Yazılar

Yüzbinlerce Otel Odasına İz Bırakmadan Girmek Mümkün

Screen-Shot-2018-04-26-at-10.13.37-923x1030 Yüzbinlerce Otel Odasına İz Bırakmadan Girmek MümkünDünya üzerindeki milyonlarca elektronik kapı kilidi hacklenme tehlikesi ile karşı karşıya.

Elektronik kapı kilitlerinde en çok kullanılan yazılım Vision Software, kilit ise Assa Abloy olarak kabul edilebilir. Bu ürün yaklaşık 20 yaşında. Yaklaşık 12 yıllık bir çalışma sonucunda uzmanlar bu yazılımda güvenlik açığı keşfederek kapı kilitlerini izinsiz açmayı başardı.

Assa Abloy kilitleri Sheraton, Radisson, Hyatt, Intercontinental gibi dünya çapında ünlü çok sayıda otel zincirinde kullanılıyor. Kilitleri hackleyen uzmanlar kilitleri açmak için hem özel yazılım, hem de özel donanımlardan faydalanmış.

Kilitleri hacklemek için önceden kullanılmış ve artık aktif olmayan bir temassız oda giriş kartı yeterli olabiliyor. Bu kartla sadece otel odası değil, otelde kartla girilebilecek diğer bölümlere de izinsiz giriş yapılabiliyor. Bunlar arasında asansörle VIP katlarına izinsiz çıkmakta sayılabilir.

İsveçli üretici firma gerekli güvenlik yamalarını yayınladığını, otellerin 2 ay kadar önce bu yamaları yüklemeye başladığını duyurdu. Fakat henüz yeterince otel sistemlerine yamayı yüklemiş durumda değil.

MagSpoof ile elektromanyetik alan kullanarak kredi kartı kopyalamak

magspoof-ile-elektromanyetik-alan-kullanarak-kredi-karti-kopyalamak MagSpoof ile elektromanyetik alan kullanarak kredi kartı kopyalamakMagSpoof cihazı ile manyetik alana sahip herhangi bir kart veya kredi kartını uzaktan kopyalamak ve bu cihazı kredi kartı gibi kullanmak mümkün.

Parçalarının toplam değeri 10 dolar tutan bu cihaz değerine oranla oldukça kabiliyetli. Kablosuz olduğu gibi kablolu ödeme terminallerinde de kullanılabiliyor. MagSpoof bir micro-controller, motor-driver, kablo, resistor, switch, LED ve pilden oluşuyor.

Cihaz tüm kredi kartı bilgilerini kopyalayıp sakladığı gibi aynı zamanda bunları değiştirebiliyor. Örneğin aslında chip gerektiren bir kredi kartını chip gerektirmeden PIN ile kullanılabilmesi buna örnek gösterilebilir. Elbette kullanım alanı bununla sınırlı değil bina ofis giriş kartları, otel odası anahtarları, park biletleri gibi çok sayıda alanda manyetik kart kullanımı yaygın.

Cihazı geliştiren bilgi güvenliği araştırmacıları özellikle American Express ile ilgili de ilginç bir bilgiye ulaştılar. Çok sayıda Amex kart numarası inceleyip, bunları 20 başka Amex kart bilgisi ve yenilenmiş kartların numaralarıyla karşılaştırdılar. Sonuç olarak kullanılan algoritmaya dair önemli bulgulara ulaşan araştırmacılar American Express kredi kartlarının kredi kartı numarası algoritmasını çözdüler. Bunun anlamı eğer Amex kredi kartı çalınır veya kaybolursa ve kişi eski kartı numaranızı biliyorsa yeni kart numarasını eskisinden yola çıkarak elde edebiliyor.

MagSpoof cihazını böyle ilginç hale getiren bir diğer konu ise bu küçük cihazın NFC, RFID gibi bir kablosuz teknolojiyi kullanmadan kablosuz şekilde manyetik kart bilgilerini kopyalayabilmesi. Bunu yaparken sadece kart fiziksel olarak kullanıldığında ortaya çıkan elektromanyetik alan kullanılıyor. Kartlardaki Track 1 ve Track 2 bilgilerinin her ikisi de ele geçirilebiliyor.

Araştırmacılar cihazı yapmakla ilgili tüm kod ve şemaları yayınlasa da EMV chiple ilgili fonksiyonlar bilerek yayınlanmadı. Aynı zamanda American Express kredi kartlarıyla ilgili kredi kartı numarası tahmin özelliği de yine yayınlanmış değil.