Эксперты по компьютерной безопасности дают советы, как снизить риск тепловых атак
Команда экспертов по компьютерной безопасности разработала набор рекомендаций, помогающих защититься от “тепловых атак”, которые могут привести к краже личной информации.
Тепловые атаки используют термочувствительные камеры для считывания следов отпечатков пальцев, оставленных на таких поверхностях, как экраны смартфонов, компьютерные клавиатуры и контактные площадки.
Хакеры могут использовать относительную интенсивность тепловых следов на недавно затронутых поверхностях для восстановления паролей пользователей.
В прошлом году доктор Мохаммед Хамис и его коллеги из Университета Глазго решили продемонстрировать, насколько легко тепловизионные изображения можно использовать для взлома паролей.
Команда разработала ThermoSecure, систему, которая использовала искусственный интеллект для сканирования изображений тепловых следов и правильного подбора паролей за считанные секунды, предупреждая многих об угрозе тепловых атак.
Теперь доктор Хамис и его коллеги подготовили первый всесторонний обзор существующих стратегий компьютерной безопасности и опросили пользователей об их предпочтениях в отношении того, как можно предотвратить тепловые атаки на общественные платежные устройства, такие как банкоматы или пункты выдачи билетов на транспорт.
Их исследование, которое будет представлено в виде доклада на конференции USENIX Security Symposium в Анахайме, Калифорния, в пятницу, 11 августа, также включает рекомендации производителям о том, как можно повысить безопасность их устройств. USENIX Security широко признана одной из ведущих конференций в области компьютерной безопасности и кибербезопасности.
Команда определила 15 различных подходов, описанных в предыдущих статьях по компьютерной безопасности, которые могли бы снизить риск тепловых атак.
К ним относились способы уменьшить передачу тепла от рук пользователей, надев перчатки или резиновые наперстки, или изменив температуру рук, прикоснувшись к чему-то холодному перед вводом текста.
Подходы, предложенные в литературе, также включали прижимание рук к поверхностям или дыхание на них, чтобы скрыть тепло отпечатков пальцев после того, как они закончат печатать.
Другие предложения по повышению безопасности касались аппаратного и программного обеспечения. Нагревательный элемент, расположенный за поверхностями, мог бы стереть следы тепла пальцев, или поверхности могли бы быть изготовлены из материалов, которые быстрее рассеивают тепло.
Безопасность на общественных поверхностях можно было бы повысить, внедрив физический экран, который закрывает ключи до тех пор, пока не рассеется тепло. В качестве альтернативы, ввод данных с отслеживанием движения глаз или биометрическая защита могли бы снизить риск успешных тепловых атак.
После изучения существующих мер безопасности команда провела онлайн-опрос с участием 306 участников. Целью опроса было определить предпочтения пользователей среди стратегий, которые определила команда, а также узнать их собственное мнение о мерах безопасности, которые они могли бы принять при использовании общедоступных устройств, таких как банковские автоматы.
Доктор Мохаммед Хамис из Школы компьютерных наук Университета Глазго руководил исследованием. Он сказал: “Это первый всесторонний обзор литературы о мерах безопасности от тепловых атак, и наше исследование показало несколько интересных результатов. Интуитивно пользователи предложили некоторые стратегии, которых не было в литературе, например, подождать с использованием банкомата до тех пор, пока их окружение не покажется им более безопасным. Они также были заинтересованы в стратегиях, которые уже были знакомы, таких как двухфакторная аутентификация, потому что знали об их эффективности.
“Мы также увидели, что они учитывали такие вопросы, как гигиена, что сделало стратегию дыхания на устройствах для маскировки тепловых следов очень непопулярной, и конфиденциальность, которую некоторые пользователи учитывали, когда думали о дополнительных мерах безопасности, таких как распознавание лиц или отпечатков пальцев”.
Документ завершается рекомендациями для пользователей о том, как они могут защитить себя от тепловых атак в общественных местах, а для производителей устройств – о том, как меры безопасности могут быть встроены в будущие поколения аппаратного и программного обеспечения.
Профессор Карола Марки, которая была постдокторским исследователем в команде доктора Хамиса в Университете Глазго во время этого исследования, а в настоящее время является профессором Рурского университета в Бохуме в Германии, является автором-корреспондентом статьи. Она сказала: “Пользователи сказали нам, что считают себя, по крайней мере, частично ответственными за собственную безопасность, поэтому мы советуем им уделять пристальное внимание своему окружению при вводе конфиденциальных данных публично, чтобы убедиться, что никто не наблюдает, или использовать защищенное учреждение, такое как банк. Там, где это невозможно, мы рекомендуем положить ладони на устройства, чтобы скрыть следы нагрева, или надеть перчатки или средства защиты пальцев, если это возможно.
“Мы бы также посоветовали использовать многофакторную аутентификацию везде, где это возможно для пользователей, поскольку она защищает от целого ряда различных атак, включая тепловые атаки, и максимально защищает все факторы аутентификации”.
Соавтор статьи доктор Шон Макдональд из Школы компьютерных наук Университета Глазго является членом команды доктора Хамиса. Он сказал: “Производителям устройств, используемых в общественных местах, мы предлагаем учитывать тепловые атаки как можно раньше на этапе проектирования, чтобы устройства можно было дополнить физическими экранами, блокирующими поверхности на короткое время, или клавиатурами для повышения конфиденциальности, которые меняют расположение клавиш после использования. Там, где устройства уже находятся в обращении, обновления программного обеспечения могли бы помочь напомнить пользователям о необходимости быть внимательными к своему окружению и принимать меры для предотвращения наблюдения с помощью тепловизионных камер”.
Доктор Хамис добавил: “Наша заключительная рекомендация адресована производителям тепловизионных камер, которые могли бы остановить атаки, внедрив новые программные блокировки, предотвращающие съемку тепловизионными камерами поверхностей, таких как контактные площадки в банковских автоматах.
“Мы продолжаем изучать потенциальные подходы к снижению риска тепловых атак. Хотя мы все еще не знаем, насколько широко распространены эти атаки на личную информацию на данный момент, важно, чтобы исследователи компьютерной безопасности были в курсе рисков, которые тепловизионные камеры могут представлять для личной информации пользователей, особенно учитывая, что сейчас они такие дешевые и широко доступные.
“В конечном счете, наш совет общественности состоял бы в том, чтобы попытаться найти одну стратегию, которая соответствует их личным привычкам и поведению, и не забывать использовать ее как можно чаще в своей жизни. Любые действия, которые они могут предпринимать регулярно для защиты от тепловых атак, затруднят другим доступ к их личным данным”.