Seguro que has visto una cerradura como la de la foto en la puerta de tu hotel un montón de veces: es el modelo HT24 fabricado por Onity, y está instalado en más de cuatro millones de habitaciones en hoteles de todo el mundo. Además de por su forma, la reconocerás porque en la parte inferior tiene un pequeño orificio para un jack de los que suelen usarse para corriente eléctrica, pero que en este caso se utiliza para datos.
El pasado 24 de julio, en la conferencia de seguridad Black Hat, Cody Brocious, investigador de seguridad e ingeniero de software en Mozilla, presentó un paper con una importante vulnerabilidad asociada con esa cerradura. El llamado «lock picking« es una tradición en las comunidades hacker desde el inicio de los tiempos, cuando se utilizaba en las universidades para abrir despachos de profesores. El paper de Brocious detalla cómo construir y operar un dispositivo relativamente sencillo basado en una plataforma Arduino que permite, al ser enchufado al conector inferior de la cerradura Onity HT24, abrirla de manera tan inmediata como vemos en este vídeo:
¿Reacción del fabricante de las cerraduras al enterarse de la publicación del paper? Precisamente lo que jamás hay que hacer ante una comunidad hacker: quitarle importancia proclamando que el método era poco fiable y de desarrollo muy complejo. La ética hacker habitual suele ofrecer primero las vulnerabilidades descubiertas para propiciar que sean arregladas, pero si encuentran al otro lado reacciones como desprecio o amenazas, las hacen públicas. En la adecuada comprensión de esta ética hacker está el que para tu empresa, los hackers funcionen como un sistema de alerta temprana o como una auténtica pesadilla.
En este caso, la elección fue clara: tras la publicación de la nota y la poco satisfactoria propuesta de solución ofrecida por al compañía, que pretende además que el necesario arreglo sea costeado por los propietarios de los hoteles, aparecieron en YouTube varios vídeos mostrando cómo construir y operar el dispositivo, y personas que refinaron el mismo hasta ser capaces de empaquetarlo en una carcasa de iPhone o incluso en un rotulador de pizarra. Y, lógicamente, en poco tiempo, lo que tenía que ocurrir: los primeros casos de robos en habitaciones de hotel llevados presuntamente a cabo según este método.
¿Lecciones? La primera y evidente, que en un mundo basado en bits, la circulación de los mismos resulta muy difícil o imposible de detener. Una cerradura que se abre con bits, y una vulnerabilidad de la misma esparcida a través de la red, con un alcance ilimitado y que tampoco puede ser frenado. Hace años, cuando un nuevo modelo de automóvil salía al mercado y aparecía un método para abrirlo, la información circulaba por «los bajos fondos» de manera discreta entre «iniciados», mientras algunos se iban aprovechando de ella. Hoy, aparece en un vídeo en YouTube, al alcance de todo el mundo: como usuario, ¿qué opción prefieres?. La segunda derivada, la importancia de la relación con las comunidades hacker que rodean a tu producto. En este caso, nada como trabajar directamente con quien descubre la vulnerabilidad para intentar poner coto a la misma, otorgando al tema la adecuada importancia, sin ser desafiante o arrogante, y sin provocar reacciones adversas. Y la tercera, que si llegas a tu hotel y ves que la cerradura es como esta… no dejes según qué cosas en la habitación (ni siquiera en la caja fuerte, o al menos, ya por terminar de fastidiar, comprueba antes si no se abre con una contraseña obvia por defecto como ocurre en muchos casos)…
Como ya he dicho en otras ocasiones, además de en el IE como profesor, trabajo en la mayor empresa del mundo fabricante y distribuidor de sistemas de seguridad (no instalamos, solo vendemos a las empresas de seguridad).
Los sistemas perfectos no existen, porque mientras exista hambre (lo digo por la broma del ingenio) siempre habrá sistemas para burlarlos. Y ojo, no solo físicos, hay otras formas mejores «ingeniosas» (pensamiento lateral) para robar sin necesidad de tecnología. Todos conocemos casos de como entran en museos durante el día y se llevan el cuadro debajo del brazo….
Dicho esto, es cierto que la «ocasión hace al ladrón» y cuanto mas difícil se ponga menos probabilidad existe. Por este motivo, todo lo referente a las cámaras de seguridad situadas en miles de sitios, es el mejor sistema para seguir el rastro de cualquier cosa que suceda «en caso de delito» (repito, en caso de delito).
Finalmente coincido contigo que es una suerte que de forma gratuita gente se dedique a contactar contigo para decirte cuales son tus fallos en tus productos. Esto las empresas deberían de utilizarlo y no atacar a la persona, pero ya sabes las empresas están llenas de gente que no se enteran en que mundo viven.
Está muy bien hablar de ética hacker, pero entonces deberías ilustrarlo con otro caso que no sea este, porque a) en ningún momento contactó con la empresa fabricante, y b) mucho antes de exponer públicamente su hack, había vendido los detalles por 20.000$.
Gran ética, sí señor.
Hoy en día todo y todos tienen un precio, nos guste o no. Los hackers incluidos, ya no se hacen las cosas «por amor al arte»
La verdad es que no aprendemos, son innumerables los casos de empresas que hacen una mala gestión de la comunicación en momentos de «crisis», me viene a la cabeza el caso de nestle cuando borraba los comentarios de seguidores en facebook porque apoyaban la campaña de greenpace en defensa de las selvas tropicales. En fin, a ver si de una vez por todas nos creemos la importancia de la co-creación. Con respecto a lo que comentas Jose Luis Portela, es buena idea la oportunidad de venta cruzada para las empresas que vendan cámaras de seguridad, jeje.
Este caso me hizo acordar mucho al de las trabas para bicicletas Kryptonite y los bolis Bic http://www.youtube.com/watch?v=LahDQ2ZQ3e0
#005: Buen caso, lo comenté allá por 2005, y lo utilicé durante bastante tiempo en clase, funcionaba de maravilla, porque sobre todo en los programas de alta dirección siempre salían algunos alumnos diciendo eso de «¡pues lo demandamos por publicarlo!» Pero tras varias horas de terapia con electroshock, a la que casi siempre sobrevivían, solían cambiar de opinión… :-)
Hace poco vi un video acerca de una cerradura de puerta que se puede controlar con el teléfono móvil. Si eso va a ser producido y utilizado en todo el mundo, será más fácil para los hackers de abrir puertas que con este Arduino. Lo siento si he cometido algunos errores de ortografía, español no es mi lengua materna. :)
@ 002_Los empresarios no tienen ética… Los politicos no tienen ética… basicamente esta es una sociedad sin ética… por que habría que tener ética un Hacker ?… Lo de Hacking ético no existe… en todo caso preferible analista de seguridad informática si lo que se pretende es diferenciar a los «buenos» de los «malos»… Es deber de la industria que se gasta cifras multimillonarias en pagar a sus ejecutivos mediocres preocuparse de detalles tan evidentes como sus vulnerabilidades que las encuentran chavales de 12 años y sin gastarse un duro
… Vaya industria de mier** y luego son los «Hackers» los malos… El concepto al que se alude en torno a las redes y a la difusión pública que se puede tener hoy en dia es muy bueno… Se deberían publicar absolutamente todas las vulnerabilidades y fallos sistemicos habidos y por haber… que ya va siendo hora ya …
La lección es dura pero la solución es sencilla:
– si no quieres que algo se haga público, no lo pongas en la red;
– si alguien te ofrece información, no la rechaces ni la menosprecies;
– mejor cerradura que un candado clásico, son dos candados;
– si deseas mantener una conversación segura, hazla en persona;
– la tecnología siempre falla, los que ganan con ella son los fabricantes.
En esto creo que Google con Chrome y Firefox con sus bug report han entendido que es mejor escuchar directamente a los cerebros que hay entre los miles de usuarios. Es lo que tiene vivir de la red, y en el triste caso de los vendedores de cerraduras digitales, es lo que tiene vivir al margen de ella.
Me recuerda también al caso del móvil irrompible de LG, que podía caer 10 pisos, podías atravesarlo con un clavo, podías chutarlo de penalty y no pasaba nada. Y llegó el primer geek y lo estampó contra el cristal de una pecera, haciendo que dejase de funcionar. Épico
Por motivos personales que me han hecho viajar todos los fines de semana, me he alojado en los últimos años en multitud de hoteles y casi el 90% de ellos disponían de este tipo de cerradura, que para colmo de inseguridades, la mayoría no tienen pestillo para cerrar por la parte de dentro (al menos en los hoteleles que yo visité)… porque aunque algunos sí lo poseían, descubrí con asombro que no servía para nada y aún con el «pestillo» cerrado, la puerta se podía abrir desde la parte del pasillo. Ahora confirmo que yo que temía era cierto… estas cerraduras no son seguras!
Ya leí algo de esto en este blog: http://www.voipminic.com/hackeando-cerraduras-con-arduino/
A todas luces la respuesta de la compañía fue desastrosa. Supongo que su departamento de relaciones públicas no se ha modernizado mucho, porque para quienes nos paseamos un rato por la red entendemos que es lo que está en juego, y vamos, que es una cuestión de sentido común, ¿demasiado compleja?, vaya, no tengo el dato exacto pero no debe ser muy caro fabricarse el dispositivo ese.
#002 son esas cosillas que tienen los «eticólogos» de boquilla: que tienen una tendencia a olvidarse de ciertas cosas… O lo que es lo mismo: te cuentan lo que quieren.
Esto también es para echarse unas risas:
Y, lógicamente, en poco tiempo, lo que tenía que ocurrir: los primeros casos de robos en habitaciones de hotel llevados presuntamente a cabo según este método.
No, no, de lógico nada. Que uno tenga la oportunidad de entrar en una habitación no significa que tenga que hacerlo. Eso, claro, a menos que seas un amigo de lo ajeno. Entonces me imagino que sí tienes esa lógica.
Para eso ya hay un método mejor que una cerradura, y es un pacto social llamado comúnmente Ley que consiste en sancionar conductas injustas (claro que igual a alguien lo de meterse en una habitación que no es la tuya y llevarse una maleta, dinero o lo que sea es algo justo o lógico).
Es más, la Ley ya prevé (y eso que generalmente suele hacerlo bastante mal) una agravante que tiene que ver con manipular o reventar sistemas cerrados: «robo con fuerza en las cosas».
Pero ya digo, eso sería lo secundario. Lo primario es que tengas la suficiente educación como para saber que eso no es lo correcto. No por nada, sino porque si todos lo acabamos por hacer, pues ya se puede uno imaginar…
Menos mal que en España estas cosas no sucederían.
Enrique, atinado análisis. También considero en que, a medio plazo, la difusión de la vulnerabilidad es un favor que se le hace a clientes e incluso a la compañía. Nos quedamos con el escándalo de que aumentan los robos a corto plazo (que habría que medir cuántos realmente) y no con los que se previenen a medio. Porque este hecho se ha vinculado con un incremento pero no se ha vinculado con un descenso de aquellos robos por parte de los que ya pudiesen estar utilizando este método. Porque nadie sea tan ingenuo de pensar que el primero que descubre un método de vulneración de seguridad sistemáticamente va a publicarlo en Youtube. A los que ya estuviesen utilizando este método se les ha quemado el negocio porque, ahora en los hoteles, clientes y empresarios a los que supuestamente han fastidiado con la difusión, van a estar más atentos a esta jugada. A raíz de esta noticia, he aquí unos comentarios sobre el valor de la difusión de vulnerabilidades: http://precaver.org/2012/12/etica-de-la-difusion-de-vulnerabilidades-de-seguridad/