Parola kırma ve tahmin etme girişimleri, deneyimli siber güvenlik uzmanlarının saçlarını biraz ağartmak için yeterince başarılıdır. Şimdi yeni araştırmalar, ucuz bir termal kamera ve bazı basit derin öğrenme modelleri ile donatılmış saldırganlar tarafından daha etkili kırma girişimlerinin gerçekleştirilebileceğini gösteriyor.
Yapay zeka güdümlü saldırılar, Glasgow Üniversitesi Bilgisayar Bilimleri Okulu’ndan Dr. Mohamed Khamis ve okuldaki meslektaşları Norah Alotaibi ve Dr. John Williamson tarafından kavramsallaştırıldı ve geliştirildi. onların sonuçları ACM İşlemleri Gizlilik ve Güvenlik dergisinin gelecek sayısında.
Makale, kontrolsüz ayarlarda bile parolaları doğru bir şekilde kırmak için bir yöntem oluşturmak için kullanıma hazır termal kameraları ve yakın zamanda kullandıkları klavyelerden aldıkları 1.500 termal görüntüyü kullanan olasılıklı bir modeli detaylandırıyor. ThermoSecure olarak adlandırılan yöntem, termal kameralar aracılığıyla ısı imzalarını yakalar ve bunları araştırmacıların yapay zeka modellemesiyle analiz ederek, görüntüler girdiden sonraki 20 saniye içinde alındığında %86 doğruluk ve girdiden sonraki 60 saniye içinde %62 doğrulukla bir parola tahmin eder.
Araştırmacılar makalelerinde, “Anahtarların sırasını bilmeden bile, arama alanını önemli ölçüde azaltmak mümkündür, bu da bir şifreyi tahmin etmek için daha az deneme yapılması gerektiği anlamına gelir.”
Khamis, ekibinin bunu potansiyel bir tehdit vektörü olarak neden araştırmak istediğinin bir ipucu olarak, 200 dolardan daha düşük bir fiyata alınabilen termal kameraların erişilebilir fiyatına işaret etti. Açıkladığı gibi, bu muhtemelen kötü adamların bu araçları kendi avantajlarına kullanmanın yollarını geliştirmek için yenilik yaptığı bir alandır.
“Bir hırsızı yakalamak için bir hırsız gibi düşünmeniz gerektiğini söylüyorlar. ThermoSecure’u, kötü niyetli aktörlerin termal görüntüleri kullanarak bilgisayarlara ve akıllı telefonlara nasıl girebileceğini dikkatlice düşünerek geliştirdik.” dedi. “Riskleri azaltmak için yeni yollar bulmak için bilgisayar güvenliği araştırmalarının bu gelişmelere ayak uydurması önemlidir ve saldırganlardan bir adım önde olmaya çalışmak için teknolojimizi geliştirmeye devam edeceğiz.”
İlk Termal Rodeo Değil
Bu, parolaları tahmin etmek için termal görüntülemenin kullanımına değinen ilk araştırma olmasa da, önceki çalışmalar son derece kontrollü ortamlarda fotoğraf çekti. Bu sonuncusu, farklı kamera açılarından ve kullanıcı davranışlarından etkilenebilecek kontrolsüz koşullarda AI katmanlamasının doğruluktaki boşluğu nasıl kapatabileceğine odaklandı. Çalışma ayrıca parola uzunluğu ve yazma stilleri gibi faktörlerin bu tekniğin doğruluğunu nasıl etkileyebileceğini inceleyerek, hafifletme önlemleri için bazı ipuçları verdi.
Örneğin, sekiz sembollü şifrelerden 16 sembollü şifrelere atlama, girişten 20 saniye sonra görüntüler çekildiğinde saldırının doğruluğunu 26 puan azalttı. Benzer şekilde, daha hızlı dokunan daktilolar, daha yavaş “avla ve gagala” yazanlara göre daha az ısı izi bıraktı, bu da doğruluğun ikincisine kıyasla birincisi için yaklaşık 12 puan daha düşük olduğu anlamına geliyor.
Diğer bazı hafifletici faktörler arasında, AI modelini flummox için yeterince termal bir görüntüyü “aydınlatmak” için tuşları yeterince ısıtan arkadan aydınlatmalı klavyelerin kullanımı ve bir klavyede kullanılan plastik türü yer alıyordu. Örneğin, ABS plastik, ısıyı PBT plastiğe göre çok daha kısa süre korur.
Tabii ki, en güvenilir azaltıcı önlemlerden biri, hemen hemen her tür parola kırma veya tahmin etme saldırısı için belirtilenlerdir: yani, alternatif oturum açma yöntemleri aramak.
Khamis, “Kullanıcılar, termal saldırı riskinin çoğunu azaltan parmak izi veya yüz tanıma gibi alternatif kimlik doğrulama yöntemlerini benimseyerek cihazlarını ve klavyelerini daha güvenli hale getirmeye yardımcı olabilir.” Dedi. “Ekibimde daha önce parola girişi için göz hareketlerine dayanan kimlik doğrulama şemaları önerdik; bakış tabanlı kimlik doğrulama, tasarım gereği termal saldırılara karşı dirençlidir.”