Quante volte ci è capitato di andare in albergo e di dover utilizzare le chiavi magnetiche per accedere alla stanza, con qualche dubbio sulla loro sicurezza?
Ora però è certificato da una ricerca finlandese: le chiavi magnetiche degli hotel non sono sicure. D’altronde nomi importanti della cyber security lo dicevano da tempo. La ricerca è stata attuata dalla F-Secure che produce antivirus e che non solo ha trovato la falla, ma ha anche risolto il caso di un furto avvenuto 15 anni fa.
Nel 2003, infatti, in un hotel di lusso a Berlino venne rubato un pc portatile dalla stanza di un esperto di sicurezza informatica. Il ladro non lasciò tracce e il caso non venne risolto. L’esperto di sicurezza era stato invitato a presentare una ricerca a una conferenza sulla cyber sicurezza e, sul palco, raccontò ciò che era accaduto. Tra il pubblico si trovavano anche Tomi Tuominen e Timo Hirvonen, i due informatici finlandesi autori della ricerca da poco pubblicata.
I due si chiesero come avesse fatto il ladro a non lasciare tracce e, da allora, hanno continuato a cercare una risposta. Timo Hirvonen ha raccontato: “Volevamo trovare il modo di entrare in quella stanza come aveva fatto il ladro”.
Oggi i due informatici sono cresciuti e sono due consulenti per la sicurezza di F-Secure. Tuominen ha 45 anni, Hirvonen 32 e hanno scoperto la vulnerabilità nelle serrature dell’azienda svedese Assa Abloy, un colosso al quale appartengono marchi noti come Yale e Vingcard. Di questa marca era proprio la serratura dell’hotel di Berlino.
La ricerca lunga anni ha mostrato che un hacker potrebbe creare una chiave “maestra” su quella serratura per aprire ogni porta dell’edificio semplicemente partendo da una carta magnetica e soprattutto senza che sia possibile ricostruirne i movimenti. Hirvonen ha aggiunto: “E non deve nemmeno essere una carta valida, può essere scaduta”.
Ciò significa che milioni di serrature di hotel sono a rischio sicurezza. O forse lo erano. In seguito alla ricerca e alla falla scoperta, F-Secure ha scoperto il problema un anno fa e ha poi aiutato Assa Abloy a sistemare il software.
A febbraio di quest’anno è stato reso disponibile un aggiornamento che dovrebbe aver sistemato la falla. Il sistema Vision by Vingcard interessato dalla falla è stato lanciato circa 20 anni fa. Se tanti hotel lo hanno sostituito con modelli più nuovi, si pensa che sia ancora in uso in molti alberghi in tutto il mondo.
“Consigliamo agli alberghi di installare l’aggiornamento “, ha dichiarato Hirvonen. “Non penso ci sia una minaccia immediata, per riuscire a creare una chiave maestra serve tempo e servono capacità tecniche, ma è meglio non correre rischi”. Ha continuato: “Non si può realmente conoscere il grado di impenetrabilità di un sistema. A meno che qualcuno non abbia davvero provato a forzarlo”. Dopo 15 anni, Tomi e Timo ci sono riusciti.
