» Nie ufaj sejfom w hotelowych pokojach -- Niebezpiecznik.pl --
Wczoraj skończyła się konferencja Security PWNing, gdzie miałem wykład o najpopularniejszych w Polsce scamach, przez które Polacy tracą pieniądze w internecie. Niektóre z omawianych przeze mnie przekrętów musiały być tak straszne, że jeden z trzech projektorów umarł (ze strachu) w trakcie prezentacji ;) Ale to nie był koniec atrakcji, jeśli chodzi o mój pobyt w hotelu Warsaw Plaza, gdzie konferencja się odbywała. Przed wyjściem na afterparty postanowiłem w pokojowym sejfie zostawić laptopa…
Ciekawa reakcja hotelowego sejfu
Jako osoba z natury nieufna, przed włożeniem do hotelowego sejfu laptopa, chciałem “na sucho” sprawdzić, czy sejf działa dobrze, czyli rzeczywiście zamyka się i otwiera bez problemów. Nie chciałem ryzykować, że nie wyjmę z niego laptopa bez wizyty “serwisanta”. Raz już zdarzyło mi się trafić na sejf, który nie działał poprawnie (zacinał się) i konieczna była pomoc pracownika zewnętrznej firmy, co zabrało mi sporo czasu. A tym razem na opóźnienia w dostępie do laptopa nie mogłem sobie pozwolić, bo kolejnego dnia miałem ważną prelekcję do wygłoszenia na spotkaniu biznesowym pewnej firmy, która zaprosiła na niego swoich klientów. Bez laptopa mogłoby mi nie pójść tak dobrze jak wyszło ;)
No i tak w ramach tego sprawdzania na sucho, wbiłem przykładowy 4-cyfrowy PIN, który miał zablokował sejf. Ta sama kombinacja sejf poprawnie otworzyła. Więc wszystko działa. Spokojny wpakowałem laptopa do sejfu i zabezpieczyłem go jedynym słusznym PIN-em 1337. Ale zanim wyszedłem z pokoju, z przyzwyczajenia postanowiłem sprawdzić, czy zły PIN na pewno nie otworzy sejfu przez jakiś przypadek. Ta zawodowa nieufność…
Ten kod otwiera wszystkie hotelowe sejfy?
No i wtedy stało się coś ciekawego. Jako przykładowy błędny PIN wybrałem cztery zera (wysoki sądzie, nie wiem skąd właśnie ta kombinacja przyszła mi do głowy, może za dużo się ostatnio zajmuje bluetoothowymi donglami do ODB2). I, ku mojemu zdziwieniu, po wbiciu 0000 sejf nie pokazał ani błędu, ani się nie otworzył. Tak jakby czekał na coś jeszcze. Cóż więc innego do tych 4 zer mogłem dopisać jak nie… A z resztą zobaczcie sami:
Krótka wycieczka do Google po instrukcję obsługi do sejfów Hartmann Tresore i zagadka wyjaśniona. Choć nie udało mi się znaleźć instrukcji do tego modelu, który miałem w hotelowym pokoju, to z innych instrukcji wyczytać można, że sejfy wielu producentów mogą działać w tzw. trybie “hotelowym”, czyli takim, który pozwala na otworzenie sejfu dwoma kodami. Tym zdefiniowanym przez gościa (tu: “1337”) i tzw. “masterkey”, zdefiniowanym przez hotel. To feature, a nie bug! Dzięki takiemu “masterkodowi” obsługa hotelowa może pomóc gościowi, który zapomniał swojej kombinacji.
Zgadnijcie co było wartością domyślną master key w moim sejfie? No właśnie. 000000.
Dopiero po chwili przypomniałem sobie, że już kiedyś o tym pisaliśmy na Niebezpieczniku w kontekście innego sejfu. Pisaliśmy też o innych sprawach okołosejfowych. Więc jeśli interesuje Was otwieranie sejfów (niekoniecznie hotelowych) to popatrzcie jak działa sejf “od środka” i zapoznajcie się z domyślnymi kodami otwierającymi elektroniczne zamki.Korzystam z hotelowych sejfów — co robić, jak żyć?
Zostawiając rzeczy w hotelowym sejfie, mamy wrażenie, że są one bezpieczniejsze niż pozostawione na widoku. Że pokojówka nie przejrzy naszych dokumentów i nie przeprowadzi ataku Evil Maid. Okazuje się jednak, że może to być złudne poczucie bezpieczeństwa…
Dlatego przed zostawieniem wartościowych rzeczy w sejfie w hotelowym pokoju warto sprawdzić, czy pracownicy hotelu zmienili domyślny masterkey na bardziej skomplikowany. Poza zerami warto spróbować jedynki, dziewiątki i 123456. Różni producenci mają różne początkowe wartości dla masterkey, więc najlepiej po prostu “googlnąć” instrukcję dla modelu, który kryje się w szafie waszego hotelowego pokoju. Przy okazji możecie z nich wyczytać na jakie inne “ukryte” funkcje posiada. Jedną z nich jest np. informacja o tym jak zmienić masterkey (albo dodać ukrytego użytkownika sejfu, czyli kolejny masterkey).
Byłoby fatalnie dla hotelu, gdyby któryś z gości hotelowych ustaliwszy masterkey, zmienił go na inny i nie przekazał o tym informacji hotelowi. Tego kodu nie a się zresetować bez fizycznej ingerencji w większość sejfów (a zatem wizyty serwisanta i kosztów).Nie byłbym sobą, gdybym nie dodał na koniec rady dla podróżników-paranoików. Jeśli już musisz zostawić sprzęt bez opieki, np. w hotelowym sejfie, to zawczasu:
Powyższe rady pochodzą z naszego poradnika dla podróżnych. Warto go przeczytać w całości, bo jest tam kilkanaście innych porad, posegregowanych wedle stopnia paranoi, więc i normalni ludzie znajdą w nim wiele przydatnych informacji :)
PS. Jeśli czytacie to w hotelu, to sprawdźcie jak to jest z Waszym sejfem. Ponoć ten model można też uderzyć na górze i sam z siebie się otworzy… Ale tego nie sprawdzałem. Natomiast powyższą historią już wczoraj “pochwaliłem” się na moim LinkedIn, Twitterze i Facebooku. Jak widać po kometarzach, większość z podróżujących nie zdawała sobie sprawy z takiej “ukrytej” funkcji hotelowego sejfu. A co gorsza kilku “followersów” już wczoraj poinformowało mnie, że i w ich hotelach masterkey do sejfu to 6 zer… Dajcie znać, jak u Was.
