นักวิจัยความปลอดภัยคนหนึ่งเดินทางไป Berlin เพื่อร่วมงานสัมมนาเกี่ยวกับระบบความปลอดภัยของคอมพิวเตอร์ เหมือนชะตาจงใจเล่นตลก เมื่อเขากลับมายังห้องพักที่โรงแรมแล้วพบว่าคอมพิวเตอร์แล็ปท็อปของเขาหายไป แต่รู้ทั้งรู้ว่ามีขโมยเข้ามาฉกของไปจากห้องที่ดูจะแล้วถูกล็อกไว้อย่างแน่นหนา เขากลับไม่พบร่องรอยการงัดแงะบุกรุก
เมื่องานเข้า เจ้าของแล็ปท็อปที่อันตรธานไปดื้อๆ เลยปรึกษากับ Timo Hirvonen และ Tomi Tuominen เพื่อนร่วมงานที่ทำงานให้ F-Secure เช่นเดียวกับเขา ซึ่ง 2 หนุ่มที่ปรึกษาก็คิดกันว่าห้องที่ดูจะถูกล็อกไว้แน่นหนานั้น อาจจะไม่ได้แน่นหนาอย่างที่คิด
ห้องพักของโรงแรมเจ้าปัญหานี้ใช้ระบบกุญแจห้องแบบอิเล็กทรอนิกส์ของ Assa Abloy ผู้ผลิตแม่กุญแจรายใหญ่ของโลก แขกผู้เข้าพักไม่จำเป็นต้องพกลูกกุญแจไว้เพื่อแทงไขเข้าห้อง สิ่งที่ต้องใช้มีเพียงการ์ด RFID ที่ถูกตั้งค่ามาสำหรับปลดล็อกกุญแจห้องพักที่ถูกกำหนดไว้อย่างถูกต้องเท่านั้น
เทคโนโลยีกุญแจอิเล็กทรอนิกส์ถูกนำมาใช้กับระบบกุญแจล็อกห้องพักของโรงแรมขนาดใหญ่หลายแห่งทั่วโลก เพราะหากแขกผู้เข้าพักทำการ์ดหาย ก็เพียงทำการ์ดใบใหม่ โดยตั้งค่ารหัสผ่านใหม่ให้ตรงกันกับชุดแม่กุญแจประตูห้องพัก ซึ่งทั้งสะดวกและมีต้นทุนถูกกว่ามากเมื่อเทียบกับการใช้กุญแจเชิงกลที่จะต้องเปลี่ยนชุดอุปกรณ์ใหม่ทุกครั้งหากแขกทำลูกกุญแจหาย
และในบรรดากุญแจอิเล็กทรอนิกส์ที่นิยมใช้กันกับระบบล็อกห้องพักซึ่งมีทั้งการ์ดแถบแม่เหล็ก และการ์ด RFID จะพบว่าอย่างหลังสะดวกต่อการใช้งานกว่ามาก ทั้งนี้เป็นเพราะการ์ดแถบแม่เหล็กจำเป็นต้องอาศัยการรูดการ์ดอยู่เป็นระยะเพื่อช่วยให้แถบแม่เหล็กสามารถเก็บข้อมูลไว้ในการ์ดได้ตลอดเวลาที่แขกเข้าพักในโรงแรม
ปัญหาอยู่ตรงระบบการ์ด RFID ที่สามารถตั้งค่ารหัสผ่านได้ใหม่นี่เอง การตั้งค่ารหัสผ่านเพื่อปลดล็อกกุญแจประตูห้องนั้นมีรูปแบบวิธีการเฉพาะของมันอยู่ หากใครหรืออุปกรณ์ใดสามารถล่วงรู้และเข้าถึงกระบวนการตั้งค่าเหล่านั้นได้ ก็หมายความว่าคนผู้นั้นหรืออุปกรณ์นั้นสามารถสร้างมาสเตอร์คีย์ขึ้นมาใช้ได้นั่นเอง
2 หนุ่มแฮคเกอร์จาก F-Secure พบว่าระบบกุญแจของ Assa Abloy ซึ่งใช้ระบบซอฟต์แวร์กุญแจชื่อ Vision (พัฒนาโดยบริษัทภายนอกชื่อ VingCard) นั้นมีช่องโหว่ที่ทำให้พวกเขาสามารถสร้างมาสเตอร์คีย์ได้โดยอาศัยการดัดแปลงอุปกรณ์ที่ใช้ต้นทุนซื้อหามาด้วยเงิน "ไม่กี่ร้อยดอลลาร์" จากนั้นก็ใช้การ์ดกุญแจของห้องไหนก็ได้ของโรงแรมที่แฮคเกอร์ต้องการสะเดาะกุญแจอิเล็กทรอนิกส์ (ไม่จำเป็นต้องเป็นการ์ดของห้องเป้าหมายโดยตรง) หรือจะใช้การ์ดกุญแจเก่าที่รหัสผ่านหมดอายุนานหลายปีแล้วก็ย่อมได้
ด้วยอุปกรณ์ที่พวกเขาซื้อมาทำการดัดแปลง มันสามารถวิเคราะห์รูปแบบการตั้งค่ารหัสผ่านของการ์ด RFID ได้ หลังจากนั้นแฮคเกอร์สามารถใช้ข้อมูลที่ได้ทำการ์ด RFID ใหม่กี่ใบก็ได้ ใช้ปลดล็อกห้องไหนก็ได้หมด
หลังการค้นคว้าและทดสอบจนพบช่องโหว่ของระบบซอฟต์แวร์ในกุญแจ Assa Abloy พวกเขาได้แจ้งให้ผู้ผลิตกุญแจรับทราบและแก้ไขระบบซอฟต์แวร์เสียใหม่ แต่ทางโรงแรมลูกค้าของ Assa Abloy ต้องติดตามอัพเดตซอฟต์แวร์กันอีกขนานใหญ่จึงจะมั่นใจได้ว่าห้องพักทุกห้องปลอดภัยไรกังวลว่าจะโดนแฮคเกอร์ใช้การ์ดกุญแจปลอมมาแอบเปิดห้องทำเรื่องร้ายได้
ที่มา - The Next Web