наскрізні хитрості
Два роки тому блогер на ім'я Джонатан Корбетт опублікував відео на YouTube в якому спробував показати вразливість сканерів тіла, встановлених в зонах огляду в аеропортах. Експеримент Корбетта показав, що при певних умовах, можливо пронести на тілі невеликі металеві предмети, які не будуть помітні на чорному тлі. Служби безпеки відреагували на цей випад скептично і навіть спробували закрити доступ до відео, щоб не провокувати зловмисників.
Проте випаду блогера вистачило для того, щоб команда дослідників всерйоз перейнялася питанням реальної користі ростового сканера і пошуком проломів в безпеці служб огляду. Дослідники склали тривожний список трюків, за допомогою яких можна обдурити рентген. Серед них - використання тефлонового стрічки на одязі, яка може приховати зброю, інсталяція шкідливого ПО на консоль сканера, імітація частин тіла з пластикової вибухівки та багато іншого.
Сканери, що працюють з використанням рентгенівських променів, сьогодні встановлені на переважній більшості пунктів огляду по всьому світу.
"Ці машини були створені шляхом найменшого опору, мабуть, без розгляду нештатних ситуацій," - говорить Джозеф Хальдерман, який разом з іншими дослідниками провів серйозні дослідження принципів огляду. "Вони можуть зупинити тільки тривіальні атаки. Але той, хто застосує трохи кмітливості, зможе обійти їх. І якби зловмисники мали доступ до машини, щоб перевірити свої атаки, вони б отримали можливість перевозити контрабанду абсолютно непоміченими".
Команда університетських дослідників проводили випробування на реальній системі Secure 1000 Rapiscan, яку вони придбали на eBay. Вони намагалися провести різні види зброї через цей сканер і знайшли кілька способів це зробити. Так, примотати до ноги пістолет і складаний ніж, покриті зверху тефлоновим стрічкою, були практично непомітні на рентгенограмі.
Що ще більш тривожно, дослідники змогли обвести прилад навколо пальця, наліпив 200 грам вибухівки на тіло, надавши їй природні обриси тулуба.
Взивчатка на тілі і детонатор, захований в пупку, був непомітний на рентгенограмі. Запрошений фахівець, працівник служби безпеки аеропорту також не зміг ідентифікувати пластикову вибухівку на тілі випробуваного.
Дослідникам вдалося замаскувати і інші види зброї, втім, вони не стали ділитися спостереженнями з громадськістю, побоюючись непередбачених наслідків.
На додаток до своїх фізичних атак, дослідники також експериментували з цифровими атаками. Так, наприклад, встановлене шкідливе ПО може реагувати на прихований QR-код на тілі зловмисника, замінюючи результати сканування на інші. Подібне проникнення можливо за певних умов, наприклад, якщо комп'ютер підключений до інтернету або локальної мережі.
Дослідники надали результати до відповідних органів, але поки не отримали жодної реакції. Єдина відповідь, якого вдалося домогтися у виробника сканерів, звучить так: "Технологія проходить через строгий процес сертифікації та експертної оцінки. Вона гарантує повну безпеку і відповідає сучасним вимогам".
Дослідники говорять, що запобігання потенційних ризиків вимагає постійного вдосконалення системи огляду. Знайдені проломи в безпеці легко звести нанівець, ввівши додаткове сканування під кутом 90 градусів.