Credenciales codificadas en hardware en equipos mantenidos por muchas personas

4

De acuerdo con National Public Radio, Ruben Santamarta ha informado que los equipos a bordo de los aviones y al que se puede acceder a través de WiFi a bordo o equipos de entretenimiento en vuelo utilizan credenciales de inicio de sesión codificadas. enlace

Entiendo por qué las credenciales codificadas son malas, pero también comprendo el problema de las aerolíneas: tienen que dar servicio a cientos de aviones en docenas de ubicaciones. Como mínimo, parece que debería haber una contraseña predeterminada, modificable por las aerolíneas, de modo que, e.g. Delta podría tener una credencial para todo el sistema y United para otra. Eso también permitiría cambiar las credenciales después de las inevitables filtraciones.

Mi pregunta: ¿Existe un mejor enfoque?

    
pregunta Bob Brown 04.08.2014 - 22:02
fuente

1 respuesta

1

Tenemos que esperar a que comience la conferencia para obtener más información. Pero mis primeros pensamientos:

  • los sistemas wifi y de entretenimiento deben estar separados de los sistemas de control. No debería ser posible encontrar una contraseña y luego controlar el plano (o partes de ella) desde su computadora personal. Al menos haz que un atacante se levante de su asiento.
  • las contraseñas no deben estar codificadas. siempre. esto los hace difíciles de cambiar, causa problemas cuando el código fuente se filtra, expone a más personas de las necesarias a las contraseñas (p. ej., revisores de códigos), las contraseñas son (probablemente) texto plano, etc. Es solo una mala idea.
  • los técnicos deberían tener cada uno su propia contraseña (sí, esto debe ser mantenido. Pero supongo que hay muchas cosas en los aviones que ya necesitan mantenimiento, esto es solo una cosa más que hacer). De esta manera, el acceso se puede revocar por persona (el técnico Bob puede ser un atacante. ¿Qué ocurre entonces? O puede tener un problema con la bebida y hablar demasiado, o podría ser despedido un día, o podría ser un amigo con problemas) personas).
  • las contraseñas deben cambiarse a menudo en intervalos irregulares
  • Consideraría seriamente una contraseña para cada técnico para cada plano, tal vez se cambie diariamente.
  • entrenamiento de seguridad de técnicos. No sé si esto está sucediendo, pero debería. Por ejemplo, se les debe decir que nunca den su contraseña.
  • como dijo @Ricky Demer, el acceso a tales sistemas críticos debe estar restringido por contraseñas y alguna solución de hardware.
respondido por el tim 05.08.2014 - 09:42
fuente

Lea otras preguntas en las etiquetas