متسللون يفتحون 3 ملايين قفل فندق في ثوانٍ

عندما يأتي الآلاف من الباحثين الأمنيين إلى لاس فيجاس في شهر أغسطس من كل عام لحضور ما أصبح يُعرف باسم "معسكر القراصنة الصيفي"، وهو مؤتمري Black Hat و Defcon المتتاليين للقراصنة، فمن المؤكد أن بعضهم سيختبر اختراق البنية التحتية من فيغاس نفسها، مجموعة المدينة المتقنة من تكنولوجيا الكازينو والضيافة. ولكن في أحد الأحداث الخاصة في عام 2022، تمت دعوة مجموعة مختارة من الباحثين فعليًا لاختراق غرفة فندق في فيغاس، والتنافس في جناح مزدحم بأجهزة الكمبيوتر المحمولة الخاصة بهم وعلب ريد بول للعثور على ثغرات رقمية في كل أداة من أدوات الغرفة، بدءًا من التلفزيون إلى هاتف VoIP الموجود بجانب السرير.

قضى فريق من المتسللين تلك الأيام في التركيز على قفل باب الغرفة، والذي ربما يكون أكثر القطع التكنولوجية حساسية على الإطلاق. الآن، بعد مرور أكثر من عام ونصف، قاموا أخيرًا بإلقاء الضوء على نتائج هذا العمل: تقنية اكتشفوها من شأنها أن تسمح للمتطفل بفتح أي من ملايين غرف الفنادق في جميع أنحاء العالم في ثوانٍ، بنقرتين فقط.

اليوم، يكشف إيان كارول، ولينرت ووترز، وفريق من الباحثين الأمنيين الآخرين عن تقنية اختراق بطاقة مفاتيح الفندق التي يطلقون عليها اسم Unsaflok. هذه التقنية عبارة عن مجموعة من الثغرات الأمنية التي من شأنها أن تسمح للمتسلل بفتح العديد من نماذج أقفال بطاقة المفاتيح المستندة إلى RFID من علامة Saflok والتي تبيعها شركة Dormakaba السويسرية لصناعة الأقفال. يتم تركيب أنظمة Saflok على 3 ملايين باب حول العالم، داخل 13000 عقار في 131 دولة.

من خلال استغلال نقاط الضعف في تشفير Dormakaba ونظام RFID الأساسي الذي تستخدمه Dormakaba، والمعروف باسم MIFARE Classic، أظهر كارول وWouters مدى سهولة فتح قفل بطاقة المفاتيح Saflok. يبدأ أسلوبهم بالحصول على أي بطاقة مفتاح من فندق مستهدف - على سبيل المثال، عن طريق حجز غرفة هناك أو الحصول على بطاقة مفتاح من صندوق البطاقات المستخدمة - ثم قراءة رمز معين من تلك البطاقة باستخدام جهاز قراءة وكتابة RFID بقيمة 300 دولار، وأخيرًا كتابة بطاقتي مفاتيح خاصة بهم. عندما ينقرون فقط على هاتين البطاقتين على القفل، تعيد الأولى كتابة جزء معين من بيانات القفل، وتفتحه الثانية.

يقول ووترز، الباحث في مجموعة أمن الكمبيوتر والتشفير الصناعي بجامعة KU Leuven في بلجيكا: "نقرتان سريعتان وسنفتح الباب". "وهذا يعمل على كل باب في الفندق."

تقول Dormakaba إنها تعمل منذ أوائل العام الماضي لجعل الفنادق التي تستخدم Saflok على علم بذلك. عيوبهم الأمنية ومساعدتهم على إصلاح أو استبدال الأقفال الضعيفة. بالنسبة للعديد من أنظمة Saflok التي تم بيعها في السنوات الثماني الماضية، لا يلزم استبدال الأجهزة لكل قفل على حدة. وبدلاً من ذلك، لن تحتاج الفنادق إلا إلى تحديث أو استبدال نظام إدارة مكتب الاستقبال والاستعانة بفني لإجراء إعادة برمجة سريعة نسبيًا لكل قفل، بابًا بعد باب.

يقول ووترز وكارول إن دورماكابا أخبرهما أنه اعتبارًا من هذا الشهر، تم تحديث 36 بالمائة فقط من Safloks المثبتة. ونظرًا لأن الأقفال غير متصلة بالإنترنت وأن بعض الأقفال القديمة ستظل بحاجة إلى ترقية الأجهزة، فإنهم يقولون إن الإصلاح الكامل من المحتمل أن يستغرق أشهرًا أطول ليتم نشره، على أقل تقدير. قد تستغرق بعض التركيبات القديمة سنوات.

"لقد عملنا بشكل وثيق مع شركائنا لتحديد وتنفيذ التخفيف الفوري لهذه الثغرة الأمنية، إلى جانب حل طويل الأجل"، كتب دورماكابا لمجلة WIRED في بيان، على الرغم من رفضه تقديم تفاصيل حول ماهية هذا "التخفيف الفوري". "يأخذ عملاؤنا وشركاؤنا الأمن على محمل الجد، ونحن واثقون من أنه سيتم اتخاذ جميع الخطوات المعقولة لمعالجة هذه المسألة بطريقة مسؤولة."

تتضمن تقنية اختراق أقفال دورماكابا التي اكتشفها فريق بحث ووترز وكارول نوعين متميزين من نقاط الضعف: أحدهما يسمح لهم بالكتابة على بطاقات المفاتيح الخاصة به، والآخر يسمح لهم بمعرفة البيانات التي يجب كتابتها على البطاقات لخداع Saflok بنجاح قفل في الافتتاح. عندما قاموا بتحليل بطاقات المفاتيح Saflok، رأوا أنهم يستخدمون نظام MIFARE Classic RFID، المعروف منذ أكثر من عقد من الزمان بوجود ثغرات أمنية تسمح للمتسللين بالكتابة على بطاقات المفاتيح، على الرغم من أن عملية القوة الغاشمة يمكن أن تستغرق ما يصل إلى 20 ثانية . ثم قاموا بفك جزء من نظام التشفير الخاص بـ Dormakaba، ما يسمى بوظيفة الاشتقاق الرئيسية، والتي سمحت لهم بالكتابة على بطاقاته بشكل أسرع بكثير. باستخدام أي من هذه الحيل، يمكن للباحثين بعد ذلك نسخ بطاقة مفاتيح Saflok حسب الرغبة، ولكن لا يزالون غير قادرين على إنشاء واحدة لغرفة مختلفة.

تطلبت الخطوة الأكثر أهمية التي قام بها الباحثون الحصول على أحد أجهزة برمجة الأقفال التي توزعها شركة Dormakaba على الفنادق، بالإضافة إلى نسخة من برنامج مكتب الاستقبال الخاص بها لإدارة بطاقات المفاتيح. من خلال الهندسة العكسية لهذا البرنامج، تمكنوا من فهم جميع البيانات المخزنة على البطاقات، وسحب رمز ملكية فندق بالإضافة إلى رمز لكل غرفة على حدة، ثم إنشاء قيمهم الخاصة وتشفيرها تمامًا كما يفعل نظام دورماكابا، مما يسمح بذلك لهم لتزوير مفتاح رئيسي عامل يفتح أي غرفة في العقار. يقول ووترز: "يمكنك إنشاء بطاقة تبدو حقًا كما لو تم إنشاؤها بواسطة برنامج من Dormakaba، بشكل أساسي".

وكيف حصل كارول وووترز على برنامج مكتب الاستقبال في دورماكابا؟ يقول ووترز: "لقد سألنا بعض الأشخاص بلطف". "يفترض المصنعون أن أحدًا لن يبيع معداتهم على موقع eBay، وأن أحدًا لن يصنع نسخة من برامجهم، وأعتقد أن الجميع يعلم أن هذه الافتراضات ليست صحيحة حقًا".

بمجرد أن أداروا كل هذا العمل الهندسي العكسي، يمكن تنفيذ النسخة النهائية من هجومهم باستخدام جهاز قراءة وكتابة Proxmark RFID بقيمة 300 دولار فقط وبضع بطاقات RFID فارغة، أو هاتف Android، أو راديو Flipper Zero. أداة القرصنة.
أكبر تحذير بشأن تقنية Unsaflok التي يستخدمها المتسللون هو أنها لا تزال تتطلب أن يكون لديهم بطاقة مفتاح - حتى لو كانت منتهية الصلاحية - لغرفة في مكان ما في نفس الفندق الذي توجد فيه الغرفة التي يستهدفونها. وذلك لأن كل بطاقة تحتوي على رمز خاص بالملكية يحتاجون إلى قراءته ثم تكراره على بطاقتهم المخادعة، بالإضافة إلى رمز خاص بالغرفة.

بمجرد حصولهم على رمز الخاصية هذا، تتطلب التقنية أيضًا استخدام جهاز قراءة وكتابة RFID لكتابة بطاقتين - بطاقة واحدة تعيد برمجة قفل الهدف بالإضافة إلى البطاقة المزيفة الثانية التي تفتحه. (يقول الباحثون إنه يمكن أيضًا استخدام هاتف Android أو Flipper Zero لإصدار إشارة تلو الأخرى بدلاً من البطاقتين.) ويشير الباحثون إلى أن البطاقة الأولى تسمح لهم بفتح غرفة مستهدفة دون تخمين معرفها الفريد في الغرفة. نظام الفندق، لكنه رفض أن يذكر بالضبط ما تفعله تلك البطاقة الأولى. إنهم يحتفظون بهذا العنصر من التقنية بسرية لتجنب إعطاء مجموعة من التعليمات الواضحة جدًا للمتسللين أو اللصوص المحتملين.

على النقيض من ذلك، قدم أحد الباحثين الأمنيين اختراقًا مشابهًا لبطاقات المفاتيح الخاصة بالفنادق، والذي فتح الأقفال التي باعتها شركة Onity في مؤتمر Black Hat في عام 2012 دون أي تشويش من هذا القبيل، وسمح لأي متسلل ببناء جهاز يفتح أيًا من أقفال Onity البالغ عددها 10 ملايين قفل في جميع أنحاء العالم. عندما رفضت شركة Onity دفع تكاليف ترقيات الأجهزة اللازمة لحل المشكلة وبدلاً من ذلك ألقت العبء على عملائها، ظلت المشكلة دون حل في العديد من الفنادق - وتم استغلالها في نهاية المطاف في موجة سطو عبر البلاد قام بها هاكر واحد على الأقل.

يقول كارول وووترز إنهما يحاولان تجنب هذا السيناريو من خلال اتباع نهج أكثر حذرًا، مع الاستمرار في تحذير الجمهور بشأن أسلوبهما، نظرًا لأن مئات العقارات من المرجح أن تظل عرضة له حتى الآن بعد أن عرضت دورماكابا إصلاحها. يقول كارول: "نحن نحاول إيجاد حل وسط لمساعدة دورماكابا على إصلاحه بسرعة، ولكن أيضًا إخبار الضيوف عنه". "إذا قام شخص آخر بعكس هندسة هذا اليوم وبدأ في استغلاله قبل أن يدرك الناس ذلك، فقد يكون ذلك بمثابة مشكلة أكبر."

ولتحقيق هذه الغاية، يشير كارول وووترز إلى أن نزلاء الفندق يمكنهم التعرف على الأقفال الضعيفة في أغلب الأحيان - ولكن ليس دائمًا - من خلال تصميمها المميز: قارئ RFID مستدير مع خط متموج يقطعه. يقترحون أنه إذا كان لدى نزلاء الفندق جهاز Saflok على أبوابهم، فيمكنهم تحديد ما إذا كان قد تم تحديثه عن طريق التحقق من بطاقة المفاتيح الخاصة بهم باستخدام تطبيق NFC Taginfo من NXP، المتوفر لنظام iOS أو Android. إذا تم تصنيع القفل بواسطة Dormakaba، وأظهر هذا التطبيق أن بطاقة المفاتيح لا تزال بطاقة MIFARE Classic، فمن المحتمل أنها لا تزال معرضة للخطر.

إذا كان الأمر كذلك، كما يقول الباحثان، فليس هناك الكثير مما يمكنك فعله سوى تجنب ترك الأشياء الثمينة في الغرفة، وعندما تكون بالداخل، قم بربط السلسلة على الباب. ويحذرون من أن القفل الموجود في الغرفة يتم التحكم فيه أيضًا بواسطة قفل بطاقة المفاتيح، لذا فهو لا يوفر حماية إضافية. يقول كارول: "إذا قام شخص ما بقفل المزلاج، فهو لا يزال غير محمي".

حتى بدون حل مثالي أو مطبق بالكامل، يرى ووترز وكارول أنه من الأفضل لنزلاء الفندق أن يعرفوا المخاطر بدلاً من أن يكون لديهم شعور زائف بالخطر.