SAS2014
要说世界上最安全的地方,你可能会想到一些军事掩体或美国总统藏身之地。但对于我们普通大众来说,安全标准最高的地方是机场。机场全副武装的安保人员、多道安检和身份核查点构成了360度全方位安保,防止恐怖分子和罪犯随意乘大型波音和空客飞机旅行。因此,当我发现美国运输安全局和其他国家类似机构的人员将绝大部分注意力放在实物安检上,而忽视网络安全时,我十分震惊。
在SAS 2014大会上,科力斯(Qualys)公司研究人员Billy Rios和Terry McCorkle发表了主题演讲。他们花了一些时间对机场周界安保中极重要的系统-X光安检仪进行了研究。熟悉X光安检仪的专业人士都知道,此类机器用于扫描传送带上行李,然后在操作员屏幕上以不同曝光颜色显示行李内容。此设备通过专用键盘进行控制,看起来并不像一台计算机,但实质上却是一种高度专业化的扫描仪,需要连到一台普通电脑,在Windows典型安装后运行软件。Rios和McCorkle通过网上拍卖购得了一台二手安检仪Rapiscan 522B,然后对其软件组件进行检查。检查结果让两位经验丰富的安保专家大跌眼镜。首先,计算机使用的是Windows 98操作系统,要知道Win 98从发布到现在已有15年的时间了。微软早在多年前就不对此系统提供支持了。完全可以想像,在使用Windows 98的老机器上会存在多少可利用和未打补丁的漏洞。而且只要连到计算机网络端口并与操作系统对话,就有可能感染计算机,而无需对软件配置等进行额外调查。其次,专用安检软件本身也只是非常关注实物安检,即行李内物体的安检。安检计算机的安全性绝不是优先考虑因素。操作员密码以明文存储,因此有多种方式可以登录到系统,而不必事先知道用户名和其他详细信息。”它会通知你存在错误,[但接着]还是允许你登录。”Rios说。但最重要的发现是第三点。
虚拟枪支
操作员屏幕上显示的图像实际上是计算机仿真图,因为X射线扫描本身并没有任何颜色。计算机的工作就是执行专门的图像处理,帮助操作员迅速突出显示金属物体,或装有液体的物品等。有多种”过滤器”可用,但安检软件执行的绝不止于此。由于通过安检仪检测到威胁相当少(实际上如今没人试图带枪上飞机),因此主管人员为了使操作员保持警觉,偶然会在实际行李内容上插入一张枪械图。操作员看到枪支或刀具时(系统中含有数十张枪/刀的图像),必须按下报警键。在这种培训性质的场景中,报警器实际上并不会触发,但内部评估系统会记录下操作员的专注程度。这种做法很聪明,但同时也产生了一定的担忧。哪类图片修改可以进一步应用于行李图?难道说不可能向内部数据库添加一些中立图像,然后用其覆盖屏幕上的实际枪械吗?鉴于测试的是此类过时且漏洞百出的安检仪软件,此类入侵在理论上来说是可行的。
不用担心?
别因此而取消你的下一次航班,实际情况并没有那么糟糕。第一,机场安保区内的计算机独立于互联网。虽然仍有被本地入侵的可能性,但对于假想的攻击者来说会是额外巨大的挑战。第二,X光安检机的供应商不止一家,Qualys研究人员测试的仅仅是其中一家(而且还不是一台新机器)。我真心希望其他厂家的安检机更安全。第三,机场安检采用分层结构,在许多专家眼里,像金属探测器和窥视仪这种明面上的安检措施的重要性最低。所以即便是在扫描仪发生故障(不太可能)的情况下,也还有其他安检措施可用。但是,此次研究告诉我们一个事实,那就是管理门禁控制和”airgapping”(网络隔离)等传统安保措施无法替代网络安全专用层。TSA有非常具体的标准来描述筛选检查点的配置,甚至细到包括乘客所用塑料托盘的尺寸。这一标准还必须包括IT安全性措施的详细描述,因为机场系统肯定要归类到关键基础架构类别中。只有这样才能从长远确保我们的飞行安全。
附言:本文完稿于空客A330从特纳利夫岛至莫斯科的飞行途中。虽然有本文中所述的各种漏洞问题,但我根本不害怕乘坐飞机。
