- Sam Curry ve ben havaalanı güvenlik kuyruklarında çok zaman geçiriyoruz
- Known Crewmember (KCM), pilotların ve kabin ekibinin güvenlik taramasını atlamasına izin veren bir TSA programıdır
- KCM süreci basittir; personel özel bir şerit kullanır ve KCM barkodunu veya çalışan numarasını gösterir
- Cockpit Access Security System (CASS) de benzer bir sistemdir ve pilotların jumpseat kullanmasına izin verir
ARINC
- ARINC, KCM sistemini işletmek için TSA ile sözleşmelidir
- ARINC, pilotların ve kabin ekibinin KCM durumunu kontrol edebildiği bir web sitesi ve API işletir
- Her havayolu kendi kimlik doğrulama sistemini işletir ve ARINC'in "hub"ı ile etkileşime girer
- TSA ve havayolları ARINC'e
CockpitAccessRequest ve CrewVerificationRequest gönderir; ARINC de bunları uygun havayolu sistemine yönlendirir
FlyCASS.com
- FlyCASS, küçük havayolları için web tabanlı bir arayüz sağlar
- SQL enjeksiyonu testleri yoluyla FlyCASS'te güvenlik açıkları keşfedildi
- SQL enjeksiyonu ile Air Transport International'ın yönetici hesabına giriş yapmak mümkündü
KCM ve CASS yöneticisi
- FlyCASS, KCM ve CASS'i işletir ve yönetici yetkileriyle yeni çalışanlar eklenebilir
- Testler sırasında yeni bir çalışan olan
Test TestOnly eklendi ve ona KCM ile CASS erişim yetkileri verildi
- Bu, herhangi birinin SQL enjeksiyonu yoluyla KCM ve CASS'e erişebilmesine yol açan ciddi bir sorunu ortaya çıkardı
Açıklama
- Sorunu açıklamak için uygun irtibat kişilerini bulmakta zorlanıldı
- 23 Nisan'da sorun İç Güvenlik Bakanlığı'na bildirildi ve FlyCASS, KCM/CASS'ten devre dışı bırakıldı
- TSA, güvenlik açığını reddeden bir açıklama yayımladı
- TSA, web sitesindeki çalışan kimliğinin manuel girildiği bölümü kaldırdı
Zaman çizelgesi
- 04/23/2024: ARINC ve FAA'ya ilk bildirim
- 04/24/2024: DHS'ye takip bildirimi
- 04/25/2024: DHS CISO'su çözüm üzerinde çalışıldığını doğruladı
- 05/07/2024: FlyCASS'in KCM/CASS'ten ayrıldığı doğrulandı
- 05/17/2024: TSA açıklaması için takip (yanıt yok)
- 06/04/2024: TSA açıklaması için takip (yanıt yok)
Katkıda bulunanlar
GN⁺ özeti
- Bu makale, havaalanı güvenlik sistemlerindeki ciddi bir açığı ele alıyor
- KCM ve CASS sistemlerindeki güvenlik kusurları, herhangi birinin güvenlik taramasını atlayıp kokpite erişebilmesine yol açabilecek bir sorun yarattı
- SQL enjeksiyonu yoluyla yönetici yetkileri elde edilebildi; bu da ciddi bir güvenlik tehdidi oluşturuyordu
- Makale, güvenlik araştırmacılarının sorunu keşfetme ve açıklama sürecini ayrıntılı olarak anlatıyor
- Benzer işlevlere sahip sistemler arasında TSA PreCheck ve Global Entry bulunuyor
1 yorum
Hacker News görüşü
TSA sisteminin temel web programlama hatalarına karşı savunmasız olması
TSA'nın tepkisi çocukça ve utanç verici
SQL injection'ın ötesinde, çalışan için sahte kayıt oluşturulabilmiş olması şaşırtıcı
Biraz motivasyonu olan herkesin 11 Eylül'ü yeniden canlandırmakta zorlanmayacağı düşünülüyor
FlyCASS geliştiricisinin sorunun hemen düzeltileceğini bildiği için daha büyük yankı istemiş olabileceği düşünülüyor
Parolaların MD5 ile saklanmasına kimsenin değinmemesi, durumun ciddiyetini gösteriyor
Sorunun ciddiyetinin inkâr edilmesi şaşırtıcı değil, ancak FBI'a haber verilmemesi ya da tutuklama yapılmaması şaşırtıcı
Milyarlarca dolarlık güvenlik sisteminin basit bir SQL injection ile etkisiz kalması
TSA'nın tepkisi gerçekten çok sarsıcı
Hükümetin daha iyi yetenekleri işe alabilmek için maaş artışı önermesi istenebilir, ancak sorunun sistematik olduğu ve bunun işe yaramayacağı düşünülüyor