Thermanator ruba le password dalle tracce termiche sulle tastiere

Residui termici dopo 0 (in alto a sinistra), 15 (in alto a destra), 30 (in basso a sinistra) e 45 (in basso a destra) secondi

La realtà (o in questo caso la scienza) supera di gran lunga la fantasia (dei produttori di Hollywood, CSI docet, dove i pixel vengono ingranditi fino a riempire monitor da 50” senza avere la sensazione di essere nel bel mezzo di una tempesta di sabbia nel deserto del Gobi- ), o gli “Oh, cazzo un Debian” dei produttori nostrani che creano terrorismi informatici talmente ilari da dover essere stemperati con “l’autoironia” degli stessi attori poche battute dopo.

Una ricerca di alcuni scienziati dell’università della California, Irvine (UCI) ha permesso di registrare e successivamente riprodurre il testo digitato da alcuni utenti grazie ai residui termici lasciati dalle dita.

La ricerca ha coinvolto 30 utenti, 10 password differenti (forti e deboli) e 4 comuni tastiere esterne. Grazie a una camera termica a medio raggio i ricercatori hanno analizzato il calore residuo rimasto sui tasti premuti. In una seconda fase otto non esperti hanno agito da “avversari” e hanno ricavato dalle immagini termiche i tasti premuti.

Thermanator può recuperare password e PIN

I ricercatori hanno chiamato questo attacco Thermanator. Per essere efficace però devono sussistere alcune condizioni:

1) la camera termica deve essere piazzata vicino alla vittima.

2) la camera deve avere una visuale chiara della tastiera.

Una volta che queste condizioni venissero soddisfatte, anche persone non esperte possono recuperare una serie di tasti premuti e successivamente assemblarli per compiere un attacco a dizionario.

Le password possono essere recuperate fino a 30 secondi dopo l’inserimento

Il test ha mostrato che i dati termici memorizzati fino a 30 secondi dopo l’inserimento della password è stato sufficiente per recuperare completamente i tasti premuti. Fino a un minuto è ancora possibile un parziale recupero.

Quali contromisure adottare

Come limitare i danni, o rendere la vita difficile a chi voglia recuperare password, PIN, o dati sensibili tramite questa tecnica?

I ricercatori suggeriscono:

1) passare una mano sulla tastiera, o inserire “rumore termico” quando vengano digitati dati sensibili.

2) usare il mouse per selezionare i caratteri delle password, o una tastiera su schermo.

Questo però renderebbe più vulnerabili agli attacchi di shoulder surfing (chi vi spia da dietro le spalle mentre digitate dati sensibili)

3) usare guanti isolanti (soluzione decisamente poco pratica e ingombrante), o addirittura unghie finte (lo studio ha rilevato che lunghe unghie acriliche rendono immuni da Thermanator)

 

Fonti:

Attackers could use heat traces left on keyboard to steal passwords

Thermanator attack steals passwords by reading thermal residue on keyboards

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Web Analytics