Bilgisayar Korsanları Artık Saniyeler İçinde Şifreleri Çalmak İçin Termal Saldırıları Kullanıyor!

Parolanızı veya şifrenizi yazmak için bir tuş takımı, klavye veya akıllı telefon ekranına her eriştiğinizde, parmaklarınız ve yüzey arasındaki temas küçük ama algılanabilir bir ısı imzası bırakır. Termal görüntüleme kamerasıyla yakalandığında, bu ısı imzası temastan 60 saniye sonra görülebilir. Bu, ATM şifrenizi girerken tuş takımını koruyor olsanız da saniyeler sonra, bir termal kameranın işlem sırasında dokunan tuşları hala alabileceği anlamına gelir. Buna termal saldırı denir. Araştırmacılar, yakın zamanda dokunan anahtarların bu tür görüntülerde daha parlak göründüğünü ve bir şifre oluşturan sayıların, harflerin hatta sembollerin sırasını belirlemek mümkün olduğunu buldular. Araştırma ekibi tarafından yapılan daha önceki araştırmalar, bu bilgi verildiğinde uzman olmayanların bile bu tür görüntülerden şifreleri doğru bir şekilde tahmin edebileceğini buldu. Ekip, şifre tahmin doğruluğunun iyileştirilip iyileştirilemeyeceğini görmek için makine öğrenimini kullandı.

Makine öğrenimi şifreleri kırmaya nasıl yardımcı olabilir?

Araştırmacılar, parola yazmak için kullanıldıktan sonra farklı açılardan alınan 1.500 QWERTY klavye görüntüsü kullandılar. Daha sonra yapay zeka modeli bu görüntüleri okumak için ve termal ipuçlarından şifreleri tahmin etmek için olasılıklı bir model kullandı. Araştırmacılar, ThermoSecure adı verilen sistemin, görüntüler temasın 20 saniye içinde çekildiğinde şifrelerin yüzde 86'sını doğru bir şekilde tahmin edebileceğini buldular. Görüntü aralığı 60 saniyeye yükseldikçe, doğruluk yüzde 62'ye düştü. 20 saniye içinde çekilen görüntüler arasında, sistem zamanın yüzde 67'sinde 16 karakter kadar kullanılan uzun şifreleri de tahmin edebilir. Parolalar kısaldıkça, doğruluk arttı ve altı karakter uzunluğunda parolalar için yüzde 100'e ulaştı.

Bunu önlemek için ne yapılabilir?

Araştırma ayrıca, termal saldırıyı önlemek için hangi azaltma stratejilerinin benimsenebileceğine dair bilgiler de sağladı. Araştırmacılar, daha yavaş yazan ve parmaklarını klavyede daha uzun süre bırakan kullanıcıların, şifrelerinin hızlı yazanlardakinden daha doğru tahmin edildiğini görme olasılığının daha yüksek olduğunu buldular. Thermosecure, ABS plastiklerinden yapılan anahtar kapaklarına yazılan şifreleri yaklaşık yüzde 50 oranında doğru bir şekilde tahmin edebilir. Bununla birlikte, PBT plastiklerinden yapılan anahtarlıklar kullanıldığında başarı oranı önemli ölçüde yüzde 14'e düştü. Kullanıcılar, parmak izi ve yüz tanıma gibi sofistike kimlik doğrulama araçlarına geçmenin yanı sıra, uzun parolaları parola olarak benimseyebilirler. Özet olarak, Termal kameralar, klavyeler gibi kullanıcı arayüzlerinde ısı izleri gösterebilir. Bu, şifreler gibi hassas girdileri çıkarmak için kötü amaçlı bir şekilde kullanılabilir. Önceki çalışmalar, basit görüntü işleme tekniklerinin görsel incelemesine dayanan termal saldırıları düşünürken, saldırganların yapay zeka odaklı daha etkili saldırılar yapabileceğini gösteriyoruz.