Если спросить вас о самом безопасном месте в мире, то сначала, наверное, в голову придет какая-нибудь военная база под землей или бункер президента. Но для обычных людей самая строгая и безопасная среда, которая встречается в жизни, — это аэропорт. Вооруженная охрана, посты проверки документов и багажа создают круговую оборону, препятствующую террористам и бандитам, которые не могут спокойно заходить на борт аэробусов и боингов. Именно из-за такой солидной защиты аэропорта я очень удивился, узнав, что службы вроде американского Агентства транспортной безопасности (АТБ) уделяют все внимание физической безопасности, недооценивая важность компьютерной.
Презентация по этой теме была сделана на конференции SAS-2014 исследователями Билли Риосом и Терри МакКорклом из компании Qualys, которые потратили немало времени, исследуя начинку важной системы аэропортовой безопасности, а именно рентгеновского интроскопа. Для тех, кого редкие слова расстраивают, поясню, что интроскоп — это агрегат, проглатывающий сумки пассажиров и показывающий их содержимое в соляризованных цветах на экране у оператора. Устройство управляется со специальной небольшой панели и не выглядит компьютером, но по сути это специализированный сканер, подключенный к обычному ПК, на котором запущена особая программа для своеобычной Windows. Билли Риос добыл бывший в употреблении интроскоп Rapiscan 522B на онлайн-аукционе и изучил его программные компоненты.
Найденное повергло опытного спеца по безопасности в шок. Во-первых, компьютер работал на базе Windows 98, которой исполнилось уже 15 лет. Microsoft уже давно ее не поддерживает, и можно только гадать, сколько незакрытых уязвимостей в ней накопилось. Десять лет назад компьютер можно было заразить, просто подключившись к нему по сети и «пообщавшись» с ОС, не утруждаясь исследованиями, какие программы там стоят и как настроены. Из-за этого случались целые пандемии. Во-вторых, специальная программа, работающая со сканером сумок, целиком заточена на физическую безопасность. Компьютерная явно не была приоритетом. Пароли операторов хранятся в открытом виде, и есть несколько способов зайти в систему, ничего не зная об именах пользователей и прочих мелких подробностях. «Система сообщает об ошибке, но потом все равно пускает вас внутрь», — сказал Риос. Впрочем, самая интересная находка — третья по счету.
Виртуальные пистолеты
Изображение на экране у оператора по сути является компьютерной симуляцией, поскольку рентгеновские снимки не являются цветными. Но компьютер обрабатывает черно-белое изображение специальными алгоритмами, что помогает оператору быстро подсветить на экране, например, металлические объекты или что-то с жидкостью внутри. Таких «фильтров» много, но приложение не останавливается на этом в модификации картинки. Поскольку угроз на сканере обнаруживается очень мало (нынче редкий герой рискнет пронести на борт пистолет), начальство держит операторов в тонусе, иногда вставляя изображение оружия поверх картинки с настоящим содержимым сумки. Увидев пистолет или нож (в системе десятки таких изображений), оператор обязан нажать «тревожную кнопку». В учебном сценарии, который я описал, сигнал тревоги не срабатывает, но компьютерная система фиксирует, что оператор не утратил внимательности и не пропустил угрозу. Это умный трюк, но возникает вопрос — сколько еще «фотошопа» можно применить к картинке? Возможно ли добавить в базу данных дополнительное нейтральное изображение и вывести его поверх картинки настоящего оружия в сумке? Такой взлом теоретически возможен, с учетом того, какое старое и уязвимое ПО используется в протестированном сканере.
Не стоит волноваться?
Отменять следующий полет я бы вам не советовал, потому что ситуация на так ужасна. Во-первых, все компьютеры на посту проверки изолированы от Интернета. Их можно взломать локально, но это гораздо сложнее для гипотетических атакующих. Во-вторых, производителей рентгеновских сканеров много, а ребята из Qualys протестировали всего один (притом не новый). Я искренне надеюсь, что в других моделях с защитой дела получше. В-третьих, аэропортовая безопасность состоит из многих слоев, и многие специалисты считают, что хорошо заметные меры вроде рамок металлодетекторов и интроскопов наименее важны. Поэтому даже в маловероятном случае порчи сканера другие защитные меры все еще действуют.
Впрочем, это исследование учит нас, что традиционные меры безопасности вроде административного ограничения доступа или изоляции подсети от Интернета не заменяют специальных мер киберзащиты. У АТБ имеются детальнейшие стандарты, описывающие пост проверки сумок до таких мелких деталей, как размеры пластиковых подносов, на которые пассажиры кладут вещи. Эти стандарты должны включать и столь же подробное описание мер ИТ-безопасности, поскольку аэропортовые сканеры явно попадают под понятие критической инфраструктуры. Только так можно обеспечить нашу с вами авиационную безопасность в будущем.
P.S. Этот пост был целиком написан на борту Airbus 330, летящего с Тенерифе в Москву. Несмотря на описанные уязвимости, я по-прежнему не боюсь летать.