Glasgow Üniversitesi’ndeki araştırmacılar, yayınlanan parolaları ve PIN’leri keşfetmek için sözde ThermoSecure uygulamalarını vurgulayan bir makale. ThermoSecure adı, araştırmacıların klavyeler, dokunmatik yüzeyler ve hatta dokunmatik ekranlar gibi giriş cihazlarından şifreleri ortaya çıkarmak için termal görüntüleme teknolojisi ve yapay zekanın bir karışımını kullandığı için, altta yatan metodolojiye dair bir ipucu veriyor.
Altta yatan tekniklere ve teknolojiye bakmadan önce, parola girişlerini ortaya çıkarmak için ThermoSecure’un ne kadar etkileyici olduğunu vurgulamakta fayda var. Testler sırasında, araştırma makalesinde şöyle belirtiliyor: “ThermoSecure, 6-sembol, 8-simge, 12-simge ve 16-simge parolalarına sırasıyla ortalama %92, %80, %71 ve %55 doğrulukla başarıyla saldırır.” Ayrıca, bu sonuçlar nispeten ‘soğuk’ kanıtlara dayanmaktadır ve makale şunu ekliyor: “daha da yüksek doğruluk [is achieved] termal görüntüler 30 saniye içinde alındığında.”
ThermoSecure nasıl çalışır? Sistem, son yıllarda çok daha uygun fiyatlı bir ürün haline gelen bir termal kameraya ihtiyaç duyuyor. Araştırma raporuna göre, kullanılabilir bir cihazın maliyeti yalnızca 150 dolardır. Yapay zeka yazılımı tarafında, sistem temel olarak (termal) görüntüyü tuşlara eşleyen Mask RCNN’ye dayalı bir nesne algılama tekniği kullanır. Üç aşamada, klavye yerelleştirme gibi değişkenler göz önünde bulundurulur, ardından tuş girişi ve çoklu basma tespiti yapılır, ardından tuşlara basma sırası algoritmalar tarafından belirlenir. Genel olarak, sonuçların önerdiği gibi oldukça iyi çalışıyor gibi görünüyor.
Hunt-and-Peck Daktilocuları Avlanıyor
Yukarıdaki termal saldırı, bilgisayar korsanlarının parolaları, PIN’leri vb. Bir termal saldırının başarısını etkileyebilecek ana faktörleri bir araya getirdik.
Girdi faktörleri: Kullanıcılar, daha uzun parolalar kullanarak ve daha hızlı yazarak daha güvenli olabilir. Araştırmacılar, “Avla ve gagala daktilocu olan kullanıcılar, termal saldırılara karşı özellikle savunmasızdır” diyor.
Arayüz faktörleri: Giriş cihazı malzemesinin termodinamik özellikleri önemlidir. Bir bilgisayar korsanı giriş cihazını 30 saniyenin altında görüntüleyebilirse, bu çok yardımcı olur. Klavye meraklıları muhtemelen ABS tuş başlıklarının dokunmatik ısı imzalarını PBT tuş kapaklarından çok daha uzun süre koruduğunu bilmekle ilgileneceklerdir.
Etkinliği sil: Arkadan aydınlatmalı klavyelerden yayılan ısı, insanın klavyeyle etkileşiminden kaynaklanan ısı izlerinin gizlenmesine yardımcı olur. Dikkatli bir kişi bazen tuşlara basmadan dokunabilir ve kullanıcı adını / şifreyi girdikten sonra en az bir dakika giriş alanından ayrılmayabilir.
Şifresiz git: Biyometri gibi alternatif kimlik doğrulama yöntemleriyle karşılaştırıldığında en iyi parolalar bile utanç verici derecede güvensizdir.
Özetle, bu termal saldırıların doğruluğu, kullanıcı klavyeden/tuş takımından uzaklaştıktan bir süre sonra bile şaşırtıcı derecede yüksektir. Endişe verici ama halihazırda yaygın olan diğer gözetleme / gözden geçirme tekniklerinden daha fazla değil. Bu tür parola ve PIN tahmin etme yöntemlerine en iyi çözüm, biyometrik ve/veya iki veya daha fazla faktörlü kimlik doğrulamaya geçiş gibi görünmektedir. Özellikle PIN’inizi/şifrenizi girdikten hemen sonra cihazınıza yetkisiz erişimi engellemek (örneğin, dizüstü bilgisayarınızı veya telefonunuzu gözetimsiz bırakmamak) saldırganların engellenmesine de yardımcı olacaktır.