Para gerentes de negócios, o objetivo pode ser encontrar um processo orientado para a tecnologia que possa proteger a segurança e a proteção das instalações, funcionários e visitantes. Os sistemas de gerenciamento de visitantes podem não apenas realizar check-ins, mas também controlar o acesso a áreas restritas.

"A recepcionista amigável ou o segurança estão sendo substituídos por quiosques, e é um grande negócio, com vendas esperadas de mais de US $ 1,3 bilhão até 2025, "disse Daniel Crowley, que lidera a pesquisa para IBM X-Force Red. X-Force Red? Esses caras são durões? Num sentido, sim. Esta é uma equipe de hackers da IBM Security. Eles tentam arrombamentos. Seu trabalho é descobrir vulnerabilidades que os invasores criminosos podem usar.

Então, se as empresas estiverem interessadas em procurar sistemas de verificação de visitantes, então é melhor encontrar algo que seja mais do que apenas um diário de bordo digital. Eles estão encontrando o que precisam e sua escolha é segura? X-Force Red cheirou algo errado. Os invasores podem roubar seus dados. Os invasores podem se passar por você.

Quiosques de login (portais em empresas e instalações) podem ser vulneráveis ​​à espionagem de dados. Poste de Ameaça não foi gentil na escolha do título:"Sistemas de acesso de quiosque de visitantes crivados de bugs."

Dois dos estagiários de verão do X-Force Red encontraram 19 vulnerabilidades não reveladas em cinco sistemas populares de gerenciamento de visitantes.

Poste de Ameaça trouxe algumas informações interessantes sobre quais eram os objetivos do teste quando a equipe começou a testar os sistemas de gerenciamento de visitantes.

"1, foi como é fácil fazer o check-in como um visitante sem qualquer tipo de informação de identificação real. Em segundo lugar, partimos para ver como é fácil obter informações de outras pessoas do sistema. E terceiro, existe uma maneira de um adversário escapar do aplicativo, fazer com que ele trave ou faça com que a execução arbitrária de código seja executada no dispositivo visado e ganhe uma posição para atacar a rede corporativa. "

Crowley relatou as descobertas em SecurityIntelligence :Divulgação de informações de dados pessoais e corporativos; vários aplicativos tinham credenciais administrativas padrão; vulnerabilidades que permitem a um invasor usar teclas de atalho do Windows e ajuda padrão ou caixas de diálogo de impressão para sair do ambiente de quiosque e interagir com o Windows, de forma que um invasor tenha controle sobre o sistema com os mesmos privilégios que o software recebeu.

Alguns incidentes de sistemas de check-in estão esperando para acontecer? Lily Hay Newman em Com fio na segunda-feira levantou alguns cenários que pareciam descomplicados se uma pessoa quisesse cometer malícia. Ela disse que "um hacker poderia facilmente abordar um sistema de gerenciamento de visitantes com uma ferramenta como um stick USB configurado para exfiltrar dados automaticamente ou instalar malware de acesso remoto".

Além disso, "enquanto mais rápido é sempre melhor para um ataque, " ela escreveu, "seria relativamente fácil ficar em um quiosque de entrada por alguns minutos sem atrair qualquer suspeita."

Com fio disse na segunda-feira que as falhas que os dois encontraram foram corrigidas em sua maioria.

"Este era o tipo de coisa que arranhava a superfície, "Crowley disse em Com fio. Se os bugs fossem vistos em apenas algumas semanas, ele adicionou, dizia "muito sobre o que mais pode estar escondido nesses sistemas cruciais e interconectados".

O que vem a seguir:a equipe do X-Force Red forneceu detalhes de vulnerabilidade aos fornecedores afetados "com antecedência, a fim de dar tempo para uma correção oficial ser desenvolvida e lançada antes desta publicação, "Crowley disse." Vários dos fornecedores atualizaram seus softwares ou planejam com patches apropriados de mudanças nas funções. "

TechNadu disse que algumas empresas alegaram que os dados do usuário nunca estiveram em perigo.

Artigo de Crowley em SecurityIntelligence também abordou o conselho.

O conselho incluía:Criptografe tudo. "A criptografia de disco completo deve sempre ser usada em qualquer sistema acessível ao público." Ele disse que a criptografia de disco completo já era a norma em dispositivos iOS. Também, ele disse que se o acesso à rede não for necessário para o funcionamento do sistema de gerenciamento de visitantes, ele não deve ser conectado à rede.

© 2019 Science X Network