Die Unsicherheit geheimer IT-Systeme
We now know a lot about the security of the Rapiscan 522 B x-ray system used to scan carry-on baggage in airports worldwide. Billy Rios, director of threat intelligence at Qualys, got himself one and analyzed it. And he presented his results at the Kaspersky Security Analyst Summit this week.
It’s worse than you might have expected:
“It runs on the outdated Windows 98 operating system, stores user credentials in plain text, and includes a feature called Threat Image Projection used to train screeners by injecting .bmp images of contraband, such as a gun or knife, into a passenger carry-on in order to test the screener's reaction during training sessions. The weak logins could allow a bad guy to project phony images on the X-ray display.”
«Wie wissen nun eine Menge über die Sicherheit des Rapiscan-522-B-Röntengerätes, das auf Flugfäfen weltweit dazu benutzt wird, Handgepäck zu durchleuchten. Billy Rios, Bereichsleiter Gefahrenabwehr bei Qualys, besorgte sich ein solches, und analysierte es. Er präsentierte seine Ergebnisse diese Woche beim Kaspersky Sicherheitsanalysen-Gipfel.
Es steht übler damit, als Ihr es vielleicht erwartet habt:
“Darauf läuft ein veraltetes Windows-98-Betriebssystem, Nutzerzugangsdaten werden im Klartext gehalten, und ein enthaltenes Feature namens ‘Threat Image Projection’ trainiert Sicherheitsmitarbeiter, indem es BMP-Bilder von Bannware wie Schuss- oder Blankwaffen zu [den Aufnahmen vom] Handgepäck hinzufügt, um die Reaktion der Mitarbeiter während der Übungen zu testen. Die leicht zu überwindenden Login-Hürden erlauben es Angreifern, gefälschte Bilder auf dem Röntenbildschirm anzuzeigen.”»
Den Bericht gibt's bei Bruce Schneier.
publiziert Fri, 14 Feb 2014 18:39:12 +0100 #bullshit #flughafenunsicherheit #spacken #überwachungswahn