В ходе лабораторных испытаний команда смогла успешно скрыть огнестрельное оружие и имитаторы пластических взрывчатых веществ с помощью сканера Rapiscan Secure 1000. Команда также смогла модифицировать операционное программное обеспечение сканера, чтобы оно отображало «полностью четкое» изображение оператору даже при обнаружении контрабанды. «Откровенно говоря, мы были шокированы тем, что мы обнаружили», — сказал Дж.
Алекс Халдерман, профессор информатики в Мичиганском университете. «Умный злоумышленник может пронести контрабанду мимо машин, используя на удивление низкотехнологичные методы».Исследователи связывают эти недостатки с процессом, с помощью которого машины были спроектированы и оценены до их внедрения в аэропортах. «Разработчики системы, похоже, предполагали, что у злоумышленников не будет доступа к Secure 1000 для тестирования и уточнения своих атак», — сказал Ховав Шахам, профессор информатики в Калифорнийском университете в Сан-Диего. излишки машины найдены на eBay и подвергаются лабораторным испытаниям.
Исследователи заявили, что многие системы физической безопасности, защищающие критически важную инфраструктуру, проходят секретную оценку без участия общественности или независимых экспертов. В случае Secure 1000 эта секретность не привела к созданию системы, способной противостоять злоумышленникам, которые изучают и адаптируются к новым мерам безопасности. «Секретное тестирование следует заменить или дополнить строгим, открытым, независимым тестированием, типичным для компьютерной безопасности», — сказал Шахам.
Сканеры Secure 1000 были изъяты из аэропортов в 2013 году из-за соображений конфиденциальности и теперь используются в тюрьмах, судах и других государственных учреждениях. Исследователи предложили изменения в процедурах скрининга, которые могут уменьшить, но не устранить слепые пятна сканеров. Однако «любой процесс проверки, в котором используются эти машины, должен учитывать их ограничения», — сказал Шахам.В мае исследователи поделились своими выводами с Министерством внутренней безопасности и Rapiscan, производителем сканера.
Команда представит свои выводы публично на конференции по безопасности USENIX, которая состоится в четверг, 21 августа, в Сан-Диего.