27 noviembre 2012

Sobre hackers, hoteles y puertas

Seguro que has visto una cerradura como la de la foto en la puerta de tu hotel un montón de veces: es el modelo HT24 fabricado por Onity, y está instalado en más de cuatro millones de habitaciones en hoteles de todo el mundo. Además de por su forma, la reconocerás porque en la parte inferior tiene un pequeño orificio para un jack de los que suelen usarse para corriente eléctrica, pero que en este caso se utiliza para datos.

El pasado 24 de julio, en la conferencia de seguridad Black Hat, Cody Brocious, investigador de seguridad e ingeniero de software en Mozilla, presentó un paper con una importante vulnerabilidad asociada con esa cerradura. El llamado lock picking es una tradición en las comunidades hacker desde el inicio de los tiempos, cuando se utilizaba en las universidades para abrir despachos de profesores. El paper de Brocious detalla cómo construir y operar un dispositivo relativamente sencillo basado en una plataforma Arduino que permite, al ser enchufado al conector inferior de la cerradura Onity HT24, abrirla de manera tan inmediata como vemos en este vídeo:

 

 

¿Reacción del fabricante de las cerraduras al enterarse de la publicación del paper? Precisamente lo que jamás hay que hacer ante una comunidad hackerquitarle importancia proclamando que el método era poco fiable y de desarrollo muy complejo. La ética hacker habitual suele ofrecer primero las vulnerabilidades descubiertas para propiciar que sean arregladas, pero si encuentran al otro lado reacciones como desprecio o amenazas, las hacen públicas. En la adecuada comprensión de esta ética hacker está el que para tu empresa, los hackers funcionen como un sistema de alerta temprana o como una auténtica pesadilla.

En este caso, la elección fue clara: tras la publicación de la nota y la poco satisfactoria propuesta de solución ofrecida por al compañía, que pretende además que el necesario arreglo sea costeado por los propietarios de los hoteles, aparecieron en YouTube varios vídeos mostrando cómo construir y operar el dispositivo, y personas que refinaron el mismo hasta ser capaces de empaquetarlo en una carcasa de iPhone o incluso en un rotulador de pizarra. Y, lógicamente, en poco tiempo, lo que tenía que ocurrir: los primeros casos de robos en habitaciones de hotel llevados presuntamente a cabo según este método.

¿Lecciones? La primera y evidente, que en un mundo basado en bits, la circulación de los mismos resulta muy difícil o imposible de detener. Una cerradura que se abre con bits, y una vulnerabilidad de la misma esparcida a través de la red, con un alcance ilimitado y que tampoco puede ser frenado. Hace años, cuando un nuevo modelo de automóvil salía al mercado y aparecía un método para abrirlo, la información circulaba por “los bajos fondos” de manera discreta entre “iniciados”, mientras algunos se iban aprovechando de ella. Hoy, aparece en un vídeo en YouTube, al alcance de todo el mundo: como usuario, ¿qué opción prefieres?. La segunda derivada, la importancia de la relación con las comunidades hacker que rodean a tu producto. En este caso, nada como trabajar directamente con quien descubre la vulnerabilidad para intentar poner coto a la misma, otorgando al tema la adecuada importancia, sin ser desafiante o arrogante, y sin provocar reacciones adversas. Y la tercera, que si llegas a tu hotel y ves que la cerradura es como esta… no dejes según qué cosas en la habitación (ni siquiera en la caja fuerte, o al menos, ya por terminar de fastidiar, comprueba antes si no se abre con una contraseña obvia por defecto como ocurre en muchos casos)…



(Enlace a la entrada original - Licencia)

0 comentarios:

Publicar un comentario

ATENCIÓN: Google ha metido en Blogger un sistema antispam automático que clasifica como spam casi lo que le da la gana y que no se puede desactivar.

Si después de hacer tu comentario este no aparece, no se trata del espíritu de Dans que anda censurando también aquí, es que se ha quedado en la cola de aceptación. Sacaré tu mensaje de ahí tan pronto como pueda, si bien el supersistema este tampoco me avisa de estas cosas, por lo que tengo que estar entrando cada cierto tiempo a ver si hay alguno esperando. Un inventazo, vaya.