Vídeo: Doraemon - Ending 1 Català HD (De novembre 2024)
Quantes persones van escoltar el Black Hat parlant dels comptes de portes posteriors presents als escàners utilitzats per molts aeroports dels Estats Units i van pensar: "Com vaig a tornar a casa després d'això?" Sé que ho vaig fer.
Moltes de les màquines desplegades als punts de control de seguretat de l’aeroport tenen comptes incrustats amb contrasenyes per defectes que poden abusar, segons va dir Billy Rios, director d’intel·ligència d’amenaça de Qualys, als assistents a la conferència de Black Hat dimecres. En aquest cas, la preocupació és que els atacants puguin utilitzar els comptes com a porta posterior per accedir al sistema.
Els comptes incrustats als escàners no s'han afegit com a entorns posteriors maliciosos. Als fabricants els agrada crear comptes incrustats amb contrasenyes amb codis durs amb finalitats de manteniment i assistència. Si és convenient, aquests comptes plantegen problemes quan els administradors ni saben que existeixen, ni tan sols poden canviar les contrasenyes per una altra cosa.
Rios va trobar que alguns d'aquests escàners aeroportuaris podrien accedir-hi des d'Internet públic. Combina el fet que aquests sistemes estaven exposats i els comptes de la porta del darrere tenien contrasenyes predeterminades amb codis durs i les implicacions són una mica espantoses. Si l’atacant té accés a l’escàner de forma remota, pot manipular els resultats de la prova?
Aquesta xerrada es va basar en el sistema de detecció de traça d’explosius i residus de Morpho Detection Itemiser 3 que es va utilitzar per cercar rastres d’estupefaents i explosius als equipatges i el sistema de rellotge horari Kronos 4500. Rios va trobar uns 6.000 sistemes Kronos a Internet públics, però, per sort, només dos s'havien desplegat als aeroports. Una ha estat eliminada i l’altra encara està en línia i està en ús, va dir Rios.
El 24 de juliol, l'ICS-CERT del Departament de Holemand Security va publicar un assessorament sobre la falla Itemiser.
L’altre aspecte desconcertant de la xerrada va ser el fet que l’Agència de Transport i Seguretat no estava validant les característiques del producte i verificant el funcionament del sistema com a comercialitzat. Els hospitals inclouen avaluacions de seguretat com a part del procés d’adquisicions. Per què això no passa amb la TSA?
"Això és el que m'agradaria veure que TSA fes. Mireu abans d'acceptar un producte i busqueu una contrasenya de la part posterior sense dependre de la bona voluntat dels venedors" per canviar la contrasenya, va dir Rios.