У дома Securitywatch Скенерите на летищата имат акаунти в заден план, пароли по подразбиране

Скенерите на летищата имат акаунти в заден план, пароли по подразбиране

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)
Anonim

Колко хора слушаха разговора на Black Hat за задните акаунти, присъстващи в скенери, използвани от много летища в Съединените щати, и си помислиха: „Как ще летя обратно у дома след това?“ Знам, че го направих.

Много от машините, разположени на контролно-пропускателните пунктове за сигурност на летището, имат вградени акаунти с пароли по подразбиране, които могат да бъдат злоупотребявани, каза Били Риос, директор на разузнавателната заплаха в Qualys, пред присъстващите на конференцията на Black Hat в сряда. В този случай опасението е, че нападателите може да могат да използват акаунти като задна врата, за да получат достъп до системата.

Вградените акаунти в скенерите не бяха добавени като злонамерени на заден план. Производителите обичат да създават вградени акаунти с твърдо кодирани пароли за целите на поддръжката и поддръжката. Макар и удобно, тези акаунти създават проблеми, когато администраторите дори не знаят, че съществуват тези акаунти и дори не могат да променят паролите на нещо друго.

Риос откри, че някои от тези скенери на летищата могат да бъдат достъпни от публичния интернет. Комбинирайте факта, че тези системи са били изложени, а задните акаунти са имали твърдо кодирани пароли по подразбиране и последиците са малко плашещи. Ако нападателят има достъп до скенера от разстояние, може ли да манипулира резултатите от теста?

Тази беседа беше базирана на системата за откриване на следи от експлозиви и остатъци от Morpho Detection Itemiser 3, използвана за търсене на следи от наркотици и експлозиви върху багажа, и системата за часовник Kronos 4500. Rios намери около 6 000 системи на Кронос в обществения Интернет, но за щастие само две бяха разположени на летищата. Единият е премахнат, а другият все още е онлайн и се използва, каза Риос.

ICS-CERT на Департамента за сигурност на Холеманд пусна съвещание за недостатъка на Itemiser на 24 юли.

Другият смущаващ аспект на беседата беше фактът, че Агенцията за транспорт и сигурност не потвърждава характеристиките на продукта и проверява работата на системата, както се предлага на пазара. Болниците включват оценки на сигурността като част от процеса на придобиване. Защо това не се случва с TSA?

"Това бих искал да видя TSA. Вижте, преди да приемете продукт, и потърсете парола за заден прозорец, без да разчитате на добрата воля на доставчиците", за да промените паролата, каза Rios.

Скенерите на летищата имат акаунти в заден план, пароли по подразбиране