Хостинг, который использует TopHope.RU более 2-х лет

Хостинг, который использует TopHope.RU более 2-х лет

Сайт для программистов

Устройство за 6$ компрометирует ключ-карты отелей и PoS-системы

Тема в разделе "Hack/IT", создана пользователем sailas32, авг 9, 2016.

  1. sailas32

    sailas32 Старший модератор Команда форума Старший модератор

    Сообщения:
    192
    Симпатии:
    435
    Баллы:
    95
    В наши дни большинство отелей (особенно на Западе) используют вместо обычных ключей для номеров ключ-карты. Тот факт, что такие замки можно взломать, а ключ-карты подделать, ни для кого уже не секрет. Исследователь компании Rapid7 Вестон Хикер (Weston Hecker) Для того что-бы увидеть ссылку Зарегистрируйтесь на форуме. на конференции Black Hat об устройстве, которое он собрал всего за $6. Девайс способен брутфорсить замки номеров в отелях, считывать и копировать ключ-карты, а также может использоваться для взлома PoS-систем.
    [​IMG]
    Хикер не является пионером в данной области. Так, в прошлом году известный исследователь Сэми Камкар (Samy Kamkar), тот самый, который запустил на MySpace червя Samy, представил портативный спуфер банковских карт MagSpoof, чьи габариты сопоставимы с размерами монеты. Устройство Камкара способно не только считывать данные с магнитных полос по воздуху (sic) и сохранять их в памяти, но также может предсказывать, каким будет номер карты American Express после перевыпуска.

    Вестон Хикер пошел по стопам Камкара, по сути, развив его идею. Размер устройства, собранного исследователем всего за $6, сопоставим с размерами карточной колоды (см. иллюстрацию выше). Девайс, подобно MagSpoof, может считывать данные с магнитных полос карт (в данном случае с ключ-карт отелей) и дублировать их, а также может использоваться для брутфорса замков.

    Чтобы применить «грубую силу», атакующему понадобится лишь собственный ключ от номера (или ключ, позаимствованный у одного из гостей отеля). Ключ-карта, как правило, содержит данные о регистрационном номере (folio number), номер комнаты и дату выселения. Обладая этой информацией, атакующий сможет подобрать комбинацию к замкам других номеров методом перебора. Хикер рассказал, что для этого достаточно поднести девайс к считывающему устройству на двери. Аппарат исследователя перебирает 48 комбинаций в минуту, а также оснащается дополнительными антеннами, которые, в том числе, помогают миниатюрному гаджету избежать перегрева.

    Однако копирование ключ-карт и взлом номеров — это не самое интересное. Устройство также можно использовать против PoS-систем. Достаточно поднести гаджет близко к PoS-терминалу, считывающему карты с магнитными полосами, и устройство может обмануть систему, осуществив инжект виртуальных нажатий клавиш. Систему можно заставить посетить вредоносный сайт, скачать и запустить малварь с удаленного сервера, и таким образом заразить точку, к примеру, банковским трояном.

    Подробно о своем устройстве Хикер обещал рассказать на конференции DEF CON. Пока известно, что разработку девайса он начал еще в апреле 2016 года, и поначалу метод работал весьма медленно: на подбор одного ключа к номеру уходило более 20 минут. Затем исследователь решил использовать дешевый китайский MP3-плеер, после чего дело пошло куда лучше. Видеодемонстрацию брутфорс атаки по подбору ключа от номера отеля можно увидеть ниже.

    Для того что-бы увидеть ссылку Зарегистрируйтесь на форуме.