Avui publiquem al blog una entrada diferent: recollim una història singular que pensem que pot ajudar a reflexionar sobre alguns aspectes de la seguretat i de la qual podem obtenir alguns aprenentatges.

L’any 2012, l’analista de seguretat Cody Brocious va descobrir una vulnerabilitat que afectava els panys electrònics de la marca Onity, instal·lats a les portes de multitud d’hotels d’arreu del món, i va crear un petit dispositiu portàtil amb el qual es podien arribar a obrir 10 milions de portes d’hotel.

La troballa, a més de ser comunicada a l’empresa, va ser difosa en fòrums especialitzats en hackers i seguretat informàtica, i algun mitjà de comunicació com ara el periodista Andy Greenberg, de la revista Forbes se’n va fer ressò. Malgrat aquestes comunicacions i que a internet es van replicar demostracions sobre diferents dispositius, cada vegada més petits, que eren capaços d’aprofitar aquesta vulnerabilitat, l’empresa va trigar a reaccionar i molts hotels no van voler canviar els panys que havien esdevinguts insegurs.

Aaron Cashatt, un jove d’Arizona amb problemes amb les drogues, una breu carrera criminal i coneixements d’informàtica i electrònica, va veure un programa de televisió en què s’explicava com piratejar els panys de les habitacions d’hotel. L’estiu del 2012, amb una inversió d’uns 50 dòlars, va poder replicar el dispositiu i ho va provar en un hotel, d’on va sostreure unes quantes tovalloles. Veient-ne l’efectivitat, va anar perfeccionant els seus cops, augmentant el valor dels objectes sostrets primer, televisors i equipaments de les habitacions i, més endavant, pertinences de les persones allotjades i perfeccionant l’eina que li permetia accedir a les habitacions sense deixar rastre. Durant més d’un any, les autoritats policials d’Arizona i d’altres estats veïns com Ohio o Califòrnia van estar perseguint un fantasma que entrava a les habitacions d’hotel sense deixar rastre. I, malgrat haver estat detingut i breument empresonat per delictes anteriors, no va ser fins l’estiu del 2013 que el van poder relacionar amb els prop de 100 delictes que havia comès durant aquell temps, i finalment va acabar detingut, condemnat i empresonat per aquests robatoris a hotels.

Greenberg va publicar a la revista Wired la història de Cashatt l’estiu del 2017 i, malgrat que no tenia coneixements d’informàtica, va poder replicar també l’eina ideada per Brocious. Va intentar fer servir el dispositiu en quatre hotels diferents s’hi allotjava a les habitacions que intentava forçar per evitar cometre cap delicte i, sorprenentment, després de cinc anys que es conegués la vulnerabilitat dels panys Onity, el dispositiu li va funcionar en una de les habitacions.

Aquesta història ens permet reflexionar, entre d’altres, sobre alguns aspectes:

• La multitud d’actors amb responsabilitat sobre la seguretat: en aquest cas, policia, hotels, fabricants de panys… i pirates informàtics que descobreixen la vulnerabilitat.
• La importància d’implementar mesures un cop es descobreixen les vulnerabilitats. Cashatt va estar un any explotant la vulnerabilitat descoberta per Brocious i Greenberg va demostrar que, cinc anys més tard, encara suposava un risc per als establiments que no havien canviat ni actualitzat els panys.
• La necessitat de seguir les informacions relacionades amb la seguretat. Malgrat que s’havia comunicat públicament i difós pels mitjans de comunicació, els cossos policials no van descobrir el modus operandi de Cashatt fins que el van detenir i li van trobar els dispositius que feia servir per entrar a les habitacions.

_____

Esta entrada en español / This post in English / Post en français