A hackerek elkészítették a TSA által jóváhagyott zárak törzskulcsait, és a TSA nem tehetett róla kevesebbet

TSA-Lock2

Évek óta az amerikai TSA (ez a Közlekedésbiztonsági Ügynökség, a belbiztonsági részleg) az Egyesült Államokban utazóknak azt ajánlja, hogy vásárolják meg és szereljék fel csomagjaikat TSA által jóváhagyott zárral. Ennek látszólagos oka az, hogy lehetővé teszi az ügynökség számára azonnali hozzáférést a táskájához abban az esetben, ha a poggyászát ellenőriznie kell, ahelyett, hogy megkövetelné, hogy az ügynökök fizikailag vágják el a zárat annak tartalmának ellenőrzése érdekében. Most egy hackerekből álló csapat bebizonyította, hogy a hét fő kulcs, amely együttesen kinyit minden TSA által jóváhagyott zárat, megtört.

Először néhány háttér. 2003-ban a Travel Sentry egy új típusú, TSA által jóváhagyott zárat vezetett be beépített hátsó ajtóval. A megfelelő eszközökkel felvértezett TSA-ügynök kinyithatta a zárat, megvizsgálhatta a tárgyat, majd útjára küldhette a poggyászt. A teljes rendszer célja annak biztosítása volt, hogy a tisztviselők továbbra is átkutathassák a poggyászukat anélkül, hogy arra kényszerítenék a fogyasztókat, hogy közben teljes biztonságukat feladják.



A TSA azt javasolta, hogy az utasok többször is használják ezeket a zárakat, annak ellenére, hogy egyre nagyobb az aggodalom, hogy az eszközök veszélybe kerülhetnek. Ezen a héten az Ars Technica bizonyított hogy a 3D nyomtatással új fő kulcsokat lehet nyomtatni, ezáltal elsősorban a TSA kulcs megvásárlásának teljes pontja elkerülhető (legalábbis ami a biztonságot illeti). Meg kell adni, hogy a poggyász nem különösebben biztonságos, kulccsal vagy anélkül, mivel a puha oldalú poggyász elvágható vagy a cipzár veszélybe kerülhet, de még mindig kínos egy olyan szervezet számára, amely az arany színvonalának tartja magát biztonsági színház biztonságos utazás.





Hoppá

Hoppá

Az Intercept megkereste a TSA-t, hogy kiderítse, a szervezet hogyan szándékozik válaszolni a hírekre, és felfedezte, hogy ez valóban nem érdekli. 'A TSA által jóváhagyott bőröndzárak kulcsainak létrehozásának bejelentett képessége digitális képből nem jelent veszélyt a repülésbiztonságra' - írta Mike England, a TSA szóvivője a The Interceptnek küldött e-mailben.



'Ezek a fogyasztási cikkek' nyugalmat 'jelentő eszközök, nem részei a TSA légiközlekedés-védelmi rendszerének' - írta Anglia.



Magától értetődik, hogy a TSA soha nem jelölte meg a „nyugalmat” egy konkrét, a TSA által jóváhagyott kulcs megvásárlásának okaként. De itt többről van szó.

Hátsó ajtó metafora

A TSA kulcs problémája az, hogy arra az elképzelésre támaszkodott, hogy csak a „megfelelő” emberek (olvasható: a TSA tisztviselői) férhetnek hozzá a megfelelő kulcsokhoz. Mindaddig, amíg ez igaz volt, a poggyász vitathatatlanul biztonságos volt (bár a TSA az évek során különféle blogbejegyzésekben elismerte saját lopással kapcsolatos problémáit). Egyszer csak egyetlen fénykép mutatta, hogy a kulcsfogak hogyan mintázódtak, a macska azonban kint volt a zsákból.



Ezért olyan hihetetlenül veszélyes a különféle kormányzati szervek által támogatott backdoor titkosítás. A való világban a kulcsokat lefényképezik, a kémek felfedezik és kiszivárogják a kódokat, és még a legfelső szintű kriptográfiai rendszereket is, például a második világháború német Enigmáját, le lehet rontani rossz biztonsági gyakorlatokkal, tökéletlen működéssel vagy szerencsés csapásokkal. A hackerek bizonyítottan ügyesek a személyes adatok összekapcsolására, hogy támadásokat indítsanak az egyének ellen a több szolgáltatás gyengeségeinek kihasználásával. A repülőtéri poggyász gyalogosnak tűnhet, összehasonlítva a modern interneten elterjedt fejlett csapkodásokkal, de az adathalászat lándzsa - az a gyakorlat, hogy a felhasználókat megtévesztik azzal, hogy kritikus adatokat tárjanak fel magukról egy olyan személy számára, aki szerintük törvényes üzletet képvisel - életben van. Az általunk lezárt eszközök gyökeresen eltérhetnek, de a biztonságukat biztosító alapelvek nem változtak annyira.

Felfedezni, hogy a TSA zárak ugyanolyan értéktelenek, mint azt valószínűleg gondolták, nem változtatják meg az életét - de ez egy gyakorlati példa arra, hogy a hátsó ajtók hogyan ronthatják le azonnal a rendszer biztonságát.