Video: Brother ADS-1700W Wireless, Compact, Portable Desktop Scanner with 2.8” Color Touchscreen Display (Oktober 2024)
Hvor mange mennesker hørte på Black Hat og snakket om bakdørskontoer i skannere som ble brukt av mange flyplasser i USA og tenkte: "Hvordan skal jeg fly hjem etter dette?" Jeg vet at jeg gjorde det.
Mange av maskinene som er utplassert på sjekkpunktene på flyplassens sikkerhet, har innebygd kontoer med standardpassord som kan misbrukes, fortalte Billy Rios, direktør for trusselinformasjon ved Qualys, til deltakere på Black Hat-konferansen onsdag. I dette tilfellet er bekymringen at angripere kan være i stand til å bruke kontoene som en bakdør for å få tilgang til systemet.
De innebygde kontoene på skannerne ble ikke lagt til som ondsinnede bakdører. Produsenter liker å lage innebygde kontoer med hardkodede passord for vedlikehold og støtteformål. Selv om det er praktisk, gir disse kontoene problemer når administratorer ikke en gang vet at disse kontoene eksisterer, og ikke en gang kan endre passordene til noe annet.
Rios fant ut at noen av disse flyplassskannerne var tilgjengelige fra det offentlige Internett. Kombiner det faktum at disse systemene ble eksponert og at bakdørskontoene hadde hardkodede standardpassord, og implikasjonene er litt skremmende. Hvis angriperen har tilgang til skanneren eksternt, kan han eller hun manipulere testresultatene?
Denne foredraget var basert på Morpho Detection Itemiser 3 sporeksplosiver og restdeteksjonssystem som ble brukt for å se etter spor av narkotiske stoffer og eksplosiver på bagasjen, og Kronos 4500 tidsklokke-system. Rios fant rundt 6000 Kronos-systemer på det offentlige Internett, men heldigvis hadde bare to blitt distribuert på flyplasser. Den ene er fjernet, og den andre er fremdeles online og i bruk, sa Rios.
Institutt for Holemand Securitys ICS-CERT ga ut en rådgivning om Itemiser-feilen 24. juli.
Det andre forvirrende aspektet av samtalen var det faktum at Transport- og sikkerhetsbyrået ikke validerte produktets funksjoner og bekreftet at systemet fungerer som markedsført. Sykehus inkluderer sikkerhetsvurderinger som en del av anskaffelsesprosessen. Hvorfor skjer det ikke med TSA?
"Det er det jeg ønsker å se TSA gjøre. Se før du godtar et produkt, og se etter et passord på bakdøren uten å stole på leverandørenes velvilje" for å endre passordet, sa Rios.
