Просмотрев новостные ленты, можно увидеть множество заголовков: «Иностранные хакеры атаковали атомные электростанции CШA», «Хакеры нашли способы обмануть автопилот Tesla» , «Группа хакеров Orangeworm атаковала рентген аппараты, МРТ и другое медицинское оборудование». Масштабы проблемы глобальны и заставляют задуматься о безопасности подконтрольных объектов.
В связи с этим стало интересно проанализировать ситуацию на возможность взлома оборудования для досмотра, а именно рентгенотелевизионных интроскопов.
Рентгенотелевизионные интроскопы используются для обнаружения запрещенных и опасных веществ и предметов в аэропортах, вокзалах, морских портах, почтовых и грузовых терминалах на таможне и многих других местах, где требуется проведение досмотровых мероприятий в больших объемах с минимальными затратами времени.
Для начала давайте определим, какие цели могут преследовать хакеры при взломе рентгенотелевизионного интроскопа:
- Вывод из строя - как следствие - невозможность проверки.
- Фальсификация проверки
- Шпионаж
Последствием взлома рентгенотелевизионного интроскопа, является, например, возможность маскировки оружия или другой контрабанды, скрытой в багаже путешественника, почтовых отправлениях и другом грузе, на таможне и в аэропортах. А это уже влечет за собой серьезные проблемы и последствия.
Возможно, ли взломать рентгенотелевизионные интроскопы, используемые сегодня для досмотра?
Ответ - да, по словам двух исследователей безопасности экспертов по обнаружению недостатков в критических системах Билли Риоса и Терри МакКоркла.
Они приобрели одну из моделей рентгенотелевизионного интроскопа, которую используют в аэропортах по всему миру. Проведя несколько месяцев исследований и анализируя устройство и алгоритмы работы систем интроскопа, им удалось обнаружить довольно много уязвимостей.
Одну из уязвимостей эксперты увидели в функции «Threat Image Projection (TIP)» - эта функция предназначена для обучения и тестирования квалификации операторов рентгенотелевизионного интроскопа. Она позволяет администратору системы накладывать выбранный образ запрещенного к провозу предмета на экран любой системы багажа в аэропорту. Эта возможность позволяет кому-то, имеющему доступ к рабочей станции диспетчера аэропорта, наложить безобидное изображение носков или нижнего белья на рентгеновское сканирование, которое иначе выявило бы оружие или взрывчатку!
Вы скажите, что злоумышленнику нужен доступ к ПК администратора и, теоретически, знание учетных данных администратора, чтобы загрузить свои собственные изображения в систему и подменить в нужный момент. Но, во-первых, никто не отменял подкуп сотрудника и, как следствие, служебное преступление, а во-вторых, в тестируемой версии программного обеспечения для управления рентгенотелевизионным интроскопом, пароль администратора удалось обойти с помощью простой атаки SQL-инъекции – которая является обычным приемом хакера. Таким способом экспертам удалось обойти авторизацию и получить доступ к управлению функцией TIP.
В дополнение к обходу авторизации в системе, исследователи обнаружили, что все учетные данные пользователей системы были сохранены в незашифрованном текстовом файле. Поэтому если кто-либо получит доступ к файловой системе интроскопа, у них будет доступ ко всем учетным записям пользователей и паролям в открытом виде. Поэтому даже нет необходимости в кейлоггерах или вредоносных программах, все можно просто прочитать из текстового файла.
Подробный отчет и результаты исследований, эксперты представили на саммите Kaspersky Security Analyst.
Замечания экспертов отчасти интересны тем, что устройства системы безопасности в аэропортах, как правило, недоступны для тестирования независимыми экспертами, которые регулярно анализируют и тестируют безопасность коммерческих и открытых продуктов, таких как операционные системы Windows или Linux, для выявления уязвимостей в них. Поэтому многие уязвимости своевременно не выявляются.
К тому же программное обеспечение для рентгенотелевизионного интроскопа, которое они изучали, было основано на Windows XP. Более поздние модели работают в Windows7. На сегодняшний день поддержка первой операционной системы полностью прекращена Microsoft, а вторая будет завершена в 2020 году.
При этом надо понимать, что в реалиях эксплуатации, обновления безопасности не устанавливаются, а отдельное программное обеспечение для защиты от вирусов и атак отсутствует вовсе и, к тому же, многие используют устаревшее оборудование.
Сделаем акцент на том, что для операционных систем Windows существует множество удаленных эксплойтов, которые влияют на эту операционную систему и благодаря им возможность удаленного взлома ОС рентгеновского интроскопа возрастает.
Многие специалисты считают и скажут, что рентгенотелевизионные интроскопы для досмотра багажа в аэропортах не подключены к компьютерной сети интернет. Но спешим заметить, что они не являются полностью изолированными системами. Например правила Transportation Security Administration(TSA) - администрации транспортной безопасности, которая является агентством Министерства внутренней безопасности, обеспечивающей безопасность пассажиров в Соединенных Штатах требуют, чтобы все багажные сканеры и другое оборудование безопасности в крупных аэропортах США были подключены к центральной сети под названием TSANet. При этом в открытых источниках можно найти данные о том, что сеть TSANet объединяет почти 500 аэропортов и офисов соединена с центральным сервером. А большинство современных интроскопов имеют интерфейс подключения к сети.
Мы хотим уточнить что функция TIP присутствует во всех одобренных TSA сканерах Rapiscan, L3 и Smith Detection , но эксперты не могут точно сказать, работают ли другие аналогично и могут ли также легко быть взломаными.
Данная статья подготовленна для привлеченния внимания специалистов, занимающихся обеспечением безопасности, а также проблеме возможного взлома оборудования для проведения досмотра. Предупрежден - значит вооружен!
Мы со своей стороны готовы проконсультировать и провести ремонт и комплексное обслуживание рентгенотелевизионых интроскопов, провести аудит системы на наличие уязвимости и возможные методы взлома, а после устранить ошибки безопасности.
В дальнейшем рассмотрим ситуацию с возможностью взлома двух других систем применяемых при досмотре - одну для обнаружения взрывчатых веществ и наркотиков, а также проходных арочных металлоискателей. Подписывайтесь на новостную рассылку нашего сайта, чтоб быть в курсе событий рынка радиосвязи и досмотрового оборудования.