来自加州大学圣地亚哥分校、密歇根大学和约翰霍普金斯大学的一组研究人员发现了2009年至2013年部署在美国机场的全身后向散射x射线扫描仪的几个安全漏洞。
在实验室测试中,该团队成功地从Rapiscan Secure 1000扫描仪中隐藏了枪支和塑料爆炸模拟物。该小组还能够修改扫描仪的操作软件,以便即使在发现违禁品时,也能向操作人员呈现“全部清除”的图像。“坦白地说,我们对我们的发现感到震惊,”密歇根大学(University of Michigan)计算机科学教授j·亚历克斯·霍尔德曼(J. Alex Halderman)说。“聪明的攻击者可以用低得惊人的技术手段将违禁品偷运过机器。”
研究人员将这些缺陷归因于机器在引入机场之前的设计和评估过程。加州大学圣地亚哥分校的计算机科学教授Hovav Shacham说:“系统的设计者似乎认为,攻击者不会使用Secure 1000来测试和改进他们的攻击。”然而,研究人员在eBay上购买了一台政府剩余的机器,并对其进行了实验室测试。
研究人员说,许多保护关键基础设施的物理安全系统都是秘密评估的,没有公众或独立专家的意见。在Secure 1000的例子中,这种保密并没有产生一个能够抵抗那些研究和适应新的安全措施的攻击者的系统。“秘密测试应该被严格的、公开的、独立的计算机安全测试所取代或加强,”沙克姆教授说。
2013年,出于隐私考虑,1000台安全扫描仪被从机场移除,现在被用于监狱、法院和其他政府设施。研究人员建议改变筛查程序,减少但不能消除扫描仪的盲点。然而,“任何使用这些机器的筛选过程都必须考虑到它们的局限性,”沙查姆教授说。
欲了解更多信息,请访问www.ucsd.edu.
了下:M2M(机器对机器)
