Ukrypterte strekkoder på boardingkort for flyselskap utgjør en trussel

Transportation Security Administration (TSA) er nok en gang i det varme setet. Deres "Pre-Check" -program ser ut til å være spilt. Men er det deres skyld? Jeg sjekket litt, og vil gjerne dele det jeg fant:

  • 2003: Flyselskaper begynte å la passasjerer trykke boardingkortene sine.
  • 2003: Bruce Schneier, sikkerhetsvakt, vakte bekymring for å endre trykte boardingkort.
  • 2006: Et flertall av passasjerene trykte passene sine.
  • 2007: Personvernekspert, Christopher Soghoians papir, Insecure Flight: Broken Boarding Passes and Ineffective Terrorist Watchlists, reiste nok en gang bekymring for smiing av boardingkort.
  • 2009: International Air Transport Association ga mandat til at alle boardingkort må inneholde en strekkode.
  • 2012: TSA introduserte sitt "Pre-Check" -program.
  • 2012: Luftfartssikkerhetsekspert, John Butler la ut bekymringene for at strekkodeinformasjonen ikke er kryptert.

For det første, hva er forhåndssjekk?

Da jeg først hørte om forhåndssjekking, visste jeg ikke så mye om det. Som reisende var jeg nysgjerrig. Det viser seg å være et program som gjør risikovurderinger for reisende før ankomst til flyplassen. Deretter:

Hvis TSA bestemmer at en passasjer er kvalifisert for hurtig screening, er informasjon innebygd i strekkoden for passasjerens boardingpass. TSA leser strekkoden på utpekte sjekkpunkter, og passasjeren kan bli henvist til en bane der de vil gjennomgå en fremskyndet screening, som kan omfatte ikke lenger å fjerne følgende elementer:
  • sko
  • 3-1-1 kompatibel veske fra videreføring
  • Bærbar datamaskin fra vesken
  • Lett yttertøy / jakke
  • Belte

Ikke kryptert?

Den siste ruckusen startet da John Butler skrev:

Jeg publiserer dette fordi jeg er seriøst opptatt av boarding pass-sikkerhet i USA. Måten TSA Pre-Check fungerer er organisasjonene som deltar overfører reiseinformasjon for passasjerer som melder seg inn i programmet til TSA.

Butler fortsetter:

Da avgjør TSA på en måte som randomiserer sikkerheten om passasjeren er eller ikke er kvalifisert for forhåndsjekk, og sender informasjon tilbake til flyselskapet. Flyselskapet koder deretter for informasjonen i en strekkode som er på boardingkortet den utsteder.

Deretter slipper Butler bomben:

Problemet er passasjeren og flyinformasjonen som er kodet i strekkode, er ikke kryptert på noen måte.

Nedenfor er et eksempel på et boardingpass som ligner på det Butler brukte til testene sine.

Deretter trakk informasjonen Butler fra strekkoden:

M1PUCK / COLWMR YXXXXXX PHXEWRUA XXX

294RXXXFXX 11F> 30B

WWXXX BUA 0E016 3

Butler krysset av for informasjonen som var relevant for reservasjonen hans, og ønsket å fokusere på det siste sifferet "3":

Det som er interessant er de dristige tre på slutten. Dette er TSA-forhåndssjekk-informasjonen. Tallet betyr antall pip. 1 pip Nei Pre-Check, 3 pip Ja Pre-Check. På denne turen som du kan se, er jeg kvalifisert for forhåndsjekk.

Det er så enkelt å bestemme statusen din før sjekk. Bruce Schneier påpekte i denne ukentlige bloggen mange ting galt med det nåværende boarding-pass-programmet. Bruce svarte også hvorfor det er en stor sak å vite statusen din før sjekk. Ved å lese strekkoden, vet de som prøver å undergrave systemet med sikkerhet hvilken type screening de vil møte, og kan justere seg deretter. Bruce hadde dette å si:

For en dum måte å designe systemet på. Det ville være enklere - og langt sikrere - hvis boardingpasskontrollen tilfeldig valgte 10%, eller hvilken prosentandel de vil, av Pre-Check-passasjerer til å sende gjennom vanlig screening. Hvorfor gå gjennom bryet med å kode det i strekkoden og deretter lese det?

Hvis du leser Bruces blogginnlegg, må du se på de første kommentarene. Flere mennesker fant frem til innovative måter å bruke den ukrypterte strekkoden til sin fordel.

Hva betyr det?

Eksperter sier at problemet er todelt. Strekkoder er ikke kryptert. Og det ser ut til å være mulig å endre strekkoden; tillater utskrift av uekte boardingkort. I bloggen sin tilbød Butler to løsninger: først og fremst kryptere strekkodeinformasjon. For det andre foreslo Butler at TSA burde innlemme en metode som gjør det mulig for TSA å verifisere detaljene - båret av strekkoden - med flyselskapet.

Siste tanker

Ikke akkurat relatert til IT-sikkerhet, men jeg kjenner mange IT-fagfolk som reiser. Og jeg ønsket å få ordet om hvor viktig det er å beskytte boardingkort fra nysgjerrige øyne.

Når det gjelder hvem som er ansvarlig: TSA, IATA, FAA, eller noe annet akronym, kunne jeg ikke fortelle deg. Jeg håper bare neste gang jeg reiser, problemet er løst.

© Copyright 2021 | mobilegn.com