Onderzoeker vindt lekken in luchthavenscanners VS
Een beveiligingsonderzoeker heeft meerdere lekken in de scanners en apparatuur ontdekt die op Amerikaanse luchthavens worden toegepast, zoals backdoor-accounts en vaste wachtwoorden. Dat liet onderzoeker Billy Rios vorige week tijdens de Black Hat conferentie in Las Vegas weten.
Rios onderzocht drie apparaten, een röntgenscanner die wordt gebruikt voor het scannen van de handbagage van passagiers, een prikkloksysteem en een "trace detection scanner" voor het opsporen van verboden of gevaarlijke stoffen. Ook keek hij naar de software die de Transport Security Administration (TSA) gebruikt om het eigen personeel te testen. De röntgenscanner bleek meerdere kwetsbaarheden te bevatten, waaronder een authenticatieprobleem. "Zelfs als je niet het juiste wachtwoord weet, kun je nog steeds toegang tot het apparaat krijgen", zo laat de onderzoeker tegenover eWeek weten. "Als je toegang tot het apparaat hebt, kun je ook de wachtwoorden van andere gebruikers achterhalen."
Het prikkloksysteem dat de TSA gebruikt voor het bijhouden van de uren van het personeel bleek over twee backdoor-accounts te beschikken waarmee technici op afstand de apparatuur kunnen onderhouden. Een aanvaller die inloggegevens weet kan echter ook inloggen. Rios ontdekte 6.000 van dit soort systemen op het internet, maar slechts twee waren er van Amerikaanse luchthavens en zijn inmiddels offline gehaald. Een aanvaller die toegang tot de systemen weet te krijgen zou zo verder het netwerk kunnen verkennen.
Een ander detail is dat de apparatuur een in China gemaakt moederbord blijkt te gebruiken. Eerder weigerde de TSA nog de aankoop van een bepaald model röntgenscanner omdat die een in China gemaakte lamp gebruikte. Ook bij de trace detection scanner werd een aantal accounts met vaste wachtwoorden gevonden die voor onderhoudspersoneel bedoeld waren. Met de wachtwoorden zou het mogelijk zijn om de apparatuur over te nemen. "Aangezien het apparaat drugs en explosieven moet vinden, zou je ervoor kunnen zorgen dat het die niet detecteert."
Testsoftware
Verder waarschuwde de onderzoeker ook voor de software waarmee de TSA het personeel test. Deze software "injecteert" een dreiging in de bagage van passagiers op het scherm. "Dat is waarom je willekeurig op een luchthaven wordt gescreend", merkte Rios op, zo laat SC Magazine weten. Bij de controle wordt echter niets gevonden, omdat het wapen zich alleen op het scherm bevond. Op deze manier wil de TSA de detectievaardigheden van het personeel testen. Als de software, die volgens Rios zeer gebrekkig is, ervoor zorgt dat het scherm kan worden aangepast, het ook door mensen met kwade bedoelingen kan worden gebruikt.
De onderzoeker wil met zijn onderzoek vooral laten zien dat de TSA niet precies alles weet van de software die het gebruikt. "Gegeven dat deze apparaten in een beveiligingsgevoelig gebied worden gebruikt, zouden ze moeten weten of er geen voor de hand liggende lekken aanwezig zijn." Alle door Rios gevonden problemen zouden zes maanden geleden al aan het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid zijn gemeld.
Mooi was ook een rapport over Manchester Airport dat de volautomatische paspoortchiplezende gezichtsherkennende poortjes waarin te lezen was dat de machines het grootste deel van de tijd uitstonden omdat ze voortdurend kuren hebben. En oh ja, het verschil tussen man en vrouw niet kunnen zien, zoals het geval van een echtpaar wat met per abuis omgewisseld paspoort gewoon door mocht lopen van de machines.
Niet heel toevallig kwam er net ook weer aan het licht dat aan 40% van de namen op de mag-niet-vliegen-lijsten geen enkele terreurbindingsluchtje te bespeuren is. Van de rest is het nog maar helemaal de vraag want vaak zeer speculatief eropgezet. En er weer afhalen doet dus niemand; kostte die ene dame zeven jaar procederen tegen geheime regels om het dan maar zelf gedaan te krijgen.
Echt, hoepel toch een flink eind op met al die dure apparaten (met aangebouwd gniffelhok), stuur de grote horden domme rukkers weer naar huis, hef al die regels weer op (en vooral de geheime, en de lijsten, en de databases, en de vingerafdrukken, en de paspoortchips), en zet gewoon een paar ouderwets capabele douaniers neer. Kost wat meer aan mankracht, maar een stuk minder aan nukkige apparatuur vol met gaten en andere misstanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
