Video: The Science of Airport Security (November 2024)
Hoeveel mensen luisterden naar de Black Hat die praatte over de achterdeurrekeningen die aanwezig zijn in scanners die door veel luchthavens in de Verenigde Staten worden gebruikt en dachten: "Hoe ga ik hierna naar huis vliegen?" Ik weet het.
Veel van de machines die op beveiligingscontrolepunten op luchthavens worden gebruikt, hebben ingesloten accounts met standaardwachtwoorden die kunnen worden misbruikt, vertelde Billy Rios, directeur bedreigingsinformatie bij Qualys, aan de deelnemers aan de Black Hat-conferentie op woensdag. In dit geval is de zorg dat aanvallers de accounts mogelijk als achterdeur kunnen gebruiken om toegang tot het systeem te krijgen.
De ingesloten accounts op de scanners zijn niet toegevoegd als schadelijke achterdeuren. Fabrikanten maken graag ingesloten accounts met hardgecodeerde wachtwoorden voor onderhoud en ondersteuning. Hoewel handig, vormen deze accounts problemen wanneer beheerders niet eens weten dat deze accounts bestaan en de wachtwoorden niet eens in iets anders kunnen veranderen.
Rios ontdekte dat sommige van deze luchthavenscanners toegankelijk waren via het openbare internet. Combineer het feit dat deze systemen werden blootgesteld en de backdoor-accounts hardcoded standaardwachtwoorden hadden, en de implicaties zijn een beetje beangstigend. Als de aanvaller op afstand toegang heeft tot de scanner, kan hij of zij dan testresultaten manipuleren?
Dit gesprek was gebaseerd op het Morpho Detection Itemiser 3 trace-explosieven- en residu-detectiesysteem dat werd gebruikt om sporen van verdovende middelen en explosieven op bagage te zoeken, en het Kronos 4500 tijdkloksysteem. Rios vond ongeveer 6.000 Kronos-systemen op het openbare internet, maar gelukkig waren er slechts twee op luchthavens ingezet. Eén is verwijderd en de andere is nog steeds online en in gebruik, zei Rios.
Het ICS-CERT van het Department of Holemand Security heeft op 24 juli een advies uitgebracht over het gebrek aan Itemiser.
Het andere verontrustende aspect van het gesprek was het feit dat het transport- en beveiligingsagentschap de functies van het product niet valideerde en verifieerde dat het systeem werkt zoals het wordt verkocht. Ziekenhuizen nemen beveiligingsbeoordelingen op als onderdeel van het acquisitieproces. Waarom gebeurt dat niet met de TSA?
"Dat is wat ik TSA graag zou zien doen. Kijk voordat je een product accepteert, en zoek naar een achterdeurwachtwoord zonder te vertrouwen op de goodwill van leveranciers" om het wachtwoord te wijzigen, zei Rios.
