Zamislite da haker može pogoditi vaše zaporke iz topline koju ostavljate prstima na tipkovnici? Grupa znanstvenika koja se bavi računalnom sigurnosti na Fakultetu računalnih znanosti Sveučilišta u Glasgowu, u Velikoj Britaniji, uspjela je izvesti upravo takav hakerski napad.
U njihovoj studiji koja će biti objavljena u nadolazećem izdanju časopisa ACM Transactions on Privacy and Security, tim predvođen izvanrednim profesorom Mohamedom Khamisom razvio je ThermoSecure, sustav umjetne inteligencije koji koristi termovizijsku kameru za pogađanje i prepoznavanje tipki ili dijelova zaslona koje je korisnik posljednje dodirnuo. Takva područja su inače svjetlija na termalnoj slici te mogu otkriti koje je tipke (mehaničke ili virtualne) korisnik posljednje koristio na uređaju.
Khamis i njegov tim su potom koristili taj sustav za pogađanje zaporki i PIN-ova na tipkovnicama računala, zaslonima pametnih telefona i tipkovnicama bankomata.
Njihovi rezultati bili su prilično zapanjujući, s 86 posto točno otkriveih zaporki kada su termalne slike snimljene unutar 20 sekundi od korištenja uređaja, 76 posto sa slikama snimljenim unutar 30 sekundi i 62 posto nakon 60 sekundi.
Uz ThermoSecure, istraživači su mogli probiti čak dvije trećine lozinki koje imaju do 16 znakova. S kraćima je bilo još lakše. Zaporke od 12 znakova pogađane u 82 posto slučajeva, a lozinke od osam znakova pogađane u čak 93 posto slučajeva. Lozinke od šest znakova ili manje bez pogreške su pogađane, dakle u 100 posto slučajeva.
Iako je riječ tek o istraživanju, to je jasan pokazatelj i upozorenje da su kratke lozinke i PIN-ovi, poput onih koje koristimo za pristup našim bankovnim računima na bankomatu, posebno ranjivi na ovakvu vrstu napada.
Štoviše, alati poput onih koje koristi Khamisov tim postaju sve dostupniji.
Pristup termovizijskim kamerama pristupačniji je nego ikad – mogu se pronaći za manje od 220 dolara, a strojno učenje također postaje sve dostupnije. Zbog toga je vrlo vjerojatno da ljudi diljem svijeta razvijaju sustave slične linije kao ThermoSecure, kako bi ukrali lozinke, rekao je Khamis.
Također želimo kreatorima politika istaknuti rizike koje ove vrste toplinskih napada predstavljaju za računalnu sigurnost. Jedan od mogućih načina za smanjenje rizika mogao bi biti nezakonita prodaja termalnih kamera bez neke vrste poboljšane sigurnosti uključene u njihov softver. Trenutno razvijamo sustav protumjera vođen umjetnom inteligencijom koji bi mogao pomoći u rješavanju ovog problema, poručio je na kraju.
Izvor: University of Glasgow
