Роздягаючий сканер в аеропорту – є вразливості!

Суперечки навколо застосовуваних«роздягаючих сканерів в аеропортах» продовжуються. Частині пасажирів не дає спокою думка, що на їхнє тіло, хай навіть у умовному «рентгенівському» вигляді дивиться співробітник безпеки аеропорту.

Тим часом, занепокоєння має викликати інше: два роки тому, блогер Джонатан Корбетт виявив вразливість сканерів Rapiscan 1000. Суть у тому, що металеві предмети виглядають на екрані сканера як чорні області на світлому тлі. Так само виглядає тло навколо людини. Тобто, якщо підвісити зброю збоку від тіла, то вона виявиться невидимою, зіллється з тлом! Блоггер довів це, пронісши вказаним способом важку металеву коробку в підшиті боковій кишені. На той раз служба авіаційної безпеки TSA проігнорувала звернення блогера.

Тоді команда дослідників у галузі безпеки з Каліфорнійського та Мічиганського університетів провела свої дослідження. Результат багатомісячної роботи приголомшив: окрім того, що ідея блогера підтвердилася, вони знайшли ще низку способів обдурити сканер! У тривожний список входять: тефлонова стрічка, що приховує зброю на тлі хребта, установка «трояна» на сам сканер, формування пластикової вибухівки навколо тіла, що робить її практично невиразною на тлі плоті.

Дослідники придбали для роботи реальний сканер Rapiscan 1000. Пробуючи знайти спосіб пронести заборонені предмети, вони виявили, що спосіб блогера працює: пістолет, закріплений збоку від тулуба, залишається невидимий на чорному тлі. Трюк працює з повністю металевими моделями, пластик видає себе білим кольором. Складаний ніж, приклеєний уздовж хребта тефлоновою стрічкою, виявився повністю замаскованим!

сканер

Зображеннялюдини без зброї (ліворуч) та з 9-мм пістолетом, закріпленим на нозі (праворуч).

Ще більш тривожним стало те, що й пластикову вибухівку нести над вигляді шматка, а обліпити їй тіло людини, вона практично зливається із зображенням тулуба. Імітатор детонатора був захований у круглий контейнер на місці гудзика (ремінь зазвичай змушують знімати).

аеропорту

На фотографії: порівняння зображень людини без вибухівки (ліворуч) та з 200 грамами імітатора пластикової вибухівки (праворуч), сформованої навколо тіла, та імітатора детонатора, захованого в гудзику на животі.

Принцип працює, але все не так просто, як здається: дослідникам довелося перепробувати різні варіанти, перш ніж вони знайшли всі тонкощі, що призводять до результату. Зрозуміло розкривати їх вони не мають наміру, щоб не передавати рецепт у погані руки.

На додаток до фізичних способів обману, дослідники експериментували з більш сучасними цифровими методами. Якщо допустити ймовірність змови з персоналом аеропорту, або техніком, що обслуговуєроздягаючий сканер в аеропорту (а це не так вже неймовірно), то «троян», встановлений на комп'ютер сканера може підміняти зображення терориста на підроблену картинку, якщо "троян" побачить кодове зображення на тілі сканованого.

сканер

Дослідники передали результат своєї роботи в управління авіаційної безпеки, але особливої ​​реакції, крім підтвердження отримання листа, не було. Коли журналісти звернулися до TSA за роз'ясненнями, було отримано відповідь, що «використовувані технології проходять жорстке тестування та сертифікацію, що означає відповідність ризиків вимогам і алгоритмам забезпечення безпеки, що застосовуються». У відповіді також зазначалося, що «у зловмисниківнемає технічної можливості отримати для подібних досліджень доступ дороздягального сканера в аеропорту. Крім того, використовується власне програмне забезпечення та налаштування системи».

Дослідники зазначають, що якщо відкинути ймовірність впровадження «трояна» у програмне забезпечення, то вразливість фізичного характеру можна усунути, ввівши до регламенту друге сканування з «поворотом на 90 градусів».

Важливий урок, який можна отримати, полягає в тому, що варто приділяти більшу увагу незалежному тестуванню перед впровадженням систем, а також унеможливити придбання або інших форм доступу до такого обладнання зловмисниками, усунувши ймовірність проведення експериментів.

Заради справедливості, варто сказати, що сканер, що згадується в статті, не є найсучаснішим, і йому на зміну прийшли інші моделі, позбавлені зазначених недоліків. Однак практична заміна вже купленого раніше обладнання відбулася далеко не скрізь, тому апарати, що згадуються, продовжують працювати в різних місцях.