Sikkerhed:Sommerpraktikanter ser sårbarheder i besøgsstyringssystemer
Kredit:CC0 Public Domain
For virksomhedsledere, målet kan være at finde en teknologidrevet proces, der kan beskytte sikkerheden og sikkerheden i lokalerne, personale og besøgende. Besøgsstyringssystemer udfører muligvis ikke kun check-ins, men kontrollerer også adgangen til områder med begrænsninger.
"Den venlige receptionist eller sikkerhedsvagt bliver erstattet af kiosker, og det er big business, med et salg, der forventes at overstige 1,3 milliarder USD i 2025, sagde Daniel Crowley, der leder research for IBM X-Force Red. X-Force Red? Er det hårde fyre? I en vis forstand, Ja. Dette er et team af hackere i IBM Security. De forsøger indbrud. Deres arbejde er at opdage sårbarheder, som kriminelle angribere kan bruge.
Så, hvis virksomheder kan være interesserede i at lede efter besøgende check-in-systemer, så må de bedst finde noget, der er mere end bare en digital logbog. Finder de det, de har brug for, og er deres valg sikkert? X-Force Red har lugtet noget galt. Angribere kan stjæle dine data. Angribere kan efterligne dig.
Log-in-kiosker (portaler på virksomheder og faciliteter) kan være sårbare over for dataspionage. Trusselpost var ikke blid i sit valg af overskrift:"Besøgskiosk-adgangssystemer fyldt med fejl."
To af X-Force Red-sommerpraktikanterne fandt 19 hidtil ikke afslørede sårbarheder på tværs af fem populære besøgsadministrationssystemer.
Trusselpost havde nogle interessante oplysninger om, hvad testmålene var, da holdet gik i gang med at teste besøgsstyringssystemerne.
"En, var, hvor nemt det er at blive tjekket ind som besøgende uden nogen form for reel identifikationsinformation. For det andet vi satte os for at se, hvor nemt det er at få andres oplysninger ud af systemet. Og for det tredje, er der en måde, hvorpå en modstander kan bryde ud af applikationen, få det til at gå ned eller få vilkårlig kodeudførelse til at køre på den målrettede enhed og få fodfæste til at angribe virksomhedens netværk."
Crowley rapporterede om fund i Sikkerhedsintelligens :Videregivelse af oplysninger om personlige og virksomhedsdata; flere applikationer havde standard administrative legitimationsoplysninger; sårbarheder, der tillader en angriber at bruge Windows-genvejstaster og standardhjælp eller udskrive dialogbokse til at bryde ud af kioskmiljøet og interagere med Windows, sådan at en angriber ville have kontrol over systemet med de samme rettigheder som softwaren blev givet.
Venter nogle hændelser i check-in-systemer på at ske? Lily Hay Newman ind Kablet mandag rejste nogle scenarier, der virkede ukomplicerede, hvis en person ønskede at gøre ondskab. Hun sagde, at "en hacker nemt kunne nærme sig et besøgsadministrationssystem med et værktøj som en USB-stick sat op til automatisk at eksfiltrere data eller installere malware med fjernadgang."
Ud over, "mens hurtigere altid er bedre til et angreb, " hun skrev, "det ville være relativt nemt at stå ved en log-in kiosk i et par minutter uden at vække mistanke."
Kablet sagde mandag, at de fejl, de to fandt, for det meste var rettet.
"Det her var en slags ridse-overfladen slags ting, " sagde Crowley ind Kablet. Hvis fejlene blev set om blot et par uger, han tilføjede, den sagde "meget om, hvad der ellers lurer på disse afgørende og indbyrdes forbundne systemer."
Hvad er det næste:X-Force Red-teamet leverede sårbarhedsdetaljer til berørte leverandører "på forhånd for at give tid til, at en officiel rettelse kan udvikles og frigives forud for denne udgivelse, "Crowley sagde. "Flere af leverandørerne har opdateret deres software eller planlægger at med passende patches af ændringer til funktioner."
TechNadu sagde, at nogle virksomheder hævdede, at brugerdata aldrig var i fare.
Crowleys artikel i Sikkerhedsintelligens også rettet rådgivning.
Rådene omfattede:Krypter alt. "Fulddiskkryptering bør altid bruges på ethvert system, der er tilgængeligt for offentligheden." Han sagde, at fuld-disk-kryptering allerede var normen på iOS-enheder. Også, han sagde, at hvis netværksadgang ikke er påkrævet for at besøgsstyringssystemet kan fungere, den bør ikke være forbundet til netværket.
© 2019 Science X Network
Varme artikler
-
Facebook:Falsk kontofjernelse fordobles på 6 måneder til 3BDenne 16. juli, 2013-filbillede viser et skilt ved Facebook-hovedkvarteret i Menlo Park, Calif. Facebook sagde i en torsdag, 23. maj, 2019 rapport, det fjernede mere end 3 milliarder falske konti fra -
Blockchain:deling af data og brud med traditionelle netværkKredit:CC0 Public Domain Blockchain som teknologi oplever en enorm innovation og påvirker næsten alle industrier fra forsyningskæde til spil og, måske den mest genkendelige, kryptovaluta. Der er -
Google opbygger genopretningsafdeling for digitale zombierLås ur op. Vi vender. Øde ø. Postboks. Er det nogle nye børns spil, der skal holde dem travlt på dine smartphones, mens du leder efter parkering? Ingen måde. Google har frigivet aktiviteter, der danne -
Vil du slukke for internettet? Det kan ske, hvis en solstorm rammer JordenRøntgenstråler strømmer ud af solen i dette billede, der viser observationer fra NASAs Nuclear Spectroscopic Telescope Array, eller NuSTAR, overlejret på et billede taget af NASAs Solar Dynamics Obser
- Redigeret Biden-video varsler sociale medieudfordringer i 2020
- Forlængelse af fødevarers holdbarhed med nanomaterialer
- Ny kinesisk undervandsbåd når jordens dybeste havgrav
- Kvindelige brandmænd kan forbedre sikkerheden, men afdelingskulturen skal ændres
- Forskere viser molekylært grundlag for myrer, der fungerer som livvagter for planter
- Octobot er en squishy,