Ataques térmicos: a nova arma dos hackers para aceder a palavras-passe (e a forma de os evitar)

European Parliament / Flickr

Os investigadores desenvolveram o sistema ThermoSecure, capaz de adivinhar 86% das palavras-passe com precisão quando as imagens eram tiradas dentro de 20 segundos após o contacto com as teclas.

É um pensamento que muitas agências de segurança e polícias tentam implementar na hora de resolver crimes ou descobrir os seus culpados: para apanhar um criminoso, pensa como um. Pode não ser algo bonito de se dizer, mas Mohammed Khamis, um leitor do departamento de Ciência Informática da Universidade de Glasgow, e a sua equipa de investigadores fizeram precisamente isso e desenvolveram um sistema que pode revelar palavras-passe em segundos.

Através de um ataque térmico, o sistema desenvolvido combina dois eventos no espaço tecnológico, a queda dos preços das câmaras térmicas e o aumento do acesso à aprendizagem da máquina para demonstrar como uma imagem do seu ecrã ou teclado capturada com uma câmara de imagem térmica pode ser suficiente para um hacker ter acesso a informação confidencial.

Sempre que um indivíduo acede a um teclado, teclado ou ecrã de smartphone para uma palavra-chave ou código de acesso, o contacto entre os seus dedos e a superfície deixa uma pequena mas detectável assinatura térmica. Quando capturada com uma câmara de imagem térmica, esta assinatura térmica é visível até 60 segundos após o contacto.

Isto significaria que embora possa estar a proteger o teclado enquanto introduz a sua palavra-passe ATM, segundos mais tarde, uma câmara térmica ainda poderia captar as teclas tocadas durante o processo. A isto chama-se um ataque térmico, de acordo com os critérios do site Interesting Engineering. Os investigadores descobriram que as teclas tocadas recentemente pareciam mais brilhantes em tais imagens, e foi possível determinar a sequência de números, letras, ou mesmo símbolos que compõem uma palavra-passe.

Pesquisas anteriores conduzidas pela equipa de investigação descobriram que, dada esta informação, mesmo os não-peritos podiam adivinhar com precisão as palavras-passe de tais imagens. A equipa utilizou a aprendizagem mecânica para ver se a precisão da adivinhação da palavra-passe poderia ser melhorada. Para isso, utilizaram 1.500 imagens de teclados QWERTY tiradas de diferentes ângulos depois de terem sido utilizadas para digitar palavras-passe. Depois treinaram um modelo de inteligência artificial (IA) para ler estas imagens e usaram um modelo probabilístico para adivinhar as palavras-passe das pistas térmicas.

Os investigadores descobriram que o sistema, chamado ThermoSecure, podia adivinhar 86% das palavras-passe com precisão quando as imagens eram tiradas dentro de 20 segundos após o contacto. Como o intervalo de imagem aumentou para 60 segundos, a precisão diminuiu para 62%.

Entre as imagens tiradas em 20 segundos, o sistema também podia adivinhar senhas mais longas que utilizavam até 16 caracteres em 67% das vezes. À medida que as palavras-passe foram diminuindo, a precisão aumentou, chegando aos 100% para palavras-passe com seis caracteres, pode ler-se no comunicado de imprensa.

“O acesso a câmaras de imagem térmica está mais acessível do que nunca – podem ser encontradas por menos de 225 dólares – e a aprendizagem de máquinas também está a tornar-se cada vez mais acessível”. “É importante que a investigação em segurança informática acompanhe estes desenvolvimentos para encontrar novas formas de mitigar o risco, e continuaremos a desenvolver a nossa tecnologia para tentar estar um passo à frente dos criminosos“.

A investigação também proporcionou uma visão sobre quais as estratégias de mitigação que poderiam ser adotadas para evitar um ataque térmico. Os investigadores descobriram que os utilizadores que escreviam mais devagar e deixavam os dedos no teclado durante mais tempo tinham mais probabilidades de ver as suas palavras-passe serem adivinhadas com precisão do que aqueles que escreviam rapidamente.

Além disso, o material do teclado também teve um impacto na capacidade do sistema de adivinhar palavras-passe. A termossegura podia adivinhar com precisão as palavras-passe dactilografadas em teclados feitos de plástico ABS cerca de 50% do tempo. Contudo, a taxa de sucesso caiu consideravelmente para 14% quando se utilizavam tampas de teclas feitas de plástico PBT.

Para além de passar a meios sofisticados de autenticação, tais como impressão digital e reconhecimento facial, os utilizadores podiam adotar palavras-passe longas como palavras-passe.

ZAP //

Deixe o seu comentário

Your email address will not be published.