Особенности теплоподглядывания

Исследовательские работы по необычному способу кражи паролей — с помощью тепловизора!

Как подсмотреть пароль при помощи тепловизора

Уже как минимум в двух публикациях мы поднимали тему атак по сторонним каналам. Это такая атака, при которой некий секрет (пароль, ключ шифрования, просто данные, которые необходимо защитить) извлекается некоторым нетривиальным способом. Например, можно не взламывать напрямую систему шифрования, а реконструировать ключ по крайне малым изменениям энергопотребления устройства. Можно не доставать секретные данные из кэш-памяти процессора, а восстановить их по косвенным признакам: когда сложная цепочка безуспешных обращений к этим данным срабатывает чуть медленнее или чуть быстрее, позволяя предположить, что там, в каком-то месте нужных нам данных, стоит ноль или единица.

Это реальные примеры атак по сторонним каналам, и они достаточно сложны. Но бывают и варианты попроще, и вот о таких мы сегодня поговорим. Какой может быть самая простая атака на компьютерную систему по стороннему каналу? Можно подсмотреть пароль, который вводит пользователь. Ввели пароль, получили доступ к данным, вообще не взламывая компьютер или программу на нем. Но тут понятно и как защищаться: закрывать клавиатуру рукой, отгонять любопытных незнакомых людей от компьютера. А что, если злоумышленник может считать ваш пароль уже после того, как вы его набрали, по тепловым отпечаткам ваших пальцев на клавиатуре?

Тепловизор и банкоматы

Атаки с использованием тепловизора исследуются уже более 15 лет. Одна из ранних работ по этой теме исследует заодно и самую реалистичную атаку — на банкоматы. Работает это так. Берем обычную клавиатуру банкомата:

Ничем не примечательная клавиатура от типичного банкомата.

Ничем не примечательная клавиатура от типичного банкомата. Источник

Вы подходите к банкомату, вставляете карту, набираете ПИН-код на клавиатуре, забираете деньги, отходите. Атакующий подходит к банкомату следом за вами и делает снимок с помощью тепловизора:

Клавиатура банкомата при съемке через тепловизор.

Клавиатура банкомата при съемке через тепловизор. Источник

Если такой снимок сделать в течение 30 секунд после ввода секретного кода, с вероятностью 50% можно будет выяснить, какие цифры были нажаты. Тепловизор создает изображение, в котором наиболее яркие зоны соответствуют высокой температуре, самые темные участки — низкой. Это незаменимая штука для проверки окон и стен перед отопительным сезоном — очень легко определить трещину, из которой дует. Но и такое необычное применение этого прибора, как кража ПИН-кодов, тоже теоретически возможно, хотя мы напоминаем, что речь все же идет об исследовательской работе, а не об опыте реальных атак.

Главное: сейчас тепловизоры значительно подешевели, и вместо десятков тысяч долларов уже довольно давно стоят пару сотен. Конечно, приборы могут варьироваться по уровню чувствительности, возможности различать небольшие перепады температуры. На фото выше (которое все-таки сделано дорогим профессиональным устройством) видно не только, на какие кнопки нажимал пользователь. Можно предположить, на какую кнопку он нажимал первой, а на какую — последней. Чем холоднее кнопка, тем раньше она была нажата.

Практическое применение данного метода не так просто. Снимок нужно делать как можно быстрее. Пример выше снят практически сразу после ввода ПИН-кода. Предельная задержка между вводом и съемкой составляет примерно 90 секунд. Да и вообще, метод не гарантирует успех. Например, потенциальная жертва может набирать ПИН-код в перчатках — тогда кнопки просто не нагреются. Или в ПИН-коде могут быть две повторяющиеся цифры, что немного усложнит подбор. Или три! Кстати, какой ПИН-код вводили на картинке выше? Оцените собственные дедуктивные возможности! Правильный ответ — 1485.

Исследователи провели 54 эксперимента, немного меняя параметры каждого из них. Анализ тепловых отпечатков проводился как вручную, так и с помощью автоматизированных систем (последние оказались немного эффективнее). Примерно в половине случаев удавалось угадать набор цифр, но не правильную их последовательность. Точный ПИН-код получилось определить менее чем в 10% экспериментов. Код из четырех цифр дает 10 тысяч потенциальных комбинаций. Если мы знаем все цифры, но не уверены, в каком порядке они должны вводиться, у нас 24 комбинации. Все равно больше, чем количество попыток: после трех неудач банковская карта часто блокируется. Исследование 2011 года, таким образом, расширяло познания в «теплоподглядывании», но не давало какого-то надежного результата. Но оно было не последнее!

Тепловизор и смартфоны

Смартфоны также подвержены атакам с помощью тепловизора. Это наглядно показано в исследовании 2017 года, с вот такой показательной картинкой внутри:

Реальные ПИН-коды и паттерны для разблокировки смартфона и их тепловые следы.

Реальные ПИН-коды и паттерны для разблокировки смартфона и их тепловые следы. Источник

Здесь успех также зависит от того, насколько быстро удалось сделать тепловой снимок после ввода ПИН-кода или секретной комбинации. Сделать такой снимок будет несколько сложнее: это не банкомат, мы редко выпускаем смартфон из рук. Но представить себе ситуацию, в которой снимок все же удастся сделать в подходящее время, вполне возможно. Технологии анализа данных в 2017 году оказались лучше, и общий процент успеха был выше, чем в «атаке на банкоматы» 2011 года: до 89% правильно угаданных ПИН-кодов при немедленной съемке тепловизором. Через 30 секунд после ввода удалось угадать 78% кодов, через 60 секунд — всего 22%. Кстати, «фигуры» или «паттерны» таким методом разгадать сложнее. Но с ними другая проблема — еще в 2010 году выяснилось, что такие секретные комбинации достаточно легко отгадать по оставляемым на экране следам от пальцев. Которые к тому же держатся гораздо дольше тепловых отпечатков.

Тепловизор и клавиатуры

Что общего у банкоматов и смартфонов? Мало кнопок! И в том, и в другом случае мы имеем дело с вводом цифровых комбинаций небольшой длины. Чтобы реально проверить возможности термоподглядывания, желательно попробовать украсть настоящие алфавитно-символьные пароли, вводимые на настоящей клавиатуре. Именно такую серию экспериментов в 2022 году провели исследователи из Университета Глазго в Великобритании. Результаты их работы опубликованы здесь. Полноценная клавиатура через тепловизор выглядит примерно так:

Тепловые следы от нажатия на кнопки клавиатуры ПК.

Тепловые следы от нажатия на кнопки клавиатуры ПК. Источник

Яркие точки — следы нажатия на кнопку. Как и в других исследованиях, здесь проверялась надежность восстановления паролей с определенным интервалом после ввода, когда тепловой снимок удалось сделать через 20, 30 или 60 секунд. Появилась новая переменная — длина пароля, которая может быть произвольной. Самое важное: в исследовании были применены алгоритмы машинного обучения. В подобных работах, где нужно вытаскивать полезные данные из шума, без них не обойтись. Натренированные на сотнях снимков клавиатур с известным результатом, алгоритмы машинного обучения показали прекрасную способность к восстановлению паролей. Это сводная таблица эффективности:

Зависимость эффективности угадывания пароля от времени, прошедшего после ввода и до тепловой съемки, а также от длины пароля.

Зависимость эффективности угадывания пароля от времени, прошедшего после ввода и до тепловой съемки, а также от длины пароля. Источник

Удивительно, что в половине случаев удалось разгадать даже длинный пароль в 16 символов. По примерам выше вы можете оценить, насколько это сложная задача — по минимальным отличиям в температуре клавиш понять, в какой последовательности они были нажаты. В исследовании делается один вывод, который мы с вами и так знаем: пароли должны быть длинными, желательно сгенерированными в специальной программе — менеджере паролей. Есть и неожиданные открытия. Эффективность метода зависит от типа пластмассы — некоторые варианты прогреваются хуже. И от наличия подсветки клавиш. В принципе, любой подогрев кнопок, будь то от встроенных светодиодов или от расположенного под клавишами процессора в ноутбуке, разрушает тепловой след. Ну и еще: чем быстрее вы набираете пароль, тем меньше шансов его разгадать по тепловому отпечатку.

Насколько эти атаки реалистичны?

Вряд ли существует универсальный ответ на этот вопрос. Данные на вашем телефоне настолько ценны, чтобы следить за вами с помощью тепловизора? Допускаете ли вы такой сценарий? К счастью, большинству такая атака по сторонним каналам не грозит — слишком сложно. Допускаем, что наибольшую опасность теплоподглядывание несет цифровым замкам, где нужно вводить код для разблокировки. Например, на входе в служебное помещение. Код в таком случае почти никогда не меняется, замки часто расположены в публичных местах. У потенциального подглядывающего будет много времени и не одна попытка, чтобы считать правильный код доступа.

В остальных случаях такой метод оправдан исключительно в рамках целевой атаки на особо ценную информацию. Решается проблема обычным методом противодействия большинству атак по сторонним каналам: нужно сделать так, чтобы полезные данные окончательно утонули в шуме. Вы можете набирать ПИН-код в толстых перчатках, и тогда атака будет невозможной. Вы можете использовать клавиатуру с подогревом с подсветкой кнопок — и у злоумышленников ничего не выйдет. Вы можете при вводе пароля понажимать на лишние кнопки или просто прикоснуться к ним, и считать правильную последовательность станет почти невозможно.

В 2022 году был выпущен метаанализ — своего рода исследование исследований по термальным атакам, с задачей оценить реалистичность подобного средства кражи секретов. Авторы этого исследования говорят, что атаки с использованием тепловизора реализуемы на практике, доступны по цене и должны учитываться при построении модели угроз. Мы не уверены, что это станет сколько-нибудь серьезной проблемой. Но в этом метаанализе есть один важный вывод: пароль нельзя украсть, если его не вводят!

Вот так неожиданно мы пришли к традиционной теме о смерти паролей. Это, конечно, самый экзотический довод в пользу отказа от них. Но подумайте сами: когда телефон узнает вас по лицу и по отпечатку пальца, вы не вводите пароль. Когда вы используете аппаратный ключ авторизации, вы не вводите пароль. Целый пласт потенциальных атак (и годы работы исследователей) становится неактуальным, если пароль не вводить. Да, у альтернативных средств аутентификации есть свои слабые места, но у обычных паролей их, как правило, больше! Современные беспарольные системы аутентификации делают практически невозможным фишинг. Есть масса преимуществ при отказе от традиционных паролей. И теперь мы знаем еще одно: никто не сможет подкрасться к вам с тепловизором и похитить ваш секретный код. Если, опять же, вы его не вводите.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.