Sind Hotel-Safes wirklich sicher?

15.07.2014
G DATA Blog

Die Urlaubszeit hat begonnen. Viele verreisen in den kommenden Wochen und übernachten in Hotels. Die Zimmer sind häufig mit Safes ausgestattet, in denen man Wertgegenstände wie Geld, Pässe oder Notebooks lagern kann. Experten der G DATA SecurityLabs haben das Sicherheitsniveau eines Safes eines chinesischen Herstellers getestet, das unter mehreren Fabrikaten verkauft wird. Die Ergebnisse stehen in diesem Artikel.

Die Merkmale des Safes

Der Safe ist ein mittelgroßer Standardsafe, wie er in Hotelzimmern genutzt wird. Er ist aus Stahl gefertigt und funktioniert mit Hilfe von Batterien, ist also unabhängig vom Stromnetz.

Der Safe kann auf verschiedene Arten geöffnet werden. Entweder mit einer PIN (aus vier bis zehn Ziffern) oder einer Kreditkarte. Außerdem gibt es einen Notfallschlüssel, der dem Hotelgast nicht zur Verfügung steht. Der Hotelbetreiber kann den Schlüssel nutzen:

  • wenn der Kunde seine PIN vergessen hat
  • wenn die Batterien schwach sind oder die Elektronik nicht mehr funktioniert
  • wenn der Kunde das Zimmer verlässt, ohne den Safe zu öffnen

Das goldfarbene Firmenschild ist mit zwei Schrauben befestigt. Darunter befindet sich das Schloss für den Notfallschlüssel. Video 1 zeigt, wie der Safe im normalen Betrieb verschlossen und geöffnet wird.

Wie funktioniert der Safe?

Die Handhabung des Safes ist einfach. Der Safe besteht aus drei Teilen:

  • Der Safe selbst besteht aus Stahl
  • Das Eingabefeld auf der Vorderseite für die PIN- Eingabe und der Kreditkartenleser
  • Der Schließmechanismus hinter der Tür

Um das Innenleben und die Funktionsweise besser zu verstehen, bauen wir die Tür auseinander und schauen uns ihren Inhalt genauer an:

Ein Blick auf den Schließmechanismus zeigt das Schloss für den Notfallschlüssel, den Motor, der die Zylinder öffnet und schließt und eine Platine mit einer elektrischen Schaltung. Wenn ein Nutzer einen PIN-Code zum Öffnen oder Schließen der Tür eingibt, wird dieser durch die Schaltlogik geprüft. Ist der Code korrekt, wird der Motor aktiviert und die Zylinder bewegen sich, wie man in Video 2 sehen kann.

Hack #1: Öffnen des Safes?

Master-Code

Die einfachste Art den Safe zu öffnen, ist die Nutzung des Master-Codes. Mit dieser Zahlenkombination kann man den Safe konfigurieren, die Nutzungshistorie anzeigen oder die Tür öffnen. Die Werkseinstellung besteht aus einer einfachen Zahlenkombination und zwei schnellen Berührungen der Raute-Taste #. Der Master-Code kann und sollte geändert werden. Leider haben wir bei unseren Untersuchungen immer wieder Safes mit den Standardeinstellungen vorgefunden. Wir raten Hoteliers dringend dazu, den werkseitigen Master-Code zu ändern!

Schlossöffnen (Lock picking)

Wenn man die obigen Abbildungen genau anschaut, erkennt man vier Sektionen. Diese Art von Schlüssel lassen sich, für Anfänger, nur schwierig mit einem Dietrich öffnen. Der Hersteller nutzt allerdings nur eine der vier Sektionen für den Zylinder, was einem geübten Schlossknacker die Arbeit erleichtert. Video 3 zeigt, wie das Schloss mit Werkzeugen und ein bisschen Übung geöffnet werden kann.

Kurzschluss der elektrischen Schaltkreise

Eine dritte Art die Tür zu öffnen, besteht darin, die elektrische Schaltung kurzzuschließen. Um diese Technik zu verstehen, muss man wissen, wie der Safe erkennt, ob die Tür geöffnet oder geschlossen ist.

In den gezeigten Abbildungen kann man einen grünen Taster erkennen, der gedrückt wird, wenn die Tür offen ist. Durch einen elektrischen Kurzschluss des Tasters, kann man eine geöffnete Tür simulieren. Das Szenario sieht so aus:

  • Man verschließt die Tür mit einem PIN-Code.
  • Man führt den Kurzschluss durch, so dass die elektrische Schaltung des Safes die Tür als offen ansieht, obwohl sie in Wahrheit geschlossen ist.
  • Nun kann man einen neuen PIN Code zur Schließung der Tür eingeben, obwohl der Logik nach eigentlich ein Code zur Öffnung eingegeben werden müsste.
  • Der Safe schließt die Tür, die in Wahrheit aber nie geöffnet war.
  • Mit dem zuvor neue eingegebenen Code kann man die Tür nun öffnen.

Die Durchführung des Kurzschlusses von außen ist allerdings nicht so einfach. Die Bohrlöcher für das Herstellerschild bieten einen Zugang. Nach ca. 30 Minuten Fummelei mit einem Draht konnten wir den Safe öffnen. Professionelle Diebe könnten spezielle Werkzeuge entwickeln, mit denen dieser Angriff in wenigen Minuten ausgeführt werden kann. Der Hersteller des Safes kann diesen Angriff vereiteln indem z.B. die Löcher für das Logo an einer anderen Stelle angebracht werden. Effektiver wäre es den Taster physikalisch vor Zugriff von außen zu schützen und/oder die Schaltlogik zu verbessern.

Hack #2: Riskante Nutzung der Kreditkarte

Vorstellung des Merkmals

Wie bereits erwähnt, können Nutzer des Safes die Kreditkarte nutzen, um den Safe zu verschließen und zu öffnen. Bei unseren Tests entdeckten wir, dass die Magnetkarte tatsächlich eine Kreditkarte sein muss. Andere Magnetkarten funktionieren nicht, weil das System prüft, ob eine Kreditkarte vorliegt.

Funktionsweise eines Kartenlesers

Ein Magnetstreifenleser ist einfachste Technik. Er besteht aus zwei Elementen:

  • Ein Sensor, der erkennt, ob eine Karte anliegt
  • Der eigentliche Leser

Der Kartenleser besteht aus einem Lesekopf, vergleichbar mit einem Tonkopf bei alten Kassettengeräten. An 2 Drähten werden Daten und ein Takt erfasst. Um die Magnetkarte zu lesen braucht man also 3 Drähte: Sensorstatus, Daten, Takt.
Der Sensor ist die grüne Box auf der linken Seite, mit dem Metallclip unten, und der Leser ist das Element in der Mitte mit dem weißen und roten Draht.

Kann man Kreditkartendaten von Nutzern des Safes stehlen?

Diebe von Kreditkartendaten nutzen oft sog. Skimmer. Sie werden z.B. auf Geldautomaten angebracht und kopieren mit einfacher Elektronik die Daten von der Kreditkarte. Hier ein Beispiel:

Dieser Ansatz lässt sich auch mit dem untersuchten Safe verfolgen. Ein Arduino Uno Board ist kompakt genug, um im Innern der Tür angebracht zu werden, wie folgende Abbildung zeigt:

Eine Kreditkarte speichert ihre Daten auf zwei Spuren der Magnetkarte. Der Kartenleser des Safes kann allerdings nur eine Spur auslesen. Auf dieser einen Spur ist jedoch die Kartennummer, der Name des Karteninhabers und das Ablaufdatum der Karte zugänglich. Nachfolgens eine Abbildung der gestohlenen Daten:

Auch eine Erweiterung der Arduino Schaltung wäre denkbar, die den Nutzer des Safes zur Eingabe des  PIN Codes der Kreditkarte auf dem Tastenfeld des Safes auffordert, nachdem der Nutzer die Karte für den Safe benutzt hat. Dieser PIN könnte zusammen mit den Daten vom Magnetstreifen gespeichert und missbraucht werden.

Fazit

Diese Ausführungen zeigen, dass ein Safe nicht so sicher ist, wie man vielleicht glaubt. Er kann auf verschiedene Arten geöffnet werden und im schlimmsten Fall sogar genutzt werden, um Kreditkartendaten zu stehlen.

  • Wir empfehlen Hotel-Managern, die Werkseinstellungen für den Mastercode zu ändern.
  • Auf einen Safe mit Kreditkartenleser sollten sie verzichten. Safes mit Kreditkartenlesern sollten vom Hotelpersonal aber auch von den Nutzern regelmäßig auf Manipulationen geprüft werden (z.B. auf Anwesenheit von Skimming-Hardware).
  • Nutzer von Hotelsafes sollten die Erwartungen an die Sicherheit von Safes auf ein moderates Niveau zurückschrauben und der Sicherheit nicht allzu sehr vertrauen.
  • Darüber hinaus empfehlen wir die Kreditkarte nicht zum Verschließen von Safes zu nutzen. Diebe können die Hardware einfach ändern bzw. ergänzen ohne dass ein Nutzer dies bemerken würde.

 

Wir wünschen Ihnen einen sicheren Urlaub!

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein