WiKey: a więc sądzisz, że jesteś bezpieczny w Sieci?

W ramach swych wędrówek po bezkresnych oceanach Sieci natknąłem się niedawno na całkiem ciekawy (a trochę niepokojący) artykuł na temat bezpieczeństwa w Internecie.

Jeżeli zapytamy większą ilość osób co rozumieją przez bezpieczeństwo w Sieci, spodziewamy się, że odpowiedzi wylądują w okolicy jednej z dwóch wysp:

Wyspa 1: „Czuję się bezpieczny/-a, bo moje konta on-line są solidnie zabezpieczone, używam też silnych, unikalnych haseł, którymi z nikim się nie dzielę i które regularnie zmieniam.”
Wyspa 2: „Czuję się bezpieczny/-a, bo moja tożsamość jest dobrze chroniona; nie upubliczniam zbyt wiele informacji na swój temat.”

Oczywiście każdy może mieć odrobinę inne podejście, ale myślę, że dla większości jedna (lub obydwie) z powyższych opcji w miarę dobrze uśredniają co rozumiemy przez bycie bezpiecznym w Sieci.

Niezależnie jednak od tego, jak owo bezpieczeństwo pojmujemy, prędzej czy później dochodzimy do momentu, w którym siadamy do klawiatury naszego komputera i logujemy się do różnych serwisów on-line (bank, e-mail, sieci społecznościowe, Etsy, Allegro, ŚmieszneKoty.PeeL i tak dalej).

Żeby się zalogować do jakiegoś serwisu, wypadałoby mieć do niego hasło.

Hasło, które wpisujemy za pomocą klawiatury.

Nawet jeżeli używamy fortecy typu LastPass, od czasu do czasu będziemy musieli wpisać nasze hasło główne.

Na klawiaturze.

I tu ujawnia się jedna z największych słabości wszelkich zabezpieczeń komputerowych.

Klawiatura jest bowiem, jak się okazuje, bardzo, ale to bardzo „gadatliwa”.

– Że co?

Jest co najmniej pięć dobrze znanych, zbadanych metod na „zaatakowanie” prywatności użytkownika od strony klawiatury:

1. Akustyczne „odciski palców”: każdy klawisz wydaje odrobinę inny dźwięk. Być może różnica jest niesłyszalna nieuzbrojonym uchem, ale bez problemu daje się zbudować szczegółową „mapę” klawiszy oraz odpowiadających im „akustycznych odcisków palców” słyszanych przez średniej jakości mikrofon znajdujący się w tym samym pomieszczeniu, sprzężony z odpowiednio sprytnym oprogramowaniem.

2. Triangulacja akustyczna: każdy klawisz jest położony w odrobinę innym miejscu. Jeżeli umieścimy dwa lub trzy smartfony rejestrujące różnicę czasu potrzebnego na dotarcie „kliknięcia” klawisza do każdego z nich, możemy bez trudu stwierdzić, które klawisze były naciśnięte i w jakiej kolejności.

3. Elektromagnetyczne „odciski palców”: wiele klawiatur emituje niewielkie, ale łatwie do wykrycia odpowiednio czułym urządzeniem porcje promieniowania elektromagnetycznego przy każdym naciśnięciu klawisza. Promieniowanie owo daje się „skatalogować” per pojedynczy klawisz, dzięki czemu bez problemu „podsłuchamy” co użytkownik wpisuje.

4. Kamera. Można umieścić w dyskretnym miejscu kamerę (czasem wystarczy odpowiednio położony smartfon), żeby zarejestrować co użytkownik wpisuje. Metoda raczej prymitywna, ale zadziwiająco skuteczna.

5. WiKey: ostatni na liście jest sposób, o jakim jeszcze 10 lat temu nikomu się nawet nie śniło: analiza zniekształceń sygnałów WiFi. Ruter WiFi wysyła i odbiera sygnały elektromagnetyczne w paśmie 2.4 GHz lub 5GHz. To miliardy sygnałów w ciągu każdej sekundy. Sygnały te ulegają subtelnym, ale dającym się wykryć odkształceniom przy każdorazowej zmianie położenia obiektów znajdujących się na ich drodze. Nasze palce również odkształcają sygnał WiFi – wystarczająco, żeby wykryć naciskane przez nas klawisze z dokładnością w okolicach 70-90%. To bardzo dużo. Jeżeli nasze hasło ma 20 znaków, metoda rozpozna bezbłędnie średnio 14 – 18 znaków . To na ogół wystarczy, żeby odgadnąć (lub złamać) hasło.

WiKey nie jest metodą trywialną. Mówimy tu o zwykłych falach elektromagnetycznych emitowanych przez standardowy ruter i odczytywanych przez standardową antenę WiFi laptopa. Zbudowanie odpowiedniej „mapy sygnałów” wymaga dość skomplikowanej matematyki opartej o analizy widmowe, statystyczne (przesunięcie palca o jedną dziesiątą milimetra, czy o jedną setną, wygeneruje już odrobinę inne zniekształcenie sygnału), odszumianie, poza tym każdy człowiek ma indywidualną budowę dłoni, a także używa klawiatury we właściwy tylko sobie sposób. Niemniej jednak efekty są zdumiewające.

I bardzo niepokojące.

Póki co metodę testowano w raczej wyidealizowanych warunkach: brak interferencji z innymi urządzeniami, nadajnik i odbiornik sygnału WiFi położone blisko klawiatury (i zawsze w tej samej odległości) i tak dalej. Na chwilę obecną nie są znane wydajne metody gromadzenia informacji metodą WiKey w „naturalnym” środowisku. Ale jajogłowi nie śpią…

Zainteresowanych szczegółami odsyłam tutaj:

https://www.sigmobile.org/mobicom/2015/papers/p90-aliA.pdf

Autor: xpil

Po czterdziestce. Żonaty. Dzieciaty. Komputerowiec. Krwiodawca. Emigrant. Rusofil. Lemofil. Sarkastyczny. Uparty. Mól książkowy. Ateista. Apolityczny. Nie oglądam TV. Uwielbiam matematykę. Walę prosto z mostu. Gram na paru instrumentach. Lubię planszówki. Słucham bluesa, poezji śpiewanej i kapel a’capella. || Kliknij tutaj po więcej szczegółów ||

Dodaj komentarz

Bądź pierwszy!

Powiadom o
avatar
wpDiscuz