Credenziali codificate in hardware servite da molte persone

4

Secondo la National Public Radio, Ruben Santamarta ha riferito che l'equipaggiamento a bordo di aerei di linea e accessibile tramite WiFi a bordo o equipaggiamento di intrattenimento a bordo utilizza credenziali di accesso codificate. link

Capisco perché le credenziali hard-coded siano cattive, ma capisco anche il problema delle compagnie aeree: devono servire centinaia di aerei di linea in dozzine di posizioni. Come minimo, dovrebbe esserci una password predefinita, modificabile dalle compagnie aeree, in modo che ad esempio Delta possa avere una credenziale a livello di sistema e unita un'altra. Ciò consentirebbe anche di modificare le credenziali dopo le inevitabili perdite.

La mia domanda: esiste un approccio migliore?

    
posta Bob Brown 04.08.2014 - 22:02
fonte

1 risposta

1

Dobbiamo aspettare l'inizio della conferenza per ulteriori informazioni. Ma i miei primi pensieri:

  • i sistemi wifi e di intrattenimento dovrebbero essere separati dai sistemi di controllo. Non dovrebbe essere possibile trovare solo una password e quindi controllare l'aereo (o parti di esso) dal proprio personal computer. Almeno fai in modo che un malintenzionato esca dal proprio posto.
  • Le password
  • non dovrebbero essere codificate. mai. questo li rende difficili da cambiare, causa problemi quando il codice sorgente perde, espone più persone del necessario alle password (es. revisori di codice), le password sono (probabilmente) in chiaro, ecc. È solo un'idea sbagliata.
  • i tecnici dovrebbero avere ciascuno la propria password (sì, questa deve essere mantenuta, ma suppongo che ci sia un sacco di cose sugli aerei che hanno già bisogno di manutenzione, questa è solo un'altra cosa da fare). In questo modo, l'accesso può essere revocato su base personale (il tecnico Bob potrebbe essere un attaccante, che cosa succederebbe o potrebbe avere un problema con l'alcol e parlare troppo, o potrebbe essere licenziato un giorno, oppure potrebbe essere un amico con un abbozzo persone).
  • le password dovrebbero essere cambiate spesso a intervalli irregolari
  • Prenderò seriamente in considerazione una password per ogni tecnico per ogni piano, magari cambiata giornalmente.
  • formazione sulla sicurezza dei tecnici. Non so se questo sta accadendo, ma dovrebbe. Ad esempio, dovrebbe essere detto loro di non dare mai la propria password.
  • come ha detto @Ricky Demer, l'accesso a tali sistemi critici dovrebbe essere limitato da password e qualche soluzione hardware.
risposta data 05.08.2014 - 09:42
fonte

Leggi altre domande sui tag