Wykrywacze metalu mają dbać o bezpieczeństwo. A co w sytuacji, w której... same są niezabezpieczone? No cóż - sprawy się komplikują, na szczęście specjaliści ds. bezpieczeństwa znaleźli luki, a producent je już załatał. Niesmak jednak pozostaje.
Miały dbać o bezpieczeństwo, a mogły paść ofiarą hakerów. Popularne wykrywacze metalu z poważną luką
Wykrywacze metalu są stałym elementem amerykańskiego krajobrazu. Korzystają z nich nie tylko lotniska, ale tak naprawdę wszystkie budynki rządowe (m.in. sądy, więzienia), a także szkoły — i to każdego stopnia. W praktyce trzeba być gotowym na skan w wielu miejscach także tych turystycznych — ot, jak chociażby muzea, galerie czy biblioteki. Standardem jest to także w wielu halach koncertowych czy stadionach. Nie jest to jednak równie uciążliwe co na lotniskach, bo tak naprawdę wszystko sprowadza się do zeskanowania plecaka i przejścia przez "bramkę" — czyli wykrywacz metalu, a w razie jakichkolwiek wątpliwości, dodatkową kontrolę przez pracownika.
I wszystko fajnie, bo przecież cały ten dodatkowy proces dla dobra ludzi gromadzącym się w jednym miejscu. Problem polega jednak na tym, że specjaliści do spraw bezpieczeństwa dopatrzyli się aż dziewięciu (!) luk w bezpieczeństwie oprogramowania produktu, który jest niezwykle popularny. Mowa tu o masowo wykorzystywanym w amerykańskim krajobrazie wykrywaczu metalu firmy Garett.
Skan mógł być bez sensu. Oprogramowanie wykrywaczy metalu z poważnymi dziurami
Garett to firma z tradycjami, która zaopatruje w swoje produkty wiele miejsc... i branż w ogóle. Jak informują specjaliści z Cisco Talos, używany w popularnych produktach (Garrett PD 6500i i Garrett MZ 6100) firmy moduł iC mógł stanowić nie lada problem. Bo chociaż to on umożliwia podgląd skanów w czasie rzeczywistym pracownikom, to przez problemy z zabezpieczeniami których się dopatrzyli — mógł być w bardzo łatwy sposób zhakowany. Co to oznacza w praktyce? Chociażby opcję odcięcia wykrywacza metalu od sieci, wykonanie dowolnego kodu. W przypadku narzędzia mającego dbać o bezpieczeństwo, to właściwie niedopuszczalne. Wyobraźcie sobie tylko sytuację, w której atakujący może zdalnie manipulować wynikami skanów, wyłączyć (i skasować) informacje o aktywowaniu alarmu czy nawet czystą statystykę — ilu ludzi dziś przeszło przez bramkę. A, niestety, przez problemy z zabezpieczeniami, nie jest to scenariusz, którego nie da się spełnić.
A może raczej: nie można było. Bo luki w module iC zostały odkryte przez pracowników Cisco Talos już kilka miesięcy temu — i natychmiast poinformowano o nich producenta. Co prawda chwilę to trwało, bo aż cztery miesiące, ale w tych kilka miesięcy Garett zadbał o stosowne aktualizacje, które trafiły do ich produktów. Jak to jednak zwykle bywa, kluczowe jest jej zainstalowanie, by wcześniejsze luki zostały załatane, a jak wygląda sprawa z ich wdrożeniem przez dotychczasowych klientów... no cóż, to sprawa wyłącznie indywidualna każdego z nich.
No i przy takich produktach... może warto jednak rozważyć rozwiązania, które kompletnie zminimalizują takie problemy, nie dając im na przykład zdalnego dostępu? Kontrola tego kto może gmerać fizycznie przy sprzęcie byłaby znacznie łatwiejsza. Internet Rzeczy nie jest odpowiedzią na wszystko, o czym regularnie się przekonujemy.
Zaktualizowane? Bardzo dobrze, ale niesmak i brak zaufania wciąż pozostają
Przeszedłem w swoim życiu już prawdopodobnie setki kontroli — tych lotniskowych i tych poza nimi. I im więcej mam z nimi doświadczenia, tym bardziej zastanawiam się, ile one są w ogóle warte. Nie wątpię w dobre intencje pracowników, ale kiedy ufają maszynom, a te mogą zawieść... no nie wygląda to najlepiej.
Zresztą nawet zakładając że nie zawodzą, wciąż pamiętam moje zdziwienie kiedy odkryłem że w portfelu od kilkunastu podróży samolotem mam ze sobą zakupioną żyletkę w przegródce na drobne (o której kompletnie zapomniałem, bo z gotówki korzystam tyle co nic). Już 110 mililitrów wody narobiłoby sporo rabanu w moim plecaku, ale żyletka którą potencjalnie można wyrządzić dużo większą krzywdę nikogo nie zainteresowała. I nie była to kwestia jednego lotniska, bo przeszedłem z nią kontrole w różnych częściach świata. A kiedy ją znalazłem, byłem szczerze zszokowany, że nie zwróciła niczyjej uwagi.
Zdjęcia: Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu