Jak dbać o bezpieczeństwo danych?
Zabezpieczenia biometryczne są dziś bardzo popularne. Często to właśnie one bronią dostępu do mobilnych aplikacji bankowych, a jedną z podstawowych metod uwierzytelniania jest potwierdzenie tożsamości za pomocą linii papilarnych. Jednak już w 2014 r. głośnym echem odbiła się „kradzież” odcisków palców obecnej przewodniczącej Komisji Europejskiej, a ówczesnej niemieckiej minister obrony, Ursuli von der Leyen. Informowaliśmy już o tym wcześniej, teraz do tego powracamy.
Nagłośniona przez media akcja była dziełem niemieckiego stowarzyszenia Chaos Computer Club, skupiającego hakerów i ekspertów, zajmujących się cyberbezpieczeństwem. Ogłosili oni, a później także pokazali, jak na podstawie fotografii wykonanych pod odpowiednim kątem można odtworzyć, a następnie zbudować odlew palca z układem linii papilarnych, pozwalającym podszyć się pod wybraną osobę. Z uwagi na fakt, że Chaos Computer Club nie udostępniło całego procesu pozyskiwania i odtwarzania odcisku palca, informację uznano wówczas za niepotwierdzoną.
Mimo to szybki rozwój technologii i wzrost możliwości aparatów fotograficznych wbudowanych w smartfony sprawił, że problem powrócił. Już w 2017 r. prof. Isao Echizen z Japońskiego Narodowego Instytutu Informatyki ogłosił, że jest w stanie odtwarzać linie papilarne także z przygodnie wykonanych selfie. Dotyczyło to zwłaszcza zdjęć z popularnym gestem „V”, gdzie wyeksponowane opuszki palców pozwalały na łatwe odtworzenie linii papilarnych.
Czytaj także: W amerykańskich bankach zakazany WhatsApp i szereg innych aplikacji
Zainfekowany smartfon „wytrychem” do banku
Keylogger to oprogramowanie albo urządzenie (np. w postaci przejściówki do przewodowej klawiatury), którego zadaniem jest rejestrowanie klawiszy, naciskanych przez użytkownika. Jednym z jego zastosowań jest zbieranie poufnych informacji, w tym identyfikatorów i haseł, chroniących dostęp do różnych usług.
Zainstalowanie złośliwego oprogramowania w postaci keyloggera wymaga od cyberprzestępcy albo fizycznego dostępu do sprzętu, albo – co obecnie zdarza się znacznie częściej – wykorzystania zabiegów socjotechnicznych, skłaniających użytkownika do samodzielnej instalacji szkodliwego narzędzia. Jest jednak bardziej nietypowy, a zarazem skuteczny sposób: już ponad dekadę temu badacze z amerykańskich uczelni Georgia Tech i MIT przedstawili możliwość wykorzystania leżącego na blacie biurka smartfonu w roli keyloggera, zapisującego klawisze, wciśnięte na klawiaturze komputera leżącej na tym samym blacie.
Wsparta uczeniem maszynowym analiza wibracji (w tym celu badano nie pojedyncze wciśnięcia, ale następujące po sobie pary liter) wykazała, że możliwe jest odczytywanie wciskanych klawiszy z dokładnością sięgającą 80%, przy czym lepsze rezultaty osiągnięto w przypadku smartfonów, wyposażonych nie tylko w akcelerometr, ale także w żyroskop. Te same moduły – po instalacji w smartfonie szkodliwego oprogramowania – mogą zostać wykorzystane do analizy znaków wpisywanych bezpośrednio na ekranie urządzenia.
Czytaj także: W 2022 r. znacząco spadła łączna kwota prób wyłudzeń kredytów z wykorzystaniem cudzych dokumentów
Komunikacja poprzez diodę LED
Jedną z metod mających chronić przed wyciekiem czy kradzieżą danych jest fizyczne izolowanie komputera od sieci – zarówno tej globalnej, jak i firmowego, wewnętrznego intranetu. Brak połączenia sieciowego daje poczucie bezpieczeństwa, jednak istnieją rozwiązania pozwalające nawet wówczas uzyskać zdalny dostęp do danych. Jak to możliwe?
Metody ekstrakcji danych z izolowanych komputerów bada m.in. zespół Mordechaja Guri z izraelskiego Uniwersytetu Ben-Guriona. Jedna z opracowanych przez ten zespół technik o nazwie AiR-ViBeR wykorzystuje w tym celu podzespoły komputerów, które mogą przekazywać wibracje – wentylatory. Choć na rynku nie brakuje urządzeń z pasywnym chłodzeniem, gdzie ta metoda nie znajdzie zastosowania, w bardzo wielu modelach są montowane różnego rodzaju aktywne układy chłodzące, bazujące na wentylatorach procesora, GPU czy zasilacza.
Poprzez kod umieszczony w izolowanym systemie badacze byli w stanie kontrolować pracę wentylatorów, zmieniając tempo ich pracy tak, aby poprzez różne stałe powierzchnie przesyłać informacje za pomocą drgań. Zapewniło to szybkość transferu rzędu od 0,5 do 50 bitów na sekundę. To zbyt mało, by wykraść całe dokumenty czy multimedia, ale wystarczająco, aby pozyskać różnego rodzaju tokeny, hasła czy klucze uwierzytelniające szyfrowanie.
Zabezpieczenia biometryczne są dziś bardzo popularne. Często bronią one dostępu do aplikacji bankowych, a jedną z podstawowych metod uwierzytelniania jest potwierdzenie tożsamości za pomocą linii papilarnych. Jednak już w 2014 r. głośnym echem odbiła się „kradzież” odcisków palców obecnej przewodniczącej Komisji Europejskiej, Ursuli von der Leyen.
Warto podkreślić, że izraelski zespół ma na koncie sukcesy w ekstrakcji danych z pomocą wielu innych, równie nietypowych metod, jak aktywność diody LED twardego dysku, zmiany jasności ekranu, emisje elektromagnetyczne gniazda USB czy wysyłanie danych z pomocą fal dźwiękowych generowanych poprzez pracę głowicy talerzowego twardego dysku. Choć są to efekty eksperymentów prowadzonych w warunkach laboratoryjnych, a do tego z reguły wymagany jest fizyczny dostęp do niektórych urządzeń, badacze wskazują obszary i rozwiązania, które mogą zostać wykorzystane do kradzieży danych w niekonwencjonalny sposób.