kodować kart przez 24h, pewnie padł komputer na którym był program do kodowania z czytnikiem. Nie ma informacji, że nie można wchodzić albo wychodzić z pokoju.

  2. Filmiki fajne, ale oba uczą, aby nie wierzyć w zamknięte drzwi z “zagiętymi” klamkami.
    Proste uchwyty moim zdaniem są równie ładne, chociaż być może bardziej niebezpieczne przy fizycznym kontakcie.

  3. Uwielbiam czasem myslec jak lewak: otoz noc w takim hotelu kosztuje kilkaset ojro, pokojow jest kilkadziesiat, koszty tak naprawde sa znikome. Jednym slowem, stac ich na smieszne 1k5 ojro. Ale rozumiem wkurw. To wlasciciele hotelu czyscili dotad kieszenie ludzi, niefajnie gdy role sie odwrocily. To jakby policjantowi chciec dac mandat albo polityka podsluchiwac.

    A teraz powaznie. Zlodziejstwa w hotelach sa problemem i tylko naiwniacy mysla, ze ‘obudze sie, gdy ktos wejdzie do mojego pokoju’. Dlatego zawsze stawiam butelke na klamce. Zawsze to jakis alarm gdy spadnie.

  4. Problemem w hotelu jest to, że jest rotacja gości. Zamek w drzwiach jest offline. Programuje go pracownik techniczny hotelu. Podchodzi do zamka z jakimś PDA i używając podczerwieni lub BT zmienia ustawienia.
    Zazwyczaj koduje się kartę na określony czas pobytu gościa + parę godzin zapasu.
    Jeśli padnie komputer z oprogramowaniem do kodowania kart to nie będzie można aktywować ponownie karty dla nowego gościa. Jedynie karta serwisowa będzie mogła otworzyć drzwi ale takie rozwiązanie awaryjne wpływa na wizerunek hotelu.

    • Tych systemow zamkow hotelowych jest calkiem sporo. Sa juz systemy online. Chociaz tez mi sie wydaje ze problem jest bardzo rozdmuchany chociaz pokazuje jak coraz bardziej jestesmy uzaleznieni od technologii.

  5. ja w tym widze sprytna reklame hotelu ;-)

  6. Właśnie dostałem maila niby od DPD:
    “Dzień dobry,
    informujemy, że dziś 02-02-2017 w godzinach 15:30-16:00
    kurier DARIUSZ nie był w stanie dostarczyć swój numer paczki:”
    Po kliknięciu przenosi nas na stronę niby lokalizującą paczki. Po wpisaniu captcha wyskakuje plik DPD_Powiadomienie.zip. W środku jest jakiś plik DPD_Powiadomienie.js. Nie wiem czy to jakaś większa akcja czy akurat tylko na mnie trafiło.

    • Też to dostałem. I to na służbowego maila, którego nie daję na prawo i lewo.
      Ostrzegła mnie łamana polszczyzna użyta w wiadomości.
      “informujemy, że dziś 02-02-2017 w godzinach 15:30-16:00
      kurier WIELISŁAW nie był w stanie dostarczyć swój numer paczki”
      Na stronie DPD podałem ręcznie numer paczki. Nie istnieje.

      Ostrzeżcie innych!

    • Ja również otrzymałem tego maila (na stara zaspamioną skrzynkę). Jeszcze rano też mnie przekierowało na tą samą stronę, a teraz przekierowuje na google, ale z takim adresem:
      https://www.google.pl/?gfe_rd=cr&ei=xGmUWNfHJaHi8AfJiZ64BA&gws_rd=ssl

    • Większa. Atak jest przeprowadzony z Rosji w niezłym bulku, nie wiem na ile jest to ważna informacja ale zaatakowana firma z którą dziś miałem do czynienia prowadziła handel w Rosji. Ten Ransomware kiedy nie może już działać swobodnie w Windowsie, to rzuca się w pierwszej kolejności na foldery współdzielone.

    • “Na stronie DPD podałem ręcznie numer paczki. ”

      Niepotrzebnie klikacie.
      Już wiedzą, że adres mailowy istnieje.

  7. Też dostałem a czekałem właśnie na kuriera. W pośpiechu otworzyłem i koniec, wszystko zaszyfrowane. Wykasowało wszystkie backupy. Ktoś zna remedium? Napisałem do Dr Web, podobno są w stanie odszyfrować.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: