RFID-Master-Key öffnet nahezu alle Hoteltüren

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.954
rfid.jpg
Jede moderne Technologie enthält sicherheitsrelevante Aspekte. Dies gilt für Schließsysteme natürlich ungleich mehr und umso verständlicher ist das Unbehagen vieler Menschen App- oder RFID-basierter Systeme gegenüber. Hoteltüren lassen sich seit geraumer Zeit per RFID-Karte öffnen und nicht selten vertrauen Besucher des Hotels auch darauf, dass diese Systeme sicher sind – oft liegen Wertsachen offen im Zimmer.Nun besitzt jedes Sicherheitssysteme eine Möglichkeit, umgangen zu werden. Offen ist nur die Frage nach der technischen Hürde. Sicherheitsforscher von F-Secure haben sich ein weit verbreitetes System vom Hersteller Assa Abloy nun genauer angeschaut. Assa Abloy hat große...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Lücke nicht zu veröffentlichen, ist fahrlässig. Erst wenn es bei größeren Hotelketten zu Image oder Geldschaden kommt, wird auch was passieren.

So bleiben mit Sicherheit sehr viele Systeme einfach ungepatcht, schlicht und ergreifend weil es billiger ist und das Problem der breiten Öffentlichkeit eh nicht bekannt ist.
 
Ach was fürn image schaden soll schon kommen?
Jedes System kann umgangen werden. Das ist hinlänglich bekannt.
Das mit dem Master key ist relativ neu. Das Kopieren von rfid karten dagegen ist schon ein alter Hut.

Btw. man weiss ja wer betroffen ist. Was spielt es da für eine Rolle ob die Methode veröffentlicht wird?

Des weiteren lässt man Wertsachen in Hotels weniger wegen externen Dieben nicht offen rumliegen, sondern schon wegen der Putzkollonne...
 
...

Eigentlich überrascht mich bei deinen Posts nichts mehr.
Was für ein Imageschaden soll schon passieren, wenn z.B. eine Hotelkette mal 200 Zimmer ausgeräumt bekommt?
Na keiner! Ist doch klar, weiß ja "jede" DragonTear.

Sprüche wie "Jedes System kann umgangen werden." sind solch dämliche Totschlagargumente, dass ich lieber mein Brötchen weiter esse, als darauf noch ernsthaft einzugehen.

Schönen Abend noch und gute Nacht. :)

EDIT:
Golem News noch dazu, mit einigen Zitaten:

Ving Card: Sicherheitslren gefunden - Golem.de
 
Zuletzt bearbeitet:
Hä? Du willst allen erstes absichtlich das Wissen den Ver*brechern geben grade damit die Hotels leiden? o_O
Du bist kein Freund des Konzeptes von Ordnung und Recht in der Gesellschaft, huh?


Ein Imageschaden ala "sie haben potentiell knackbare Software" haben sie ja schon, wenn das die Leute wirklich interessieren würde.
Etwas weiter führendes zu wollen kann nur Boshaftigkeit sein.

Des weiteren könnten 200 Zimmer auch mit der Brechstange ausgeräumt werden.


Und immer schön persönlich werden...
 
Zuletzt bearbeitet:
Naja ob ich mit einer Karte durch die Flure Schlender und einfach in ein Zimmer gehe fällt nun doch weniger auf, als wenn ich mit einer Brechstange an der Tür rumdoktor.

Ich verstehe nicht warum das System überhaupt mit einen abgelaufenen Key ansprechen lässt. Ich denke wenn die Hotels darauf aufmerksam gemacht werden wie leicht man hinter das System kommt, werden die auch das Update einspielen.
 
@Tresel: Wie genau der Angriff geht, wurde nicht verraten. Ich gehe mal davon aus, dass der bestehende Chip (ob abgelaufen oder nicht) einfach nur verwendet wird, um mit dem System zu kommunizieren und dann den Masterkey rauszufinden.
Dass die Hotels da nachbessern, wenn sie wissen, dass es ein Problem gibt, bezweifel ich mal stark. Jahrelange Erfahrung hat doch gezeigt, dass (vor allem Nicht-IT-) Unternehmen größtenteils einen Dreck auf die Sicherheit ihrer Systeme geben und vor allem keine Probleme beheben, von denen sie denken, dass die doch eh kaum bekannt sind. Der Standard-Manager liest auch keine Seiten wie Hardwareluxx, Golem, Heise oder so. Wenn in der Tagesschau nichts darüber kommt, existiert es auch nicht. (Überspitzt formuliert. ;) )

@DragonTear: "Hä? Du willst allen erstes absichtlich das Wissen den Ver*brechern geben grade damit die Hotels leiden? o_O" << ja, genau das muss man machen. Ist um genau zu sein auch der Standard-Vorgang bei wichtigen Sicherheitsproblemen. Dem Unternehmen wird genannt, was das Problem ist und wie der Angriff funktioniert. Danach gibt es ein Frist, ab wann der Angriff veröffentlicht wird. Dadurch werden die Unternehmen gezwungen, etwas gegen das Problem zu unternehmen.
Anders kommt man gegen die Unlust, Sicherheitsprobleme zu beheben, einfach nicht an. Das hat sich in Jahren gezeigt. Mit Geheimhaltung von Problemen löst man diese nicht und gibt echten Ver-brechern sogar noch die Chance, selber auf den Angriff zu kommen. Man macht das Problem damit sogar schlimmer, weil in dem Fall die Unternehmen nicht mal wissen, dass ihre Systeme geknackt werden. Wenn man die Angriffe veröffentlicht, müssen sie aber davon ausgehen.

Bezüglich des Kommentars von Mr.Mito: Wenn alle Beiträge hier anonym wären, könnte ich trotzdem zu geschätzt 80% Erfolgschance die Beiträge von DragonTear erkennen. ^^
 
Ich denke die Firma Assa Abloy wird ihre Kunden darüber informieren. Je nachdem ob das Update kostenlos ist oder kostet werden die Manager dann doch genau überlegen was sie machen sollten.
 
Ich denke die Firma Assa Abloy wird ihre Kunden darüber informieren. Je nachdem ob das Update kostenlos ist oder kostet werden die Manager dann doch genau überlegen was sie machen sollten.

Da wird gar nichts passieren. Die Gefahr das System beim Update zu zerschießen und wütende Künden zu haben wird größer sein, als ein kaum bekanntes Diebstahlproblem zu lösen. Vor allem weil es für letzteres auch Versicherungen gibt. Solange das nicht massenhaft ausgeführt wird, werden die wenigsten Wald- und Wiesenhotels was ändern, gerade auch, weil sie ohnehin keine Fachkräfte dafür haben. Man müsste schon Experten hinzuziehen, was noch mehr Geld kostet.
 
Eigentlich überrascht mich bei deinen Posts nichts mehr.


Sagt Mr "Ich will das die Sicherheit der Kunden an oberster Stelle steht, also bin ich dafür das alle Kunden beklaut werden".... Hast du eigentlich ne Sekunde nachgedacht bevor Du deine Posts verfasst hast? :wall:
 
Da wird gar nichts passieren. Die Gefahr das System beim Update zu zerschießen und wütende Künden zu haben wird größer sein, als ein kaum bekanntes Diebstahlproblem zu lösen. Vor allem weil es für letzteres auch Versicherungen gibt.

Wenn du von einer Sicherheitslücke weißt, sie aber nicht behebst, dann ist das grob fahrlässig. Da haftet keine Versicherung.
 
Wenn du von einer Sicherheitslücke weißt, sie aber nicht behebst, dann ist das grob fahrlässig. Da haftet keine Versicherung.

Das glaubst du. O-Ton von jemanden der bei einer Versicherung solche Fälle bearbeitet: "Solange die Tür verschlossen war, wird bezahlt". Solange es nicht statistisch auffällig wird, ist es für Versicherungen ohnehin günstiger zu bezahlen, als das ganze erst zu untersuchen.

Solange die Versicherungen nicht druck machen, passiert nichts. Das muss erstmal zu einem Problem werden, bevor das flächendeckend was passiert. Du kannst beispielsweise seit zig Jahren nahezu jedes per Funk abschließbare Auto knacken, da passiert auch nichts. Weder Rückrufe mit Hardwareaustausch von den Autoherstellern noch verweigerte Versicherungszahlungen.

Zum Sachverhalt: Wenn IT-Sicherheitsexperten hier erst 10 Jahre analysieren müssen, um einen Angriff ausführen zu können spricht das eher für das System, als dagegen. Die meisten Systeme überleben da den ersten Monat nicht.
 
Es ist so.

Ein Bekannter hatte ein Problem mit seinem Keller. Der Vermieter hat das Fenster nicht gewechselt, obwohl er wusste, dass es sich von außen öffnen lässt.

Es ist eingebrochen worden.
Die Polizei war da, hat einen Bericht gemacht, der ging zur Hausrat vom Kumpel.
Die hat nicht gezahlt.

Der Kumpel hat gegen den Vermieter geklagt den Schaden ersetzt bekommen.


Ich habe das Spiel im Bekanntenkreis jetzt mehrfach durch.
Defekt melden, wenn nicht reagiert wird, Schaden melden.
Der Verantwortliche musste bislang immer zahlen.
 
Bei sowas spielt oft die Zumutbarkeit eine Rolle. Sowohl vor dem Gesetz als auch im Vertrag mit der Versicherung.
Ein 200€ Fenster zu ersetzen, um ein paar Tausend Euro Schaden im Einbruchsfall abzuwehren ist zumutbar.
>100k in Hotelltüren updates nur um im Jahr den Diebstahl von 2-3 Laptops abzuwehren dagegen, ist nicht unbedingt so zumutbar (also im richtigen Kosten/Nutzen-Verhältniss) dass man vor dem Gesetz von Fahrlässigkeit sprechen könnte.
Eine Versicherung die einen zu solchem wirtschaftlichen Nonsense zu zwingen versucht, schliesst ein Hotel schlicht nicht ab weil es genug Konkurenten gibt.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh