บาร์โค้ดที่ไม่มีการเข้ารหัสบนสายการบินขึ้นเครื่องของสายการบินก่อให้เกิดภัยคุกคาม

การบริหารความปลอดภัยการขนส่ง (TSA) เป็นอีกครั้งในที่นั่งร้อน โปรแกรม "ตรวจสอบล่วงหน้า" ของพวกเขาดูเหมือนจะเป็นเกม แต่มันเป็นความผิดของพวกเขาเหรอ? ฉันตรวจสอบเล็กน้อยและฉันต้องการแบ่งปันสิ่งที่ฉันพบ:

  • 2546: สายการบินเริ่มอนุญาตให้ผู้โดยสารพิมพ์บัตรผ่านขึ้นเครื่อง
  • 2003: ผู้เชี่ยวชาญด้านความปลอดภัยบรูซชไนเออร์หยิบยกข้อกังวลเกี่ยวกับการเปลี่ยนบอร์ดดิ้งพาสที่พิมพ์ออกมา
  • 2549: ผู้โดยสารส่วนใหญ่พิมพ์บัตรผ่าน
  • 2550: ผู้เชี่ยวชาญด้านความเป็นส่วนตัวกระดาษของ Christopher Soghoian เที่ยวบินที่ไม่ปลอดภัย: Broken Boarding Passes และรายการเฝ้าดูผู้ก่อการร้ายที่ไม่มีประสิทธิภาพทำให้เกิดความกังวลเกี่ยวกับการปลอมแปลงบัตรผ่านขึ้นเครื่องอีกครั้ง
  • 2009: สมาคมการขนส่งทางอากาศระหว่างประเทศได้รับคำสั่งว่าบัตรผ่านขึ้นเครื่องทั้งหมดจะต้องมีบาร์โค้ด
  • 2012: TSA เปิดตัวโปรแกรม "ตรวจสอบล่วงหน้า"
  • 2012: จอห์นบัตเลอร์ผู้เชี่ยวชาญด้านความปลอดภัยการบินเปิดเผยถึงข้อกังวลของเขาว่าข้อมูลบาร์โค้ดไม่ได้เข้ารหัส

ก่อนการตรวจสอบล่วงหน้าคืออะไร?

เมื่อฉันได้ยินเกี่ยวกับการตรวจสอบล่วงหน้าเป็นครั้งแรกฉันไม่ค่อยรู้เรื่องนี้มากนัก ในฐานะนักเดินทางฉันรู้สึกอยากรู้อยากเห็น มันกลายเป็นโปรแกรมที่ทำให้การประเมินความเสี่ยงของนักเดินทางก่อนที่พวกเขาจะมาถึงสนามบิน แล้ว:

หาก TSA กำหนดว่าผู้โดยสารมีสิทธิ์ได้รับการตรวจอย่างรวดเร็วข้อมูลจะถูกฝังอยู่ในบาร์โค้ดของบัตรผ่านขึ้นเครื่องของผู้โดยสาร TSA อ่านบาร์โค้ดที่จุดตรวจที่กำหนดและผู้โดยสารอาจถูกส่งต่อไปยังช่องทางที่พวกเขาจะเข้ารับการตรวจเร่งความเร็วซึ่งอาจรวมถึงการไม่ลบรายการต่อไปนี้อีกต่อไป:
  • รองเท้า
  • กระเป๋าที่ได้มาตรฐาน 3-1-1 จากกระเป๋าถือ
  • แล็ปท็อปจากกระเป๋า
  • แสงแจ๊กเก็ต / แจ็คเก็ต
  • เข็มขัด

ไม่เข้ารหัส?

ruckus ล่าสุดเริ่มต้นเมื่อ John Butler เขียนว่า:

ฉันกำลังเผยแพร่สิ่งนี้เพราะฉันกังวลอย่างจริงจังเกี่ยวกับความปลอดภัยของบัตรผ่านขึ้นเครื่องในสหรัฐอเมริกา วิธีการทำงานของ TSA Pre-Check เป็นองค์กรที่มีส่วนร่วมในการส่งข้อมูลการเดินทางสำหรับผู้โดยสารที่เลือกเข้าร่วมโปรแกรมไปยัง TSA

บัตเลอร์กล่าวต่อ:

จากนั้น TSA ในลักษณะที่เป็นการสุ่มตรวจสอบความปลอดภัยจะพิจารณาว่าผู้โดยสารมีหรือไม่มีสิทธิ์ตรวจสอบล่วงหน้าและส่งข้อมูลกลับไปยังสายการบิน สายการบินเข้ารหัสข้อมูลนั้นในบาร์โค้ดที่อยู่บนบอร์ดดิ้งพาส

จากนั้นบัตเลอร์ทิ้งระเบิด:

ปัญหาคือข้อมูลผู้โดยสารและเที่ยวบินที่เข้ารหัสในบาร์โค้ดไม่ได้เข้ารหัส แต่อย่างใด

ด้านล่างนี้เป็นตัวอย่างของบัตรผ่านขึ้นเครื่องที่คล้ายกับบัตเลอร์ที่ใช้สำหรับการทดสอบของเขา

ถัดไปข้อมูลที่พ่อบ้านดึงมาจากบาร์โค้ด:

M1PUCK / COLWMR YXXXXXX PHXEWRUA XXX

294RXXXFXX 11F> 30B

WWXXX บัว 0E016 3

บัตเลอร์ได้ข้ามข้อมูลที่เกี่ยวข้องกับการจองของเขาและต้องการที่จะมุ่งเน้นในหลักสุดท้าย "3":

สิ่งที่น่าสนใจคือตัวหนาสามตัวที่อยู่ท้ายสุด นี่คือข้อมูลการตรวจสอบล่วงหน้าของ TSA จำนวนหมายถึงจำนวนเสียงเตือน 1 เสียงบี๊บไม่ตรวจสอบล่วงหน้า, 3 เสียงเตือนใช่ตรวจสอบล่วงหน้า ในทริปนี้คุณจะเห็นว่าฉันมีสิทธิ์ได้รับการตรวจเช็คล่วงหน้า

การระบุสถานะการตรวจสอบล่วงหน้าของคุณนั้นง่ายมาก Bruce Schneier ในบล็อกประจำสัปดาห์นี้ชี้ให้เห็นสิ่งต่าง ๆ ที่ผิดพลาดกับโปรแกรมบอร์ดดิ้งพาสปัจจุบัน บรูซยังตอบว่าเพราะเหตุใดการรู้สถานะการตรวจสอบล่วงหน้าของคุณจึงเป็นเรื่องใหญ่ โดยการอ่านบาร์โค้ดผู้ที่พยายามจะล้มล้างระบบรู้ว่าประเภทการคัดกรองที่พวกเขาจะต้องเผชิญและสามารถปรับเปลี่ยนได้ บรูซพูดแบบนี้:

ช่างเป็นวิธีที่โง่ในการออกแบบระบบ มันจะง่ายขึ้น - และปลอดภัยยิ่งขึ้น - ถ้าผู้ตรวจสอบบัตรผ่านขึ้นเครื่องสุ่มเลือก 10% หรือคิดเป็นเปอร์เซ็นต์ตามที่พวกเขาต้องการจากผู้โดยสาร Pre-Check เพื่อส่งผ่านการตรวจคัดกรองเป็นประจำ ทำไมถึงมีปัญหาในการเข้ารหัสในบาร์โค้ดแล้วอ่านมัน?

หากคุณอ่านโพสต์บล็อกของ Bruce ให้ตรวจสอบความคิดเห็นแรก ๆ หลายคนคิดวิธีการใหม่ในการใช้บาร์โค้ดที่ไม่ได้เข้ารหัสเพื่อประโยชน์ของพวกเขา

มันหมายความว่าอะไร?

ผู้เชี่ยวชาญกำลังพูดถึงปัญหานี้เป็นสองเท่า บาร์โค้ดไม่ได้เข้ารหัส และมันเป็นไปได้ที่จะเปลี่ยนบาร์โค้ด; อนุญาตให้พิมพ์บัตรผ่านขึ้นเครื่องอย่างผิดกฎหมาย ในบล็อกของเขาบัตเลอร์นำเสนอโซลูชั่นที่สอง: อันดับแรกและสำคัญที่สุดเข้ารหัสข้อมูลบาร์โค้ด ประการที่สองบัตเลอร์แนะนำ TSA ควรรวมวิธีการที่ทำให้ TSA สามารถตรวจสอบรายละเอียด - ที่ถือโดยบาร์โค้ด - กับสายการบิน

ความคิดสุดท้าย

ไม่เกี่ยวข้องกับความปลอดภัยด้านไอทีอย่างแน่นอน แต่ฉันรู้ว่าผู้เชี่ยวชาญด้านไอทีจำนวนมากที่เดินทาง และฉันต้องการที่จะบอกว่ามันสำคัญแค่ไหนในการปกป้องบัตรผ่านขึ้นเครื่องจากการสอดรู้สอดเห็น

สำหรับผู้ที่รับผิดชอบ: TSA, IATA, FAA หรือตัวย่ออื่น ๆ ฉันไม่สามารถบอกคุณได้ ฉันหวังว่าครั้งต่อไปที่ฉันเดินทางปัญหาจะได้รับการแก้ไข

© Copyright 2020 | mobilegn.com