Per i dirigenti aziendali, l'obiettivo potrebbe essere quello di trovare un processo guidato dalla tecnologia in grado di proteggere la sicurezza dei locali, personale e visitatori. I sistemi di gestione dei visitatori possono non solo eseguire il check-in, ma anche controllare l'accesso alle aree riservate.

"L'amichevole receptionist o guardia di sicurezza viene sostituita da chioschi, ed è un grande affare, con vendite che dovrebbero superare 1,3 miliardi di dollari entro il 2025, "disse Daniel Crowley, che dirige la ricerca per IBM X-Force Red. X-Force Rosso? Sono duri questi ragazzi? In un senso, sì. Questo è un team di hacker in IBM Security. Tentano effrazioni. Il loro lavoro è scoprire le vulnerabilità che gli aggressori criminali possono utilizzare.

Così, se le aziende potrebbero essere interessate a cercare sistemi di check-in per i visitatori, allora è meglio che trovino qualcosa che sia più di un semplice diario di bordo digitale. Stanno trovando ciò di cui hanno bisogno e la loro scelta è sicura? X-Force Red ha annusato qualcosa di sbagliato. Gli aggressori possono rubare i tuoi dati. Gli aggressori possono impersonarti.

I chioschi di accesso (portali presso aziende e strutture) potrebbero essere vulnerabili allo spionaggio dei dati. Posta delle minacce non è stato gentile nella scelta del titolo:"Sistemi di accesso ai chioschi dei visitatori pieni di bug".

Due dei tirocinanti estivi di X-Force Red hanno trovato 19 vulnerabilità precedentemente non rivelate in cinque popolari sistemi di gestione dei visitatori.

Posta delle minacce ha fornito alcune informazioni interessanti su quali fossero gli obiettivi del test quando il team ha deciso di testare i sistemi di gestione dei visitatori.

"Uno, era quanto sia facile fare il check-in come visitatore senza alcun tipo di reale informazione di identificazione. In secondo luogo, abbiamo deciso di vedere quanto sia facile ottenere le informazioni di altre persone dal sistema. E terzo, c'è un modo in cui un avversario può uscire dall'applicazione, causarne l'arresto anomalo o eseguire l'esecuzione di codice arbitrario sul dispositivo di destinazione e ottenere un punto d'appoggio per attaccare la rete aziendale."

Crowley ha riferito sui risultati in SicurezzaIntelligenza :Divulgazione informativa di dati personali e aziendali; diverse applicazioni avevano credenziali amministrative predefinite; vulnerabilità che consentono a un utente malintenzionato di utilizzare i tasti di scelta rapida di Windows e la guida standard o stampare finestre di dialogo per uscire dall'ambiente del chiosco e interagire con Windows, in modo tale che un utente malintenzionato avrebbe il controllo del sistema con gli stessi privilegi concessi al software.

Ci sono problemi con i sistemi di check-in in attesa di verificarsi? Lily Hay Newman in Cablato lunedì ha sollevato alcuni scenari che sembravano semplici se una persona volesse fare del male. Ha detto che "un hacker potrebbe facilmente avvicinarsi a un sistema di gestione dei visitatori con uno strumento come una chiavetta USB impostato per esfiltrare automaticamente i dati o installare malware ad accesso remoto".

Inoltre, "mentre più veloce è sempre meglio per un attacco, " lei scrisse, "sarebbe relativamente facile stare a un chiosco di accesso per alcuni minuti senza destare sospetti".

Cablato ha detto lunedì che i difetti trovati dai due erano per lo più corretti.

"Questa era una specie di roba da graffiare la superficie, "Crowley ha detto in Cablato. Se i bug sono stati rilevati in poche settimane, Ha aggiunto, diceva "molto su cos'altro potrebbe essere in agguato su questi sistemi cruciali e interconnessi".

Cosa c'è dopo:il team di X-Force Red ha fornito dettagli sulla vulnerabilità ai fornitori interessati "in anticipo per consentire lo sviluppo e il rilascio di una correzione ufficiale prima di questa pubblicazione, " Crowley ha detto. "Molti dei fornitori hanno aggiornato il loro software o prevedono di apportare patch appropriate di modifiche alle funzioni".

TechNadu ha affermato che alcune aziende hanno affermato che i dati degli utenti non sono mai stati in pericolo.

L'articolo di Crowley in SicurezzaIntelligenza anche indirizzato consigli.

Il consiglio includeva:crittografare tutto. "La crittografia dell'intero disco dovrebbe essere sempre utilizzata su qualsiasi sistema accessibile al pubblico". Ha detto che la crittografia dell'intero disco era già la norma sui dispositivi iOS. Anche, ha detto che se l'accesso alla rete non è necessario per il funzionamento del sistema di gestione dei visitatori, non dovrebbe essere collegato alla rete.

© 2019 Scienza X Rete