Cross-cutting triky
Pred dvoma rokmi, blogger menom Jonathan Corbett poslal video na YouTube, ktorý sa snažil ukázať zraniteľnosť telesných skenerov inštalovaných v letiskových oblastiach. Experiment Corbetta ukázal, že za určitých podmienok je možné niesť na tele malé kovové predmety, ktoré nebudú viditeľné na čiernom pozadí. Bezpečnostné služby reagovali na tento útok skepticky a dokonca sa pokúšali zablokovať prístup k videu, aby neboli votrelci provokovaní.
Výbuch bloggerov však stačil na to, aby sa tím výskumníkov vážne zaoberal otázkou skutočných prínosov rastového skenera a hľadaním bezpečnostných medzier v inšpekčných službách. Výskumníci urobili alarmujúci zoznam trikov, s ktorými môžete oklamať röntgen. Medzi nimi - použitie teflónovej pásky na oblečenie, ktoré môže skryť zbrane, inštalácia malware na konzole skenera, napodobňovanie plastových výbušných častí tela a oveľa viac.
Röntgenové skenery sú dnes inštalované na prevažnej väčšine detekčných staníc po celom svete..
"Tieto stroje boli vytvorené na ceste najmenšieho odporu, očividne bez zváženia abnormálnych situácií," hovorí Joseph Halderman, ktorý spolu s ďalšími výskumníkmi uskutočnil seriózny výskum princípov skríningu. "Dokážu zastaviť len triviálne útoky. Ale ten, kto používa malú vynaliezavosť, ich môže obísť. A ak by útočníci mali prístup k autu na kontrolu svojich útokov, boli by schopní prevážať pašovanie úplne bez povšimnutia.".
Tím univerzitných výskumníkov uskutočnil testy na reálnom systéme Secure 1000 Rapiscan, ktorý si zakúpili na eBay. Prostredníctvom tohto skenera sa snažili niesť rôzne typy zbraní a našli niekoľko spôsobov, ako to urobiť. Tak, zbraň a skladací nôž pripojený k nohe, pokryté teflónovou páskou na vrchole, boli prakticky neviditeľné na rádiograf..
Čo je ešte viac alarmujúce, vedci boli schopní zakrúžkovať prístroj okolo prsta a prilepiť na telo 200 gramov výbušnín, čím mu dodali prirodzené obrysy tela..
Stupnica na tele a rozbuška, skrytá v pupku, bola na röntgenovom snímke neviditeľná. Pozvaný špecialista, bezpečnostný úradník letiska, tiež nebol schopný identifikovať plastické trhaviny na tele predmetu..
Výskumným pracovníkom sa podarilo zamaskovať iné zbrane, nezdieľali však svoje postrehy s verejnosťou a obávali sa nepredvídaných následkov..
Vedci okrem svojich fyzických útokov experimentovali aj s digitálnymi útokmi. Napríklad predinštalovaný malware môže odpovedať na skrytý QR kód na tele útočníka a nahradiť výsledky skenovania inými. Takéto prenikanie je možné za určitých podmienok, napríklad ak je počítač pripojený na internet alebo lokálnu sieť.
Výskumníci poskytli výsledky príslušným orgánom, ale zatiaľ nedostali žiadnu reakciu. Jediná odpoveď, ktorú dosiahol výrobca skenerov, je: „Technológia prechádza prísnym procesom certifikácie a vzájomného hodnotenia. Zaručuje úplnú bezpečnosť a spĺňa moderné požiadavky“.
Výskumní pracovníci hovoria, že prevencia potenciálnych rizík si vyžaduje neustále zlepšovanie kontrolného systému. Je ľahké odstrániť nájdené bezpečnostné medzery zadaním ďalšieho skenovania pod uhlom 90 stupňov.