Раздевающий сканер в аэропорту — есть уязвимости!

Споры вокруг применяемых «раздевающих сканеров в аэропортах» продолжаются. Части пассажиров не дает покоя мысль, что на их тело, пусть даже в условном «рентгеновском» виде смотрит сотрудник безопасности аэропорта.

Между тем, беспокойство должно вызывать другое:
два года назад, блоггер Джонатан Корбетт выявил уязвимость сканеров Rapiscan 1000. Суть в том, что металлические предметы выглядят на экране сканера как черные области на светлом фоне. Так же выглядит фон вокруг человека. То есть, если подвесить оружие сбоку от тела, то оно окажется невидимым, сольется с фоном! Блоггер доказал это, пронеся указанным способом увесистую металлическую коробку в подшитом боковом кармане. В тот раз служба авиационной безопасности TSA проигнорировала обращение блоггера.

Тогда команда исследователей в области безопасности из Калифорнийского и Мичиганского университетов провела свои исследования. Результат многомесячной работы ошеломил: помимо того, что идея блоггера подтвердилась, они нашли еще ряд способов обмануть сканер! В тревожный список входят: тефлоновая лента, скрывающая оружие на фоне позвоночника, установка «трояна» на сам сканер, формование пластиковой взрывчатки вокруг тела, делающее её практически неразличимой на фоне плоти.

Исследователи приобрели для своей работы реальный сканер Rapiscan 1000. Пробуя найти способ пронести запрещенные предметы, они обнаружили, что способ блоггера работает: пистолет, закрепленный сбоку от туловища, остается невидим на черном фоне. Трюк работает с полностью металлическими моделями, пластик же выдает себя белым цветом. Складной нож, приклеенный вдоль позвоночника тефлоновой лентой, оказался полностью ей замаскирован!

Раздевающий сканер в аэропорту - бомба

Изображения человека без оружия (слева) и с 9-мм пистолетом, закрепленным на ноге (справа).

 Еще более тревожным явилось то, что если пластиковую взрывчатку нести не в виде куска, а облепить ей тело человека, то она практически сливается с изображением туловища. Имитатор детонатора был спрятан в круглый контейнер на месте брючной пуговицы (ремень обычно заставляют снимать).

Раздевающий сканер в аэропорту

На фотографии: сравнение изображений человека без взрывчатки (слева) и с 200 граммами имитатора пластиковой взрывчатки (справа), сформованной вокруг тела, и имитатора детонатора, спрятанного в пуговице на животе.

Принцип работает, но все не так просто, как кажется: исследователям пришлось перепробовать разные варианты прежде, чем они нашли все тонкости, приводящие к результату. Разумеется раскрывать их они не намерены, чтобы не передавать рецепт в плохие руки.

В дополнение к физическим способам обмана, исследователи экспериментировали с более продвинутыми цифровыми методами. Если допустить вероятность сговора с персоналом аэропорта, или техником, обслуживающим  раздевающий сканер в аэропорту (а это не так уж невероятно), то «троян», установленный на управляющий компьютер сканера может подменять изображение террориста на поддельную картинку, если «троян» увидит кодовое изображение на теле сканируемого.

Раздевающий сканер в аэропорту

На фотографии: QR код, выполненный металлизированной краской на майке, одетой под другую одежду.

Исследователи передали результат своей работы в управление авиационной безопасности, но особой реакции, кроме подтверждения получения письма не последовало. Когда журналисты обратились в TSA за разъяснениями, был получен ответ, что «используемые технологии проходят жесткое тестирование и сертификацию, что означает соответствие рисков применяемым требованиям и алгоритмам обеспечения безопасности». В ответе также указывалось, что «у злоумышленников нет технической возможности получить для подобных исследований доступ к раздевающему сканеру в аэропорту. Кроме того, используется собственное программное обеспечение и настройки системы».

Исследователи отмечают, что если отбросить вероятность внедрения «трояна» в ПО, то уязвимость физического характера можно устранить, введя в регламент второе сканирование с «поворотом на 90 градусов».

Важный урок, который можно извлечь, заключается в том, что стоит уделять большее внимание независимому тестированию перед внедрением систем, а также исключить возможность приобретения или других форм доступа к подобному оборудованию злоумышленниками, устранив вероятность проведения экспериментов.

Справедливости ради, стоит сказать, что упоминаемый в статье сканер не является самым современным, и ему на смену пришли другие модели, лишенные указанных недостатков. Однако практическая замена уже купленного ранее оборудования произошла далеко не везде, так что упоминаемые аппараты продолжают работать в различных местах.

 

 

Поделиться:

Опубликовать в Facebook
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Одноклассники

Еще на моем сайте: