Grossi problemi con le tessere elettroniche delle camere d’albergo
Non esiste una statistica completa sul numero di camere di albergo, in tutto il mondo, che sono dotate di tessere elettroniche per l’accesso, ma certamente stiamo parlando di milioni di camere.
Recentemente dei ricercatori di sicurezza informatica hanno individuato una debolezza in una specifica tipologia di carte, che è tra le più diffuse al mondo. La Assa Abloy, l’azienda che è proprietaria di questa specifica tecnologia, ha recentemente pubblicato un aggiornamento software che blocca questa vulnerabilità, ma vi sono grossi problemi nell’attuare in pratica questa misura correttiva.
Infatti le serrature per solito non sono collegate in una rete locale, oppure ad Internet, e quindi l’aggiornamento può essere installato solamente con un intervento che coinvolge anche il firmware, registrato nella memoria del computer della serratura elettronica.
Secondo l’azienda produttrice, sono 42.000 gli alberghi o gli insediamenti in cui questi impianti sono stati installati, distribuiti in 166 paesi.
I ricercatori non hanno dato molti dettagli sulla debolezza del software, che hanno riscontrato, ma hanno fatto presente che gli attaccanti, per poter perpetrare l’attacco, hanno solo bisogno di avere a disposizione una tessera elettronica, che funzioni nell’albergo sotto mira. Poiché gran parte dei clienti non riconsegna la tessera, quando abbandona l’albergo, ma spesso la tengono come souvenir, gli strumenti a disposizione degli attaccanti sono numerosi.
Gli attaccanti devono disporre di un lettore portatile dei codici RFID e di un dispositivo di scrittura sulla tessera. Bisogna anche individuare lo specifico algoritmo crittografico utilizzato, ma questo algoritmo è molto debole e i ricercatori hanno dimostrato che con una ventina di tentativi è possibile decodificarlo.
A questo punto lo strumento può registrare il codice su una tessera, che potrà sbloccare qualsiasi porta attaccata dai malviventi. L’intero processo, secondo gli esperti, richiede poco più di un minuto.
Anche se l’azienda ha pubblicato tempestivamente un software correttivo, le indagini sul campo dimostrano come i responsabili dei vari insediamenti alberghieri abbiano reagito con un certo distacco.
Ritengo sia opportuno informare tutti i soggetti coinvolti su questo evento, perché tempo addietro, in qualità di consulente, venni chiamato in causa in una contestazione, relativa ad una indagine attivata dalla procura di Tempo Pausania, in Sardegna, nei confronti di un occupante di un albergo, accusato di simulazione di reato e tentativo di frode all’assicurazione, perché egli aveva dichiarato che il denaro deposto nella cassaforte del suo albergo era stato sottratto.
Al tempo, mi fu possibile convincere il magistrato inquirente circa l’innocenza del soggetto accusato; il magistrato archiviò la pratica.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.