搭乘飞机前,机场安检是保障乘客安全的最后一道防线,然而重兵布阵的机场安检其实羸弱不堪?昨天(9月7日),记者从中国互联网安全大会(ISC2015)组委会获悉,来自美国密歇根大学计算机科学教授John Alex Halderman,将在ISC现场揭秘机场安检系统可能存在的安全问题,并演示攻击者如何攻破机场安检,使其无法检测武器炸药等危险品。
图片来源互联网
机场安检系统可能泄露个人隐私
昨天,记者从ISC组委会获得John Alex Halderman的演讲议题介绍称,大量的信息物理系统为不同的应用设计,然而这些系统设计之初可能并没有充分考虑安全问题,比如机场安检扫描仪这种本身就为保障安全的系统也存在很多安全威胁。以机场安检扫描仪为例,正常情况下,扫描仪可探测出非法携带的危险品,但攻击者通过对仪器的软件修改及利用物理原理,可使扫描仪无法正常工作,导致无法鉴别出武器、炸药等危险品。
对此,浙江大学电气学院教授徐文渊解释称,机场安检扫描仪显示图像的背景为黑色,但当检测到有跟人体肌肉活体组织不同的物体时也显示为黑色,“如果不法分子将刀具、武器等危险品藏在身体的特殊位置,可能会致使扫描仪无法鉴别出来”。而为弥补这一缺陷,扫描仪一般会设置嗅探器,拍摄后,可完全复原被扫描者的裸体图像,“若有攻击者入侵,这些图像亦有流出的风险,导致乘客隐私被侵犯”。
黑客短时间即或可攻击安检系统
事实上,机场安检系统存漏洞可被黑客攻击也并非新鲜事,甚至有国外网络安全研究团队不久前就披露,仅仅通过一台普通的笔记本电脑,黑客就可以关闭一个机场的安全网络系统。
这是一个令人尴尬的事实,因为机场的这些系统在设计之初就是为了提升整个机场的安全系数的,但现在却成为了黑客发起攻击的着手点。发现这些系统漏洞的著名网络安全研究专家Billy Rios感慨:“这些设备的安全性能实在是太差了,着实令人堪忧。”
Billy Rios还解释,任何一个知道用户名和密码的人,都可以登录这些机场设备,然后得到机场网络的访问权。黑客只需要花费极少的时间,就可以利用这些漏洞,然后对这些系统进行攻击。而针对安检系统本身,他说,X光扫描仪允许未经授权的用户对扫描仪系统进行访问,恐怖分子和罪犯可以利用这一漏洞来欺骗扫描仪器,并隐藏他们所携带的武器。
可见,机场安检甚至整个机场系统若存漏洞并被不法攻击者利用,小到可能妨碍机场正常运作,大到可能会影响飞行安全,甚至危及乘客生命。
大量工业控制系统存低级漏洞
据了解,信息物理系统包括工业控制系统、智能设备和医疗设备等。360网络攻防实验室负责人林伟解释,类似于机场安检扫描仪,不少工业控制系统在设计之初没有完善考虑安全问题,导致使用过程中暴露很多漏洞,但由于添加补丁可能会导致系统运行不稳定而造成其他经济方面的损失,“故技术人员并不敢贸然进行修补,因此大量工控系统存在已知而得不到修复的大量低级漏洞”。
就此,徐文渊教授给出实例,比如心脏搭桥手术后,需要一种医疗设备帮助病人做恢复治疗,由于安全设计不善,设备在使用过程中可能会有病毒感染,需要添加补丁,“但打了补丁可能会使本身的功能失效,无法帮助病人恢复。”
与之类似,一系列被广泛应用于社会生活中的信息物理系统存在哪些安全问题,有何社会影响,并有哪些可能的改进方法? ISC组委会表示,9月30日上午,“数据篡改与物联网安全”分论坛上,John Alex Halderman将就基于物理特征、软件、硬件出发,就信息物理系统可能出现的问题为观众现场演示。
据了解,即将于9月29日开幕的中国互联网安全大会由中国互联网协会和360公司共同主办,创办于2013年,现已发展为亚洲地区最大的安全行业会议,成为安全行业和产业沟通、交流合作的主要平台,也被称为亚洲安全行业的风向标。除John Alex Halderma外,本届大会亦吸引了来自全球多个国家的互联网安全领域顶尖专家加盟。
大会组委会透露,继“数据篡改与物联网安全”等分论坛后,中国网络安全应急技术处理技术第一人云晓春,美国中佛罗里达大学安全攻防实验室教授金意儿,以色列手机安全公司Kaymera CEO——Avi Rosen,美国知名安全技术专家、安全创业家和硅谷天使投资者弓峰敏等多名专家,均将在“全球互联网安全精英峰会上”就各自领域的最新研究成果发表演说。
来源:齐鲁晚报
