האקרים יצרו מפתחות ראשי למנעולים שאושרו על ידי TSA, ול TSA לא היה אכפת פחות

TSA-Lock2

במשך שנים המליצה ה- TSA האמריקנית (זו הסוכנות לביטחון תחבורה, חטיבה לביטחון פנים) למטיילים בארצות הברית לקנות ולצייד את מזוודותיהם במנעול שאושר על ידי TSA. הסיבה לכאורה לכך היא משום שהיא מאפשרת לסוכנות גישה מיידית לתיק שלך במקרה שהיא צריכה לבדוק את המזוודות שלך במקום לדרוש מהסוכנים לחתוך את המנעול פיזית על מנת לבדוק את תכולתו. כעת, צוות האקרים הוכיח כי שבעת מפתחות הראשי שפותחים באופן קולקטיבי כל מנעול שאושר על ידי TSA שיוצרו אי פעם.

ראשית, קצת רקע. בשנת 2003 הציג Travel Sentry סוג חדש של מנעול שאושר על ידי TSA עם דלת אחורית מובנית. סוכן TSA חמוש בכלים המתאימים יכול לפתוח את המנעול, לבדוק את הפריט ואז לשלוח את המזוודות בדרכה. המערכת כולה נועדה להבטיח שהפקידים עדיין יוכלו לחפש מזוודות מבלי לאלץ את הצרכנים לוותר על כל הביטחון שלהם בתהליך.



ה- TSA המליץ ​​לנוסעים להשתמש במנעולים אלה במספר הזדמנויות, למרות החשש הגובר כי המכשירים עלולים להיות בסכנה. השבוע ארס טכניקה הוכיח כי ניתן היה להשתמש בהדפסת תלת מימד להדפסת מפתחות ראשי חדשים, ובכך למנוע את כל הנקודה של קניית מפתח TSA מלכתחילה (לפחות, מבחינת האבטחה). נכון, המזוודות אינן מאובטחות במיוחד, עם או בלי מפתח, שכן ניתן לחתוך מזוודות רכות או להתפשר על הרוכסן, אך זה עדיין מביך עבור ארגון שמחזיק את עצמו כסטנדרט הזהב ב תיאטרון ביטחון נסיעה בטוחה.



אופס

אופס

היירוט הגיע ל- TSA כדי לגלות כיצד הארגון מתכוון להגיב לחדשות וגילה שלמעשה לא אכפת לו. 'היכולת המדווחת ליצור מפתחות למנעולי מזוודות שאושרו על ידי TSA מתמונה דיגיטלית אינה יוצרת איום על ביטחון התעופה', כתב דובר TSA, מייק אינגלנד, בדוא'ל ל- Intercept.



'מוצרי צריכה אלה הם מכשירי 'שקט נפשי', לא חלק ממשטר הביטחון האווירי של TSA', כתבה אנגליה.

מובן מאליו כי ה- TSA מעולם לא פירטה 'שקט נפשי' כסיבה לרכישת מפתח ספציפי שאושר על ידי TSA. אבל יש כאן עוד על כף המאזניים.

מטאפורה של דלת אחורית

הבעיה במפתח TSA היא שהוא הסתמך על הרעיון שרק לאנשים 'הנכונים' (קרא: פקידי TSA) תהיה גישה למפתחות המתאימים. כל עוד זה היה נכון, ניתן לטעון שמזוודות היו מאובטחות (אם כי ה- TSA הכירה בבעיות משלה בגניבה בפוסטים שונים בבלוגים לאורך השנים). פעם אחת תצלום בודד הראה כיצד שיני המפתח מעוצבים, אולם החתול היה מחוץ לתיק.



זו הסיבה שההצפנה בדלת האחורית מהסוג שדוגלים בגופים ממשלתיים שונים מסוכנת כל כך. בעולם האמיתי, מפתחות מצטלמים, מרגלים מגלים ודולפים קודים, ואפילו מערכות הצפנה ברמה העליונה כמו האניגמה הגרמנית של מלחמת העולם השנייה יכולות להיות מופחתות על ידי נוהלי אבטחה לקויים, פעולה לא מושלמת או משיכות מזל. האקרים הוכיחו כי הם מסוגלים לשרשר מידע אישי כדי ליצור התקפות נגד אנשים על ידי ניצול חולשות של שירותים מרובים. מזוודות שדה תעופה אולי נראות הולכות רגל בהשוואה לפריצות המתקדמות שמתרחשות ברחבי הרשת המודרנית, אך התחזות של חנית - הנוהג להשלות משתמשים לחשוף נתונים קריטיים אודות עצמם לאדם שלדעתם מייצג עסק לגיטימי - חי וקיים. המכשירים שאנו נועלים עשויים להיות שונים בתכלית, אך העקרונות שמבטיחים את ביטחונם לא השתנו כל כך הרבה.

לגלות שמנעולי ה- TSA חסרי ערך בדיוק כפי שסביר להניח שהם לא ישנו את חייך - אך זו דוגמה מעשית לאופן שבו דלתות אחוריות יכולות להרוס מיד את אבטחת המערכת.

Copyright © כל הזכויות שמורות | 2007es.com