Daniel Crowley hat eine lange Liste von Softwareplattformen, Computern und Geräten im Internet, von denen er vermutet, dass er sie hacken könnte. Als Research Director von IBMs offensiver Sicherheitsgruppe X-Force Red hat Crowley die Aufgabe, seine Intuition dahingehend zu verfolgen, wo digitale Sicherheitsrisiken und -bedrohungen lauern können, und sie aufzudecken, damit sie behoben werden können. Aber so viele Arten von Computergeräten sind in so vielerlei Hinsicht anfällig, dass er nicht jeden Lead selbst verfolgen kann. Er tut also, was jeder selbstbewusste Forschungsdirektor tun würde: Er stellt Praktikanten ein, von denen zwei eine Reihe von Fehlern in Softwareplattformen gefunden haben, auf die sich Büros täglich verlassen.
Am Montag veröffentlicht IBM Erkenntnisse zu Schwachstellen in fünf „Besuchermanagementsystemen“, den digitalen Anmeldeportalen, die Sie in Unternehmen und Einrichtungen häufig empfangen. Unternehmen kaufen Besuchermanagement-Softwarepakete und richten sie auf PCs oder mobilen Geräten wie Tablets ein. Die X-Force-Praktikanten Hannah Robbins und Scott Brink fanden jedoch Fehler in allen fünf gängigen Systemen, die sie von den Besucherverwaltungsfirmen Jolly Technologies, HID Global, Threshold Security, Envoy und The Receptionist untersucht hatten. Wenn Sie sich auf einem dieser Systeme angemeldet haben, könnte ein Angreifer möglicherweise Ihre Daten abgefangen oder sich als Sie im System ausgeben.
"Es gibt diesen Moment der Überraschung, wenn man anfängt, echte Produkte, echte Geräte und echte Software zu bewerten und sieht, wie schlecht bestimmte Dinge sind", sagt Crowley. "Diese Systeme würden Informationen verlieren oder eine Person nicht richtig authentifizieren oder es einem Angreifer ermöglichen, aus der Kiosk-Umgebung auszubrechen und die zugrunde liegenden Systeme zu kontrollieren, um Malware zu installieren oder auf Daten zuzugreifen."
Die analysierten Systeme X-Force Red lassen sich nicht direkt in Systeme integrieren, die Zugangskennzeichen drucken, was ein noch größeres Sicherheitsrisiko gewesen wäre. Dennoch fanden die Forscher Schwachstellen, die sensible Daten gefährdeten und Sicherheitsrisiken verursachten.
"Ich wusste, dass es ein Blutbad werden würde."
Daniel Crowley, IBM
Die eigentliche Natur der Besuchermanagementsysteme ist teilweise schuld. Im Gegensatz zu den Remotezugriffsangriffen, die die meisten Unternehmen vorhersehen und zu blockieren versuchen, könnte ein Hacker mit einem Tool wie einem USB-Stick, das zum automatischen Filtern von Daten oder Installieren von Remotezugriffs-Malware eingerichtet ist, problemlos auf ein Besuchermanagementsystem zugreifen. Selbst ohne einen zugänglichen USB-Anschluss können Angreifer mithilfe anderer Techniken wie Windows-Tastenkombinationen schnell die Kontrolle erlangen. Und während für einen Angriff schneller immer besser ist, wäre es relativ einfach, ein paar Minuten an einem Anmeldekiosk zu stehen, ohne dass ein Verdacht aufkommt.
Unter den mobilen Produkten, die die Forscher untersuchten, hatte The Receptionist einen Fehler, durch den die Kontaktdaten der Benutzer potenziell einem Angreifer zugänglich gemacht werden könnten. Envoy Passport stellt Systemzugriffstoken zur Verfügung, mit denen sowohl Daten gelesen als auch Daten geschrieben oder eingegeben werden können.
"IBM X-Force Red hat zwei Schwachstellen entdeckt, aber Kunden- und Besucherdaten waren nie gefährdet", schrieb Envoy in einer Erklärung. "Im schlimmsten Fall können diese Probleme dazu führen, dass den Systemen, mit denen wir die Leistung unserer Software überwachen, ungenaue Daten hinzugefügt werden." Die Rezeptionistin hat sich nicht fristgerecht geäußert.
Unter den PC-Softwarepaketen hatte EasyLobby Solo von HID Global Zugriffsprobleme, die es einem Angreifer ermöglichen könnten, die Kontrolle über das System zu übernehmen und möglicherweise Sozialversicherungsnummern zu stehlen. Und eVisitorPass von Threshold Security hatte ähnliche Zugriffsprobleme und erratene Standard-Administratoranmeldeinformationen.
"HID Global hat eine Lösung für die Sicherheitslücken entwickelt, die ein Team von IBM-Sicherheitsforschern in HIDs EasyLobby Solo, einem Einstiegsprodukt für das Besuchermanagement auf Einzelarbeitsplätzen, identifiziert hat", heißt es in einer Erklärung von HID Global. "Es ist wichtig anzumerken, dass die installierte Basis von EasyLobby Solo weltweit extrem klein ist. HID hat alle Kunden identifiziert, die die ältere EasyLobby Solo-Version der Software verwenden, und das Unternehmen nimmt aktiv Kontakt mit ihnen auf, um sie über die Implementierung zu informieren und sie anzuleiten Die Reparatur."
Richard Reed, Vice President für Entwicklung bei Threshold Security, schrieb in einer Erklärung: "Wir schätzen die Arbeit, die IBM leistet, um das Bewusstsein für Sicherheitsrisiken im Internet der Dinge zu schärfen, und insbesondere ihre Untersuchungen zu Besuchermanagementsystemen. IBM hat uns darüber informiert Sie haben einige Sicherheitslücken in unserem eVisitor KIOSK-Produkt identifiziert. Wir haben die Sicherheitslücken überprüft und behoben."
IBM hat in einem Produkt namens Lobby Track Desktop von Jolly Technologies satte sieben Fehler gefunden. Ein Angreifer kann sich einem Lobby-Track-Kiosk nähern und auf einfache Weise Zugriff auf ein Tool zur Datensatzabfrage erhalten, mit dem die gesamte Datenbank der Anmeldedaten früherer Besucher, möglicherweise einschließlich der Führerscheinnummern, gespeichert werden kann. Von den fünf Unternehmen, mit denen IBM Kontakt aufgenommen hat, um Schwachstellen aufzudecken, hat nur Jolly Technologies keine Patches herausgegeben, da laut Angaben des Unternehmens alle sieben Probleme durch Systemkonfigurationsänderungen behoben werden können.
"Alle von der IBM Sicherheitsgruppe beschriebenen Self-Service-Probleme können durch einfache Konfiguration behoben werden", schrieb Donnie Lytle, Customer Relations Manager bei Jolly Technologies, in einer Erklärung. "Wir lassen die Konfiguration des Kiosk-Modus offen, damit die Benutzer die Software an ihre spezifischen Anforderungen anpassen können. Alle Einstellungen und Optionen werden bei Vorverkaufsdemonstrationen, Kundentests und bei der Installation von Support-Technikern behandelt."
Crowley freut sich über diese Optionen, weist jedoch darauf hin, dass es sehr selten vorkommt, dass Benutzer von den Standardkonfigurationen abweichen, es sei denn, sie versuchen ausdrücklich, eine bestimmte Funktion zu aktivieren.
ERFAHREN SIE MEHR
Der WIRED-Leitfaden zu Datenverletzungen
Im Allgemeinen weisen die Forscher darauf hin, dass sich viele Besucher-Management-Systeme als Sicherheitsprodukte positionieren, ohne tatsächlich Besucherauthentifizierungsmechanismen anzubieten. „Wenn Sie ein System sind, das Personen als vertrauenswürdige Besucher identifizieren soll, sollten Sie wahrscheinlich einen Nachweis wie einen QR-Code oder ein Kennwort verlangen, um zu beweisen, dass Personen so sind, wie sie sagen, dass sie sind. Aber die Systeme, die wir erforscht haben, waren nur ein verherrlichtes Logbuch. “
Crowley sagt, er möchte sich eingehender mit Besuchermanagementsystemen befassen, die in RFID-Türschlösser integriert sind und direkt Ausweise ausstellen können. Die Kompromittierung einer dieser Möglichkeiten würde einem Angreifer nicht nur einen umfassenden physischen Zugriff innerhalb einer Zielorganisation ermöglichen, sondern könnte auch andere digitale Kompromisse in den Netzwerken des Opfers ermöglichen. Die Forscher haben im Laufe der Jahre mit Sicherheit Schwachstellen in elektronischen Zugangskontrollsystemen entdeckt und tun dies auch weiterhin.
