安檢示意圖

　　來自加州大學圣迭戈分校、密歇根大學和約翰霍普金斯大學的安全研究員小組向美國運輸安全局發出質疑。

　　密歇根大學計算機科學教授J 亞歷克斯 哈爾德曼(J. Alex Halderman)說，研究人員在安全系統里發現的異常存在明顯的缺陷，可見花費了10億美金的安檢設備被放置到美國160個機場之前，它們的試驗情況是有多么地敷衍。

　　美國雜志《連線》就此詢問美國運輸安全局，一位新聞發言人在一份聲明中寫道：“運輸安全管理局所采購的技術設備通過了嚴格的測試和評估過程，并且符合認證認可要求。該過程能夠確保我們識別信息技術安全風險，并且在必要時實施風險緩解計劃。”

　　兩年前，喬納森 科比特(Jonathan Corbett)在YouTube上傳了一段視頻，視頻展示了美國運輸安全管理局(TSA)Rapiscan全身X射線掃描儀的致命弱點——掃描儀探測到的金屬成像是黑色的，科比特聲稱任何在身體一側藏匿武器的旅客都可以讓武器“隱形”，因為掃描儀的背景屏幕也是黑色的。美國運輸安全局否認了科比特的發現，甚至還給記者打電話警告他們別報道他的視頻。

　　安全研究員小組不僅發現了科比特藏匿武器的方法管用，還可以輕而易舉地開出一長串惱人的清單，列出各種可能的藏匿手段：比如用鐵氟龍膠帶將武器綁到一個人的脊椎上，將惡意軟件裝到掃描儀的控制臺，或者干脆把塑膠炸藥涂抹到人的身體，讓其在掃描儀的成像上幾乎無法辨認。

　　為了更好地保護乘客隱私，研究人員測試的研究人員測試的Rapiscan Secure 1000掃描儀從去年起就替換成毫米波掃描儀，它們并沒有真正被用到機場安檢。但是X射線掃描儀現在還被廣泛用于法院、監獄、和這個國家其他的政府安檢點。

　　“這些掃描儀都是秘密進行測試的，如果沒有這種敵對的心態，你可以想象一個攻擊者是如何讓自己適應這些已經采用的技術，” 哈爾德曼說。“這些機器也許會阻止一個天真的攻擊者。但只要耍點小聰明，他們就能騙過安檢。如果他們能獲得一臺掃描儀來試驗他們的進攻，這就能讓檢測禁運品的這些機器顯得一無是處。”

　　研究人員發現，將200克粉餅狀的油灰沿身體的輪廓涂抹在一個乘客的軀干上，X射線會像檢測到塑膠炸藥一樣發生偏轉，這樣他們就能輕而易舉地將油灰掩藏起來。用另一種材質做成的模擬炸藥的導火索就藏在潛在炸彈人的肚臍眼里。

　　除了以物理攻擊方式來進行試驗，研究人員同樣嘗試采用更有技術含量的數字化試驗方法。研究人員發現他們可以在掃描儀中安裝惡意軟件。攻擊者在實際操作時需要撬開掃描儀控制臺的箱門鎖，然后手動將惡意軟件安裝到電腦系統內。一旦安裝成功，如果被掃描的人穿著一件帶有某種標志或是二維碼的衣服，惡意軟件通過編程將會有選擇地將掃描的圖像以虛假圖像替換掉。

　　研究人員表示只要稍微改變一下掃描儀的使用方法，阻止潛在的劫持者和恐怖分子使用那些技巧并不困難。盡管如果要阻止惡意軟件的攻擊，需要對設備的軟件加以更新，但是，在掃描時，只需要讓掃描物旋轉90度，將武器藏在人身體側面的伎倆就可以輕易地被識破。

　　然而，該研究最重要的經驗及教訓不僅僅局限應用在機場安檢掃描設備上，而是可以被廣泛應用。研究人員承認，的確有必要阻止人人都能夠自由地使用這些設備。他們寫道，正是由于他們有途徑獲得一個設備模型，他們才發現原來他們能夠使用那些危險的伎倆。盡管如此，研究人員還是建議現在以及將來的設備都應該采取他們所實施的“對抗性”測試，這必定要求向安全領域的其他人員擴大使用這些設備的權利。

　　在這三所大學的研究人員中，沒有一位能夠有機會獲取一臺毫米波掃描儀用來做試驗，因此他們不確定他們的研究成果是否適用于目前被美國機場廣泛使用的毫米波掃描儀。但是加州大學圣迭戈分校的Mowery表示，讓第三方研究人員來探測這些機器是否存在缺陷非常有必要，因為潛在的攻擊者例如恐怖分子或是劫機犯一旦手上獲得一臺掃描儀的話，他們很有可能也會開展缺陷探測試驗。“我們認為將掃描儀交由獨立的安全專家進行測試可以讓系統變得更為安全，”他說道。“我們目前還無法買到一臺毫米波掃描儀，但是這并不是說其他人員不能夠獲得到這些機器。”

責編：admin