Quando scopri che il tuo lucchetto per bici Kryptonite può essere aperto con una penna Bic o che un bug in Java consente a siti Web dannosi di impossessarsi del tuo computer, la correzione è nelle tue mani: invii il lucchetto per una sostituzione o disabiliti Java nel tuo browser.
Ma da quando un hacker ha dimostrato la scorsa estate che le serrature keycard che proteggono quattro milioni di porte di camere d’albergo in tutto il mondo potrebbero essere aperte senza sforzo in pochi secondi con un dispositivo digitale fatto in casa che costa meno di $50, mantenersi al sicuro da coloro che sfrutterebbero quel difetto non è stato così semplice. Gli hotel, non i consumatori, devono essere affidati per gestire i loro sistemi di sicurezza vulnerabili. E Onity, il creatore di quelle serrature ultra-comuni, inizialmente ha minimizzato la minaccia, ha cancellato le informazioni sull’hack dal suo sito Web e sta addebitando ai suoi clienti dell’hotel l’hardware di sostituzione necessario per una correzione completa.
Ora è chiaro che l’attacco non è più teorico: almeno un gruppo di hotel a Houston è stato colpito da una serie di effrazioni a settembre che hanno utilizzato il dispositivo di apertura della serratura per rubare oggetti di valore dalle camere degli ospiti, come ho riportato lunedì.
Da quando ho iniziato a scavare in questa storia a luglio, i lettori hanno chiesto cosa possono fare per proteggere se stessi e i loro beni quando soggiornano in un hotel usando le serrature di Onity. Così mi sono rivolto per un consiglio a Cody Brocious, l’hacker che per primo ha portato questa vulnerabilità alla luce, così come altri che hanno rintracciato questo pasticcio di sicurezza. Ecco i loro consigli.
1. Chiedi all’hotel se hanno implementato la correzione di Onity. Onity offre ai suoi clienti tappi di plastica gratuiti per coprire la porta vulnerabile sul fondo delle loro serrature, che può essere rimossa solo aprendo la custodia delle serrature con un cacciavite. E per quegli hotel disposti a sborsare per una soluzione completa, Onity offre anche circuiti di sostituzione che non sono vulnerabili all’attacco di Brocious. Non è chiaro, tuttavia, quanti alberghi hanno messo una di queste correzioni in atto–o sono anche a conoscenza di loro. Chiamare la direzione dell’hotel prima del tuo soggiorno per chiedere quali serrature usano e se hanno implementato le nuove misure di Onity ti darà un senso della loro sicurezza e li aiuterà a spingerli verso la protezione delle loro serrature se non l’hanno già fatto.
2. Utilizzare il bullone della porta o la catena. Questo è l’ovvio: il bullone di aggancio sopra la serratura della porta rende irrilevante l’attacco alle serrature di Onity, almeno quando sei nella stanza. Non dipendere, tuttavia, dal solo catenaccio, che in molti casi fa parte del meccanismo della serratura della chiave e può essere aperto con lo strumento di hacking di Brocious.
3. Usa la cassaforte. Se la vostra camera ha una cassaforte, mettere i vostri oggetti di valore in esso quando si lascia. Anche se Brocious avverte che quelle casseforti possono avere le proprie falle di sicurezza–alcuni sono anche costruiti da Onity–probabilmente fornirebbero abbastanza di una barriera a qualsiasi ladro che lui o lei passerebbe alla stanza successiva, invece.
4. Utilizzare nastro antimanomissione. Si può essere tentati di attaccare un batuffolo di gomma da masticare nel porto sul fondo delle serrature di Onity. Ma Brocious suggerisce un metodo meno dannoso per impedire ai ladri di accedere alle viscere della serratura: Porta il tuo rotolo di nastro antimanomissione come questo e lascia una striscia sul fondo della serratura. In realtà non impedirà a qualcuno di usare la porta, ma ti darà un avvertimento se qualcuno lo ha fatto. I ladri potrebbero preferire di passare al prossimo obiettivo, piuttosto che rischiare di lasciare dietro di sé un indizio che potrebbe avvisare un hotel di effrazioni.
5. Lascia i tuoi oggetti di valore alla reception, o non viaggiare con loro. Todd Seiders, direttore della gestione del rischio presso la compagnia di assicurazioni per l’ospitalità Petra Risk Solutions, ha monitorato l’imbroglio di Onity fin dall’inizio. Ma dice che è ancora molto più probabile che il personale delle pulizie di un hotel possa rubare i tuoi oggetti di valore che un hacker. Ciò significa che ogni camera d’albergo dovrebbe essere trattata come insicura, indipendentemente dalle serrature che utilizza. Quindi chiedi alla reception di mettere quel Rolex o un cimelio di famiglia nella loro cassaforte. O meglio ancora, lascialo a casa.
—
Seguitemi su Twitter, e controllare il mio nuovo libro, Questa macchina uccide segreti: Come WikiLeakers, Cypherpunks e Hacktivists mirano a liberare le informazioni del mondo.
Vedi anche:
