Onderzoeker vindt lekken in luchthavenscanners VS
Een beveiligingsonderzoeker heeft meerdere lekken in de scanners en apparatuur ontdekt die op Amerikaanse luchthavens worden toegepast, zoals backdoor-accounts en vaste wachtwoorden. Dat liet onderzoeker Billy Rios vorige week tijdens de Black Hat conferentie in Las Vegas weten.
Rios onderzocht drie apparaten, een röntgenscanner die wordt gebruikt voor het scannen van de handbagage van passagiers, een prikkloksysteem en een "trace detection scanner" voor het opsporen van verboden of gevaarlijke stoffen. Ook keek hij naar de software die de Transport Security Administration (TSA) gebruikt om het eigen personeel te testen. De röntgenscanner bleek meerdere kwetsbaarheden te bevatten, waaronder een authenticatieprobleem. "Zelfs als je niet het juiste wachtwoord weet, kun je nog steeds toegang tot het apparaat krijgen", zo laat de onderzoeker tegenover eWeek weten. "Als je toegang tot het apparaat hebt, kun je ook de wachtwoorden van andere gebruikers achterhalen."
Het prikkloksysteem dat de TSA gebruikt voor het bijhouden van de uren van het personeel bleek over twee backdoor-accounts te beschikken waarmee technici op afstand de apparatuur kunnen onderhouden. Een aanvaller die inloggegevens weet kan echter ook inloggen. Rios ontdekte 6.000 van dit soort systemen op het internet, maar slechts twee waren er van Amerikaanse luchthavens en zijn inmiddels offline gehaald. Een aanvaller die toegang tot de systemen weet te krijgen zou zo verder het netwerk kunnen verkennen.
Een ander detail is dat de apparatuur een in China gemaakt moederbord blijkt te gebruiken. Eerder weigerde de TSA nog de aankoop van een bepaald model röntgenscanner omdat die een in China gemaakte lamp gebruikte. Ook bij de trace detection scanner werd een aantal accounts met vaste wachtwoorden gevonden die voor onderhoudspersoneel bedoeld waren. Met de wachtwoorden zou het mogelijk zijn om de apparatuur over te nemen. "Aangezien het apparaat drugs en explosieven moet vinden, zou je ervoor kunnen zorgen dat het die niet detecteert."
Testsoftware
Verder waarschuwde de onderzoeker ook voor de software waarmee de TSA het personeel test. Deze software "injecteert" een dreiging in de bagage van passagiers op het scherm. "Dat is waarom je willekeurig op een luchthaven wordt gescreend", merkte Rios op, zo laat SC Magazine weten. Bij de controle wordt echter niets gevonden, omdat het wapen zich alleen op het scherm bevond. Op deze manier wil de TSA de detectievaardigheden van het personeel testen. Als de software, die volgens Rios zeer gebrekkig is, ervoor zorgt dat het scherm kan worden aangepast, het ook door mensen met kwade bedoelingen kan worden gebruikt.
De onderzoeker wil met zijn onderzoek vooral laten zien dat de TSA niet precies alles weet van de software die het gebruikt. "Gegeven dat deze apparaten in een beveiligingsgevoelig gebied worden gebruikt, zouden ze moeten weten of er geen voor de hand liggende lekken aanwezig zijn." Alle door Rios gevonden problemen zouden zes maanden geleden al aan het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid zijn gemeld.
Mooi was ook een rapport over Manchester Airport dat de volautomatische paspoortchiplezende gezichtsherkennende poortjes waarin te lezen was dat de machines het grootste deel van de tijd uitstonden omdat ze voortdurend kuren hebben. En oh ja, het verschil tussen man en vrouw niet kunnen zien, zoals het geval van een echtpaar wat met per abuis omgewisseld paspoort gewoon door mocht lopen van de machines.
Niet heel toevallig kwam er net ook weer aan het licht dat aan 40% van de namen op de mag-niet-vliegen-lijsten geen enkele terreurbindingsluchtje te bespeuren is. Van de rest is het nog maar helemaal de vraag want vaak zeer speculatief eropgezet. En er weer afhalen doet dus niemand; kostte die ene dame zeven jaar procederen tegen geheime regels om het dan maar zelf gedaan te krijgen.
Echt, hoepel toch een flink eind op met al die dure apparaten (met aangebouwd gniffelhok), stuur de grote horden domme rukkers weer naar huis, hef al die regels weer op (en vooral de geheime, en de lijsten, en de databases, en de vingerafdrukken, en de paspoortchips), en zet gewoon een paar ouderwets capabele douaniers neer. Kost wat meer aan mankracht, maar een stuk minder aan nukkige apparatuur vol met gaten en andere misstanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.