Video: What if I forget my password? (Lokakuu 2024)
Kuinka moni ihminen kuunteli Black Hat -puhetta takaoven tileistä, joita esiintyy skannerissa, joita monet Yhdysvaltojen lentokentät käyttivät, ja ajattelivat: "Kuinka aion lentää takaisin kotiin tämän jälkeen?" Tiedän, että tein.
Monissa lentokentän turvavalvontapisteissä käytetyistä koneista on upotettu tilejä, joissa on oletussalasanoja, joita voidaan väärinkäyttää, Qualysin uhatietojen johtaja Billy Rios kertoi keskiviikkona Black Hat -konferenssissa osallistujille. Tässä tapauksessa huolenaihe on, että hyökkääjät saattavat pystyä käyttämään tilejä takaovena päästäkseen järjestelmään.
Skannerien upotettuja tilejä ei lisätty haitallisiksi takaovisiksi. Valmistajat haluavat luoda sulautettuja tilejä koodatuilla salasanoilla ylläpito- ja tukitarkoituksiin. Vaikka nämä tilit ovat käteviä, ne aiheuttavat ongelmia, kun järjestelmänvalvojat eivät edes tiedä näiden tilien olemassaoloa eivätkä pysty edes vaihtamaan salasanoja millekään muulle.
Rios havaitsi, että joihinkin näistä lentokenttälukijoista oli pääsy julkiseen Internetiin. Yhdistä tosiasia, että nämä järjestelmät paljastettiin ja takaoven tileillä oli koodattu oletussalasanoja, ja vaikutukset ovat hieman pelottavia. Jos hyökkääjällä on pääsy skanneriin etäyhteyden kautta, voiko hän manipuloida testituloksia?
Tämä puhe perustui Morpho Detection Itemiser 3 -jäljite- ja jäännösten havaitsemisjärjestelmään, jota käytettiin huumausaineiden ja räjähteiden jälkien etsimiseen matkalaukkuissa, ja Kronos 4500 -kellot. Rios löysi julkisesta Internetistä noin 6000 Kronos-järjestelmää, mutta onneksi vain kaksi oli otettu käyttöön lentokentillä. Yksi on poistettu ja toinen on edelleen verkossa ja käytössä, Rios sanoi.
Holemand Security -ministeriön ICS-CERT julkaisi ohjeen Itemiser-virheestä 24. heinäkuuta.
Toinen hämmentävä puhe puheessa oli se, että Kuljetus- ja turvallisuusvirasto ei ollut validoinut tuotteen ominaisuuksia ja todennut järjestelmän toimivan markkinoilla. Sairaalat sisältävät turvallisuusarvioinnit osana hankintaprosessia. Miksi sitä ei tapahdu TSA: n kanssa?
"Sitä haluaisin nähdä TSA: n tekevän. Katso ennen kuin hyväksyt tuotteen ja etsi takaovi-salasana luottamatta myyjien hyvään tahtoon" vaihtaa salasana, Rios sanoi.
