Domov Varnostna ura Letališki skenerji imajo zaledje računa, privzeta gesla

Letališki skenerji imajo zaledje računa, privzeta gesla

Video: Pašapkalpošanās skeneri - ātrāks un ērtāks veids kā iepirkties! (November 2024)

Video: Pašapkalpošanās skeneri - ātrāks un ērtāks veids kā iepirkties! (November 2024)
Anonim

Koliko ljudi je poslušalo govorjenje o črni klopi o zalednih računih, ki so prisotni v bralnikih, ki jih uporabljajo številna letališča v Združenih državah Amerike, in si mislili: "Kako bom spet letel domov po tem?" Vem, da sem ga.

Številni stroji, nameščeni na varnostnih kontrolnih točkah na letališčih, imajo vgrajene račune s privzetimi gesli, ki jih je mogoče zlorabiti, je Billy Rios, direktor obveščevalnih služb za grožnje pri Qualysu, povedal v sredo udeležencem konference Black Hat. V tem primeru je zaskrbljenost, da bodo napadalci lahko uporabili račune kot zakulisje za dostop do sistema.

Vdelani računi v optičnih bralnikih niso bili dodani kot zlonamerni zunanji. Proizvajalci radi ustvarjajo vdelane račune s trdo kodiranimi gesli za vzdrževanje in podporo. Čeprav je priročno, ti računi predstavljajo težave, ko skrbniki niti ne vedo, da ti računi obstajajo, in ne morejo spremeniti gesla v kaj drugega.

Rios je ugotovil, da je do nekaterih teh letaliških skenerjev mogoče dostopati z javnega interneta. Združite dejstvo, da so bili ti sistemi izpostavljeni, zaledni računi pa so imeli trdo kodirana privzeta gesla, posledice pa so nekoliko zastrašujoče. Če ima napadalec dostop do optičnega bralnika na daljavo, ali lahko manipulira z rezultati testiranja?

Ta pogovor je temeljil na sistemu za odkrivanje sledi eksplozivov in ostankov Morpho Detection Itemiser 3, ki je bil uporabljen pri iskanju sledi narkotikov in eksploziva na prtljagi, ter na sistemu Kronos 4500 s časovno uro. Rios je na javnem internetu našel približno 6.000 sistemov Kronos, a na srečo sta bila na letališčih nameščena le dva. Eno so odstranili, drugo pa je še vedno na spletu in v uporabi, je dejal Rios.

ICS-CERT oddelka za varnost Holemand je 24. julija objavil svetovanje o napaki izdelka.

Drugi vznemirljivi vidik pogovora je bil dejstvo, da prometna in varnostna agencija ne potrjuje lastnosti izdelka in preverja, ali sistem deluje na trgu. Bolnišnice vključujejo varnostne ocene kot del nakupa. Zakaj se to ne dogaja s TSA?

"To bi rad videl pri TSA. Poglejte, preden sprejmete izdelek, in poiščite geslo za zaklep, ne da bi se zanašali na dobro voljo prodajalcev, " če želite spremeniti geslo, je dejal Rios.

Letališki skenerji imajo zaledje računa, privzeta gesla