Εισβολείς οπλισμένοι με ηλεκτρονικό εξοπλισμό που κοστίζει λιγότερο από $10 μπορούν να βρουν τι πληκτρολογείται στο πληκτρολόγιο σας μονάχα από τον ήχο των πλήκτρων. Αυτό κατάφερε μια ομάδα τριών επιστημόνων από το πανεπιστήμιο Berkeley της California.
Το λογισμικό το οποίο ανέπτυξαν έκανε χρήση ήδη υπαρχόντων προγραμμάτων για την καταγραφή των ήχων των πλήκτρων και την μετατροπή τους σε κείμενο το οποίο είναι ακριβές κατά 96% των περιπτώσεων που χρησιμοποιείται! Με αυτή την ανακάλυψη οι ερευνητές θέλουν να αποδείξουν πως η ασφάλεια των κωδικών πρέπει να ενισχυθεί λαμβάνοντας υπόψη επιθέσεις με μέσα που εκμεταλλεύονται ηχητικά δεδομένα.
Η ερευνα τους βασιζεται στο γεγονος ότι κάθε πληκτρο παράγει τον δικο του ήχο όταν το πατάμε σύμφωνα με την γωνία που το πιέζουμε και την θέση του στο πληκτρολογιο. Αφού οι ήχοι από κάθε πλήκτρο είχαν καταγραφεί, διαχωρίστηκαν σε ομάδες και αντιστοιχήθηκαν στους πιο πιθανούς χαρακτήρες με βάση τους περιορισμούς της αγγλικής γλώσσας. Χρησιμοποίησαν επίσης λογισμικό το οποίο τσέκαρε την γραμματική και το συντακτικό.
"Βασική λογική για την έρευνα μας ήταν ότι δεν είναι τυχαίος ο τρόπος δακτυλογράφησης ενός κειμένου", δήλωσε ο Doug Tygar ένας από τους τρεις ερευνητές.
Μια παρόμοια έρευνα που στηριζόταν στον ήχο των πλήκτρων είχε γίνει από δυο ερευνητές της ΙΒΜ και δημοσιεύτηκε το 2004. Οι περιορισμοί αυτής της έρευνας ήταν πολύ περισσότεροι και κάθε φορά η έρευνα έπρεπε να είναι συγκεκριμένη σε ένα δακτυλογράφο για να έχει αποτελέσματα. Η νέα μεθοδος του Tygar μπορεί να αναγνωρήσει το κείμενο από οποιονδήποτε δακτυλογράφο σε οποιοδήποτε πληκτρολόγιο μέσα σε δέκα λεπτά ηχογραφημένων ήχων.
Ο ερευνητής δεν χρειάζεται να είναι δίπλα στο πληκτρολόγιο που εξετάζει για να έχει αποτελέσματα. Μπορεί να χρησιμοποιηθεί ένα μικρόφωνο είτε φανερό είτε… κρυφό όπως εκείνα που πουλάνε για… παρακολούθηση πουλιών!!!
Αναμενόμενο είναι πως αυτή η μέθοδος θα μπορούσε να χρησιμοποιηθεί για κατασκοπία. Όμως αυτό που προκαλεί μεγαλύτερη ανησυχία είναι η κλοπή κωδικών ασφαλείας (passwords). Οποιαδήποτε λέξη φράση η γενικότερα συνδυασμός πλήκτρων μπορεί να βρεθεί με ιδιαίτερη ευκολία.
Με 20 «προσπάθειες» ένας κωδικός 5 χαρακτήρων μπορούσε να αποκαλυφθεί στο 90% των περιπτώσεων. Για 8 και 10 χαρακτήρες η επιτυχία ήταν στο 77% και 69% των περιπτώσεων αντίστοιχα. Όταν όμως ο Tygar αύξησε τον αριθμό των προσπαθειών στις 75 τότε η επιτυχία για τους κωδικούς 10 χαρακτήρων ανέβηκε στο 80%.
Υπάρχουν κάποια αμυντικά μέτρα τα οποία μπορούν να ληφθούν έτσι ώστε να μην αποδίδει η μέθοδος. Για παράδειγμα το να αυξάνουμε τον θόρυβο στον χώρο μειώνει τις δυνατότητες του λογισμικού. Αν δηλαδή την ώρα που δακτυλογραφούμε έναν κωδικό έχουμε σχετικά δυνατή μουσική τότε έχουμε περισσότερες πιθανότητες να κρατήσουμε κρυφό τον κωδικό μας.
Ενδιαφέρον ήταν το ότι τα λεγόμενα ήσυχα πληκτρολόγια (quiet keyboards) δεν μπόρεσαν να γλιτώσουν από το νέο αυτό πρόγραμμα. Αν και παράγουν χαμηλότερης έντασης ήχους, και πάλι δεν είναι αρκετό για να μπερδέψει το λογισμικό.
Η πρόταση του Tygar είναι η ενίσχυση των κωδικών με δευτερεύοντες κωδικούς μιας χρήσης ή με βιομετρική αναγνώριση (biometric recognition) με συσκευές παρόμοιες με αυτές που διαβάζουν τα αποτυπώματα των δακτύλων.
Από το Technews.gr (www.technews.gr)
