211service.com
Teplo z konečků prstů by mohlo pomoci ATM hackerům
Tajné kódy zadané zákazníky bankovnictví lze zaznamenat pomocí zbytkového tepla zanechaného na klávesnici, říká skupina výzkumníků z Kalifornské univerzity v San Diegu.
Horký hacker: Nahoře je zobrazena typická klávesnice bankomatu. Níže je termosnímek pořízený bezprostředně po jeho použití. Kód v tomto případě byl 1485.
Dokument skupiny představený začátkem tohoto měsíce na USENIX Workshop on Offensive Technologies ukazuje, že digitální infračervená kamera dokáže přečíst číslice zákaznického PIN čísla na klávesnici ve více než 80 procentech času, pokud je okamžitě použita. A pokud se kamera použije o minutu později, říká Keaton Mowery, doktorand informatiky na UCSD, stále dokáže detekovat správné číslice přibližně v polovině času.
Výzkum, který Mowery provedl se spolužačkou Sarah Meiklejohnovou a profesorem Stefanem Savagem, je založen na předchozí práci známého bezpečnostního výzkumníka Michala Zalewského, který v roce 2005 pomocí infračervené kamery detekoval kódy vyražené do trezoru se zámkem na klávesnici. Zatímco Zalewski dokázal detekovat kódy i po pěti minutách, výzkumníci UCSD zjistili, že šance na získání správných číslic klesla po 90 sekundách na asi 20 procent.
Infračervená metoda může obejít obranné strategie, jako je stínění klávesnice. Uživatel bankomatu by se však tomuto infračervenému sledování mohl vyhnout pouhým přiložením ruky na celou klávesnici, aby se zahřály všechny klávesy, říká Mowery. A pokud bankomat také používá klávesnici pro zadávání dalších čísel, jako je množství peněz k výběru, přispívá to k dalšímu hluku, říká Meiklejohn.
Metoda má i další slabiny. S plastovými klávesnicemi dokážeme spolehlivě zjistit, která tlačítka byla stisknuta, ale určit pořadí je opravdu obtížné, říká Mowery. I když byl obrázek zaznamenán ihned poté, co jej uživatel zadal, bylo pořadí číslic zjistitelné pouze asi ve 20 procentech případů.
A pokud je klávesnice kovová, fuhgeddaboudit. V podstatě, pokud byste namířili kameru přímo na kovovou klávesnici, ukázalo by se vám termální otisk prstu vás, operátora fotoaparátu, spíše než samotné klávesnice, říká Meiklejohn. Nicméně jsme to netlačili, protože plastová klávesnice fungovala. Je možné, že tyto problémy vyřeší někdo jiný.
Zkombinujte všechny tyto nedostatky s náklady na infračervenou kameru – 2 000 $ měsíčně na pronájem, asi 18 000 $ na nákup – a pravděpodobnost, že někdo zaútočí na bankomat tímto způsobem, je nízká, říká výzkumník Zalewski. Miniaturní kamery pro denní světlo jsou mnohem jednodušší a spolehlivější, říká. Stejně tak přepadení.