Il tema della sicurezza dei dispositivi e delle reti IoT (Internet of Things) torna alle cronache con buona regolarità. È il caso anche dei rischi a cui possono essere esposte le serrature elettroniche, messe in discussione da Unsaflok, una tecnica approntata da un gruppo di hacker etici ingaggiato da una catena di hotel.
Unsaflok, ossia “unsafe lock” richiama anche le serrature RFID Saflok esposte a una serie di vulnerabilità e installate in oltre 13.000 tra hotel e abitazioni private in decine di Paesi al mondo. L’analisi svolta dagli hacker etici risale al mese di settembre del 2022 ma, alla fine del mese di marzo del 2024, soltanto un terzo delle serrature sono state aggiornate (il 36%), questo significa che ancora milioni di porte possono essere aperte da malintenzionati.
Per approfondire l’argomento ci siamo avvalsi della collaborazione di Salvatore Lombardo, esperto ICT e socio Clusit, autore di un articolo in cui ha sviscerato il problema.
Indice degli argomenti
Come funziona Unsaflok
La tecnica usata dai ricercatori è complessa, non è quindi replicabile da chicchessia. Occorre tenere presente che gli hacker si distinguono spesso per capacità e creatività: il fatto che una tecnica offensiva sia macchinosa non è garanzia di sicurezza.
Il collettivo white hat ha usato delle schede per aprire le serrature, un decodificatore e alcuni dati dell’hotel preso di mira. Occorre quindi entrare in possesso di una chiave elettronica e di dati specifici che la associano a un determinato hotel. La procedura estesa è stata illustrata dal collettivo medesimo sul sito unsaflok, creato al momento in cui la notizia è stata diffusa, ovvero alla fine del mese di marzo del 2024.
A seguire viene sfruttata una vulnerabilità del sistema di serrature per sovrascrivere le informazioni delle schede. Gli hacker etici hanno bypassato la crittografia delle schede riuscendo così a ottenerne di perfettamente funzionanti, in grado di aprire le serrature.
Va detto che, adeguandosi alla natura dimostrativa delle loro incursioni e per non favorire il cyber crimine, i white hat non rilasciano informazioni dettagliate sulle tecniche sviluppate per riuscire a violare un obiettivo.
Le serrature elettroniche sono sicure?
Qualsiasi dispositivo connesso a una rete può essere hackerato, il concetto di sicurezza è labile ed è proprio per questo che occorre tenere alta la guardia e non sottovalutare quelle criticità che possono apparire a basso tasso di incidenza e che, in qualche modo, possono sembrare non riguardarci da vicino.
Prudenza sempre, inutili allarmismi mai. Salvatore Lombardo spiega che: “Sebbene la dimostrazione del team di ricerca durante la conferenza sull’hacking a Las Vegas nel 2022 abbia sollevato serie preoccupazioni sul fatto che una tipologia di serrature elettroniche ampiamente impiegate nelle strutture alberghiere presentavano dei rischi per la sicurezza e la privacy degli ospiti, non bisogna comunque creare allarmismi. È importante sempre essere consapevoli dei rischi e adottare misure preventive, ma è altrettanto importante non diffondere paura o panico.
La maggior parte degli hotel si impegna a garantire la sicurezza dei propri ospiti e aggiorna regolarmente i propri sistemi di sicurezza per affrontare eventuali vulnerabilità.
Come ospite, è ragionevole aspettarsi che l’hotel fornisca un ambiente sicuro e protegga la privacy e qualora si abbiano preoccupazioni specifiche, è possibile sempre rivolgersi alla direzione dell’hotel per discutere sulle misure di sicurezza in atto. In generale, è bene rimanere informati e adottare un approccio equilibrato alla sicurezza, senza lasciarsi sopraffare dall’ansia o dalla paura.
È bene precisare, comunque, che il vendor in questione ha avviato azioni correttive per affrontare il problema, rilasciando delle patch di sicurezza per correggere le vulnerabilità nel firmware dei dispositivi. Tuttavia, è difficile stabilire se tutti gli hotel interessati abbiano aggiornato i propri sistemi”.
Come porre rimedio alle vulnerabilità
Ci sono rimedi e precauzioni da attuare. I rimedi in questo caso spettano soprattutto agli hotel, le precauzioni sono invece a carico anche degli ospiti.
Cominciamo dai rimedi suggeriti da Salvatore Lombardo: “Per proteggere le serrature elettroniche, possono essere adottate diverse misure di sicurezza:
- Aggiornamenti del firmware: è fondamentale che gli hotel aggiornino i firmware delle serrature per correggere le vulnerabilità note
- Monitoraggio e controllo: utilizzare sistemi che permettono di monitorare e controllare in tempo reale chi accede e a quali aree dell’hotel
- Serrature portatili o blocca porta: gli ospiti possono utilizzare dispositivi di sicurezza aggiuntivi come serrature portatili o blocca porta per una maggiore sicurezza
- Crittografia avanzata: scegliere serrature con tecnologia di crittografia avanzata per ridurre il rischio di duplicazione non autorizzata delle credenziali.
È importante che gli hotel rimangano informati sulle ultime scoperte in materia di sicurezza e che adottino le misure necessarie per proteggere la privacy e la sicurezza dei propri ospiti”, conclude Lombardo.
Infine, ognuno può controllare quanto è sicura la scheda che gli è stata consegnata alla reception di un hotel. L’app NFC Taginfo è gratuita e intuitiva e funziona sia su dispositivi Android sia su quelli con a bordo iOS.
