Start Empfohlen Kommen Sie, fliegen Sie über den unsicheren Himmel, eine Lektion in IT-Bereitstellung...

Kommen Sie, fliegen Sie über den unsicheren Himmel, eine Lektion in IT-Bereitstellung an einem der größten US-Flughäfen

22
0


Im Juli 2011 wartete Bryan Halfpap auf seinen Rückflug nach Maryland. Als Sicherheitsexperte für Netzwerksysteme, der für einen Rohstoffveredler und Energieversorger arbeitete, hatte er gerade die Veranstaltungswoche der DefCon-Sicherheitskonferenz in Las Vegas beendet.

In seinem Wartesessel zusammengesunken, müde, gelangweilt und mit Zeit zum Töten, klappte er seinen Laptop auf. Audio- und visuelle Bestätigungen offener drahtloser Netzwerke erhellten seinen Computer. Der McCarran International Airport, das Tor zur neonfarbenen Vergnügungsinsel Las Vegas, hatte kostenloses WLAN. Aus irgendeinem Grund wollte Halfpap die Zeit totschlagen, indem er den Flughafen, auf dem er saß, kennenlernte.

Er öffnete seinen Webbrowser und zeigte auf McCarran.com. Mit einem schnellen Klick auf ein Menü hatte Halfpap die HTML-Codepage von McCarrans Website aufgerufen. Wie bei jeder HTML-basierten Website ist der Code der Website für die Öffentlichkeit zugänglich. So können alle Webbrowser die Formatierung einzelner Websites lesen. Als Halfpap anfing, die Zeilen der Hypertext-Markup-Sprache und des grundlegenden Web-Scripting-Codes im Quelltext der Webseite zu durchsuchen, wurde also nichts digital teuflisches getan.

Bei einem kurzen Blick auf den Code auf mehreren McCarran.com-Webseiten stellte Halfpap fest, dass die Dateien von einem Xerox Docushare Content Management System (CMS)-Backend mit einer eigenen Subdomain gehostet wurden. Normalerweise werden Sie beim Besuch eines Subdomain-CMS mit einer Fehlermeldungsseite in Ihrem Browser begrüßt. Nur Websites und Benutzer, denen Zugriff auf bestimmte Ordner gewährt wurde, sollten alle Dateien sehen können. Aber das ist nicht immer der Fall. Automatisierte Suchmaschinen können manchmal Dinge sehen, die sichere CMS blockieren sollen.

Googeln von McCarran

Moderne Suchmaschinen indizieren Websites; Damit beispielsweise Google Keywords auf Websites zum Laden finden kann, verwendet es einen automatisierten Roboterprozess, um Inhalte sowie andere Links zu anderen Websites zu durchsuchen. Wenn eine Website auf eine andere Website verweist, folgt Google diesem Link und liest alles, was es kann, zur Indexierung. Die Suche wird so lange fortgesetzt, bis allen Links gefolgt und alle Seiten indexiert wurden. Die Anzahl der Links zu anderen Websites gibt Ihnen ein Ranking, während der Kontext für die Keyword-Suche von Google in Textform zwischengespeichert wird. Mehrere Sites, die miteinander verlinken, verfügen normalerweise über Tonnen von Daten, auf die von Unterseiten einer Hauptseite verwiesen werden kann. So finden Sie die Kontaktseite für McCarran, ohne zuerst Mccarren.com aufrufen zu müssen.

Aber man könnte meinen, einfach nur „site:McCarran.com“ zu googeln, würde von einem webbasierten Hosting-Server nichts Wichtiges hervorbringen. Niemand wäre so dumm. Es gibt keine Möglichkeit, eine Datei mit sensiblen sicheren Informationen auf der öffentlichen Website eines großen internationalen Flughafens zu finden. Aber als Netzwerksicherheitsprofi wusste Halfpap etwas Grundlegendes: Nicht jeder erinnert sich ständig daran, das zu tun, was er tun sollte.

In dem, was man nur als die Mutter aller ungeschickten Netzwerkbereitstellungen bezeichnen kann, wurde der Gastzugang auf diesem internetorientierten Content-Management-System belassen und eine Datei mit der Bezeichnung PUBLIC, die nur für die Mitarbeiter des Flughafens bestimmt war, hatte einen Unterordner namens /security die über die Netzwerkdokumentation des Flughafens, Sicherheitsverfahrensdokumente, Handbücher für die Hardware des Flughafenterminals und interne Finanzdokumente verfügte. All dies wurde innerhalb der ersten 30 Minuten gefunden, in denen nur einfaches Googeln von seinem Warteplatz im Flugzeug aus war, sagt Halfpap.

Im Jahr 2010 lag der McCarran International Airport in Las Vegas mit 39.757.359 Passagieren, die über sein Terminal reisen, auf Platz 22 der Welt im Passagierverkehr. Mit 505.591 Starts und Landungen belegt es den neunten Platz in der Welt für „Flugzeugbewegungen“. McCarran und das Clark County Department of Aviation sind vollständig autarke Unternehmen und benötigen kein Geld vom Clark County, Nevada General Fund. Mit einem Flughafen, der im Geld steckt, mit Spielautomaten und erstklassigen Boutiquen im Inneren, könnte man meinen, dass die Netzwerksicherheit die jedes Vegas-Casinos übertrifft.

Unerwarteter Fund

Aber als Halfpap nach Hause kam, konnte er über 300.000 Dokumente aus diesem öffentlich zugänglichen Content-Management-System wiederherstellen. Obwohl nicht alle Dateien vollen Gastzugriff hatten, wurden Dokument-Snippets dennoch zwischengespeichert und waren vom Gastkonto aus einsehbar. Halfpap schätzt, dass dies nur etwa 10 Prozent der auf dem CMS gehosteten Dateien ausmacht. Die vollständige Liste der enthaltenen Felder, die er ohne Sicherheitsverletzungen finden konnte, und nur einfaches Googeln enthalten:

  • 600 Benutzerprofile und Benutzernamen
  • 157 E-Mail-Nachrichten
  • Mitarbeiterverzeichnis
  • Organigramme
  • Handbücher für die Server
  • Bereitstellungsverfahren für ihre Server
  • Bereitstellungsverfahren für ihre Desktops
  • Sicherheitsrichtlinien
  • Netzwerkdokumentation
  • Netzwerkdiagramme
  • IP-Adressen
  • Einzelheiten zu ihrer Gepäckaufstellung
  • Einzelheiten zur Nutzung der gängigen Terminals für den Flug-Check-in

Es gab so viele Informationen, die Halfpap nie alle durchsuchen konnte. Aber dann dachte er, dies sei für das Internet geöffnet und werde indiziert. Er ging dann zu Google und tippte „CMS.Mccarren.com PASSWORD“ ein und da war es. Dokumente über Dokumente mit Benutzernamen und Passwörtern für eine Vielzahl interner Systeme. Nichts, auf das er zugreifen konnte, ohne die Sicherheit der Site zu verletzen, aber mehr als genug, um es zu tun, ohne jemals entdeckt zu werden.

Eine Sache weckte jedoch Halfpaps Interesse: ein einfaches Handbuch — für McCarrans maßgeschneiderte Unix-C-Airline-Feed-Architektur FID Systems (Flight Information Display System). Es ist das System, das verwendet wurde, um die sich drehenden, klackenden Flip-Card-Bildschirme laufen zu lassen, die den Passagieren mitteilten, wann und wo die Flüge abfliegen. Es ist das System, das die neuen digitalen Bildschirmsysteme steuert und mit den Fluggesellschaften kommuniziert, um Fluginformationen online zu aktualisieren. Es verwendet proprietäre Protokolle, die im Handbuch vollständig erklärt werden. Darüber hinaus sind die vollständigen Namen aller Personen, die an dem Projekt gearbeitet haben, im Handbuch enthalten. Das Handbuch ist von einem rein offenen Standpunkt, der nicht auf Hacker-Intelligenzebene basiert, eine goldene Gans an Informationen.

Halfpap kannte jetzt nicht nur die interne Funktionsweise des Flugsystems für den McCarran Airport, er erfuhr auch, wer den Code geschrieben hatte, der es ausführte. Er wusste, wer was und wo bearbeitete. Mit Google und der sozialen Profilseite Linkedin konnte er auch sehen, wo alle FIDS-Softwareentwickler jetzt arbeiteten.

Als Netzwerksicherheitsexperte wusste Halfpap, dass es ernst war. Er sammelte in kurzer Zeit viele Informationen. Mit dem Online-Internet-Tool The Wayback Machine, das zu InternetArchive.org gehört, erfuhr er, dass dieser Gastkontozugriff bereits 2003 mit diesem öffentlichen Ordner mit Blick auf das Internet beibehalten worden sein könnte.

Langsame Antwort

Ausgestattet mit diesen Informationen kontaktierte er im Januar 2012 den Flughafen, um mit dem CIO oder einem für die Informationssicherheit Verantwortlichen zu sprechen. Aber Halfpap bekam keine Antwort. Es wurden nie Sprachnachrichten zurückgegeben. Halfpap versuchte auch, den Flughafen McCarran per E-Mail und über seinen öffentlichen Twitter-Account zu kontaktieren; er bekam keine antwort.

Es war jetzt Mai 2012, nach mehreren weiteren gescheiterten Versuchen, die Aufmerksamkeit des Flughafens McCarran auf sich zu ziehen, kontaktierte Halfpap schließlich einen Freund von ihm, der für einen Regierungsauftragnehmer arbeitete, der enge Verbindungen zum FBI hatte. Von dort aus kontaktierte ein FBI-Agent einen Beamten des US-Verkehrsministeriums, und von dort aus kontaktierte jemand einen Mitarbeiter der Federal Aviation Administration, die dann schließlich das Clark County Department of Aviation kontaktierte, um das Problem zu beheben. Bis zum 17. Mai 2012 wurde der Gastzugang entzogen und der öffentliche Ordner teilweise entfernt.

Aber auch noch hatte die Airline ein ernstes Problem. Niemand im Personal hielt sich tatsächlich an die Internet-Sicherheitsrichtlinien des Flughafens. In meinem Interview mit Halfpap sagt er:

Ihre Sicherheitsrichtlinie sieht 8 alphanumerische Zeichen mit Symbolen vor, schreiben Sie sie nicht auf, ändern Sie Standardpasswörter und teilen Sie keine Passwörter. Nun, sie haben jeden von denen kaputt gemacht. Ich habe die Standardpasswörter nicht geändert, sie geteilt und aufgeschrieben, wie die geteilten Dateien zeigten, und hat Edelsteine ​​wie „lasvegas1“, die Zahl „1“ und „blank“, da es in nichts ein leeres Passwort ist. Und eines davon könnte das Passwort für eine kleinere Domäne des Netzwerks sein oder auch nicht.

Halfpap sagt dies mit einem unruhigen, frustrierten Lachen. Andere Passwörter, die neben dem Gepäcksystem über Google gefunden werden konnten, waren E-Mail-Test-Admin-Passwörter und Passwörter für McCarrans Stoneware-Konto, eine Umgebung für die Standortbereitstellung. Halfpap sagt, sie hätten ihm die Schlüssel zum Königreich nicht gegeben. Aber mit so vielen Informationen hätte er sich leicht mit Speerfischen oder Social Engineering seinen Weg bahnen können. Er hatte das vollständige Mitarbeiterverzeichnis mit ihren Titeln, Telefonnummern und Büros. Alles, was mit seinem technischen Wissen über die Plattformbereitstellungen jemals benötigt würde, um einzusteigen.

Die Hauptursache für diese große Sicherheitslücke bei McCarran war, dass das Team, das das System implementierte, vergessen hatte, das Gastkonto zu deaktivieren, und schlimmer noch, eine Richtlinie zur Aufbewahrung sicherer Dokumente in einem öffentlichen Ordner festgelegt wurde.

Halfpap sagt, wenn er für dieses Netzwerk und den Einsatz verantwortlich gewesen wäre, hätte er gefeuert werden sollen. Heute diskutierte Halfpap seine Erkenntnisse auf der diesjährigen Defcon in einem Vortrag mit dem Titel „Grepping The Gropers: Airport Security“.

Zum Zeitpunkt der Drucklegung hatte BetaNews keine Antwort auf mehrere Bitten um Stellungnahme erhalten, einschließlich des Luftfahrtadministrators von Clark County, der für die Wartung des Flughafennetzwerks verantwortlich ist.

Bildnachweis: photobank.ch/Shutterstock



Vorheriger ArtikelHaben Sie sich kürzlich Ihre .htacess-Datei angesehen? Ihr Apache-Server ist möglicherweise nicht sicher
Nächster Artikel5 Möglichkeiten, Hacker in die Defensive zu drängen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein