TSA檢查站存在黑客後門 - 彭博社

運輸安全管理局，這個我們都曾為之脱鞋、脱夾克和掏零錢的機場守護者，正面臨着一個令人擔憂的安全問題，來自Qualys的網絡研究員表示。

據比利·里奧斯（Billy Rios）所説，可能在機場和其他安全檢查點使用的兩種設備存在“後門”——硬編碼在設備中的用户名和密碼，黑客可以利用這些信息進入機器。他在拉斯維加斯的黑帽安全會議上討論了這一發現。

製造商為什麼會創造這種風險？這實際上相當普遍——通常是為了便於維護，以便技術人員能夠進入並對機器進行服務。

里奧斯是Qualys的威脅情報總監，該公司提供網絡安全服務，他在eBay上購買了兩種不同的設備：一種用於跟蹤TSA員工工作的打卡系統，價格約為200美元，另一種是名為Itemiser的毒品和爆炸物檢測系統，價格約為800美元。

由Kronos製造的時間跟蹤系統，通過硬編碼的用户名和密碼有兩個後門。更糟糕的是，里奧斯發現大約有6000台設備連接到互聯網，包括舊金山國際機場的一台——里奧斯表示，他與國土安全部合作將其下線。

他，或者一個黑客，可能已經使用技術人員的憑據登錄並控制了那些機器，從而進入設備連接的任何網絡。例如，如果Kronos被用於訪問控制，你也可以顛覆或操縱它，Rios説。

“人們最重要的 takeaway 是，如果設備連接到互聯網和另一個網絡，這種情況非常普遍，你基本上就有了一座橋，”他説。“對於非機場來説，風險仍然是一樣的。如果你有一個連接到互聯網的Kronos，同時也連接到你的公司網絡，那麼你就給了某人訪問你公司網絡的權限。”

Kronos發送了一份電子郵件聲明，表示公司不對其設備的特定客户使用發表評論：“我們沒有看到Qualys的研究，但描述的問題似乎是多年前識別出的一個問題，我們已經進行了修復，並提供了補丁。”

第二件設備，Morpho Detection的 Itemiser 3，是一種可以在安全人員在你的手或包上擦拭棉籤後找到毒品或爆炸物痕跡的機器。Rios説，他在網上購買了一個帶有聯邦監獄標籤的設備。

Rios無法購買TSA使用的版本——一種叫做Itemiser DX的新型號——也無法查看有多少這些設備連接到互聯網。但他説，同樣的擔憂，硬編碼的用户名和密碼可能會讓黑客獲得訪問權限，仍然適用。

Morpho Detection 在2010年停止了 Itemiser 3 的生產，TSA 並不擁有或操作任何設備，公司的總裁兼首席執行官 Karen Bomba 在一封電子郵件聲明中表示，並且計劃在年底之前消除 Itemiser 3 的漏洞。

與此同時，Rios 向國土安全部提交了他的分析，該部門在七月發佈了一份 通告，將 Itemiser 漏洞的嚴重性評級定為最高。

Rios 説，關鍵在於 TSA 可能對其購買的設備中的網絡安全風險沒有很好的理解。

“我希望他們開始提高他們的網絡安全標準，”他説，敦促供應商消除諸如硬編碼憑證等缺陷。“TSA 確實有足夠的影響力來推動事情朝着正確的方向發展，他們也有責任這樣做。”

TSA 的發言人 Ross Feinstein 表示，該機構對技術有嚴格的認證和認可流程：“這個流程確保信息技術安全風險被識別，並在必要時制定緩解計劃。我們使用的大多數設備並不對外銷售或提供給任何其他實體。”