文章来源: 澎湃新闻
密歇根大学计算机科学教授J•亚历克斯•哈尔德曼(J. Alex Halderman)。
来自加州大学圣迭戈分校、密歇根大学和约翰霍普金斯大学的安全研究员小组向美国运输安全局发出质疑。
密歇根大学计算机科学教授J•亚历克斯•哈尔德曼(J. Alex Halderman)说,研究人员在安全系统里发现的异常存在明显的缺陷,可见花费了10亿美金的安检设备被放置到美国160个机场之前,它们的试验情况是有多么地敷衍。
美国杂志《连线》就此询问美国运输安全局,一位新闻发言人在一份声明中写道:“运输安全管理局所采购的技术设备通过了严格的测试和评估过程,并且符合认证认可要求。该过程能够确保我们识别信息技术安全风险,并且在必要时实施风险缓解计划。”
两年前,乔纳森•科比特(Jonathan Corbett)在YouTube上传了一段视频,视频展示了美国运输安全管理局(TSA)Rapiscan全身X射线扫描仪的致命弱点——扫描仪探测到的金属成像是黑色的,科比特声称任何在身体一侧藏匿武器的旅客都可以让武器“隐形”,因为扫描仪的背景屏幕也是黑色的。美国运输安全局否认了科比特的发现,甚至还给记者打电话警告他们别报道他的视频。
安全研究员小组不仅发现了科比特藏匿武器的方法管用,还可以轻而易举地开出一长串恼人的清单,列出各种可能的藏匿手段:比如用铁氟龙胶带将武器绑到一个人的脊椎上,将恶意软件装到扫描仪的控制台,或者干脆把塑胶炸药涂抹到人的身体,让其在扫描仪的成像上几乎无法辨认。
为了更好地保护乘客隐私,研究人员测试的Rapiscan Secure 1000扫描仪从去年起就替换成毫米波扫描仪,它们并没有真正被用到机场安检。但是X射线扫描仪现在还被广泛用于法院、监狱、和这个国家其他的政府安检点。
“这些扫描仪都是秘密进行测试的,如果没有这种敌对的心态,你可以想象一个攻击者是如何让自己适应这些已经采用的技术,” 哈尔德曼说。“这些机器也许会阻止一个天真的攻击者。但只要耍点小聪明,他们就能骗过安检。如果他们能获得一台扫描仪来试验他们的进攻,这就能让检测禁运品的这些机器显得一无是处。”
研究人员发现,将200克粉饼状的油灰沿身体的轮廓涂抹在一个乘客的躯干上,X射线会像检测到塑胶炸药一样发生偏转,这样他们就能轻而易举地将油灰掩藏起来。用另一种材质做成的模拟炸药的导火索就藏在潜在炸弹人的肚脐眼里。
除了以物理攻击方式来进行试验,研究人员同样尝试采用更有技术含量的数字化试验方法。研究人员发现他们可以在扫描仪中安装恶意软件。攻击者在实际操作时需要撬开扫描仪控制台的箱门锁,然后手动将恶意软件安装到电脑系统内。一旦安装成功,如果被扫描的人穿着一件带有某种标志或是二维码的衣服,恶意软件通过编程将会有选择地将扫描的图像以虚假图像替换掉。
研究人员表示只要稍微改变一下扫描仪的使用方法,阻止潜在的劫持者和恐怖分子使用那些技巧并不困难。尽管如果要阻止恶意软件的攻击,需要对设备的软件加以更新,但是,在扫描时,只需要让扫描物旋转90度,将武器藏在人身体侧面的伎俩就可以轻易地被识破。
然而,该研究最重要的经验及教训不仅仅局限应用在机场安检扫描设备上,而是可以被广泛应用。研究人员承认,的确有必要阻止人人都能够自由地使用这些设备。他们写道,正是由于他们有途径获得一个设备模型,他们才发现原来他们能够使用那些危险的伎俩。尽管如此,研究人员还是建议现在以及将来的设备都应该采取他们所实施的“对抗性”测试,这必定要求向安全领域的其他人员扩大使用这些设备的权利。
在这三所大学的研究人员中,没有一位能够有机会获取一台毫米波扫描仪用来做试验,因此他们不确定他们的研究成果是否适用于目前被美国机场广泛使用的毫米波扫描仪。但是加州大学圣迭戈分校的Mowery表示,让第三方研究人员来探测这些机器是否存在缺陷非常有必要,因为潜在的攻击者例如恐怖分子或是劫机犯一旦手上获得一台扫描仪的话,他们很有可能也会开展缺陷探测试验。“我们认为将扫描仪交由独立的安全专家进行测试可以让系统变得更为安全,”他说道。“我们目前还无法买到一台毫米波扫描仪,但是这并不是说其他人员不能够获得到这些机器。”
|