Из Википедии, свободной энциклопедии
Перейти к навигации Перейти к поиску

В компьютерной безопасности , плечо серфинг является одним из видов социальной инженерии техники используется для получения информации , таких как персональные идентификационные номера (PIN - коды) , пароли и другие конфиденциальные данные, глядя через плечо жертвы. Неавторизованные пользователи наблюдают за нажатием клавиш на устройстве или прослушивают речь конфиденциальной информации, что также известно как подслушивание . [1] [2]

Методы и история [ править ]

Эта атака может быть выполнена либо с близкого расстояния (путем прямого взгляда через плечо жертвы), либо с большего расстояния, например, с помощью бинокля или аналогичного оборудования. [3] Для реализации этой техники злоумышленникам не требуется никаких технических навыков; Достаточно пристального наблюдения за окружающей средой жертв и типом набора текста. В людных местах злоумышленник с большей вероятностью сможет пролезть через плечо. В начале 80-х годов прошлого века «серфинг через плечо» практиковался возле общественных таксофонов, чтобы украсть номера телефонных карт и совершить междугородние звонки или продать их на рынке по более низким ценам, чем платил первоначальный покупатель. Однако появление современных технологий, таких как скрытые камерыа секретные микрофоны облегчают серфинг через плечо и дают злоумышленнику больше возможностей для серфинга через плечо на большие расстояния. Скрытая камера позволяет злоумышленнику фиксировать весь процесс входа в систему и другие конфиденциальные данные жертвы, что в конечном итоге может привести к финансовым потерям или краже личных данных . [4] Серфинг через плечо чаще встречается в людных местах, потому что легче наблюдать за информацией, не привлекая внимания жертвы. [5] Существует два типа атак "плечевого серфинга": атаки прямого наблюдения, при которых информация аутентификации получается лицом, непосредственно отслеживающим последовательность аутентификации, и атаки с записью, при которых информация аутентификации получается путем записи последовательности аутентификации для последующего анализа. , чтобы открыть устройство. Помимо угроз для пароля или ввода PIN-кода, серфинг по плечу также происходит в повседневных ситуациях для обнаружения личного контента на портативных мобильных устройствах; Было обнаружено, что при просмотре визуального контента через плечо происходит утечка конфиденциальной информации пользователя и даже частной информации о третьих лицах. [6]

Контрмеры [ править ]

Ввод пароля на основе взгляда [ править ]

Основная процедура для ввода пароля на основе взгляда аналогична обычному вводу пароля, за исключением того, что вместо нажатия клавиши или прикосновения к экрану пользователь последовательно смотрит на каждый желаемый символ или область запуска (так же, как при вводе текста глазами). Таким образом, этот подход может использоваться как с паролями на основе символов с использованием экранной клавиатуры, так и с графическими схемами паролей, как описано в [7]. Для обеспечения удобства использования и безопасности важны различные соображения. Технология айтрекинга прошла долгий путь с момента своего появления в начале 1900-х годов. [8] Современные айтрекеры предлагают незагроможденные удаленные видеоайтрекинг с точностью до 1˚ угла обзора. Айтрекеры - это специализированное приложение компьютерного зрения. Камера используется для наблюдения за глазами пользователя. Один или несколько источников инфракрасного света освещают лицо пользователя и создают блеск - отражение источника света на роговице. Когда пользователь смотрит в разные стороны, зрачок перемещается, но расположение блика на роговице остается неизменным. Относительное движение и положение центра зрачка и блика используются для оценки вектора взгляда, который затем отображается в координаты на плоскости экрана.

Исследователи предложили способы противодействовать серфингу через плечо на мобильных устройствах, используя фронтальную камеру для ввода пароля на основе взгляда. Например, GazeTouchPIN [9] и GazeTouchPass [10] объединяют ввод взгляда в виде движений глаз влево / вправо и сенсорный ввод путем нажатия экранных кнопок. Эти методы более безопасны, чем традиционный сенсорный ввод (например, PIN-код и шаблоны блокировки), потому что они требуют, чтобы пользователи плеча (1) наблюдали за глазами пользователя, (2) наблюдали за сенсорным вводом пользователя и (3) объединяли наблюдения.

Механизм фотоальбома [ править ]

Painting Album Mechanism - это механизм защиты от серфинга на плечах, который обладает характеристиками графических методов как для отзыва, так и для распознавания . Вместо того, чтобы использовать обычный PIN-код или пароль, состоящий из буквенно-цифровых символов, пользователи выбирают изображение или цвет, который они запоминают (выбранный как «любимый рисунок» во время настройки системы), чтобы разблокировать систему. Этот метод защиты от серфинга с плеча был разработан на основе результатов опроса о предпочтениях пользователей [11].и через наблюдение за тем, как дети рисуют картинки. Результирующий механизм был разработан на основе обзора выбора пользователя, и в результате были созданы три схемы ввода, названные Swipe Scheme, Color Scheme и Scot Scheme, которые являются методами для создания пароля. Каждая схема ввода не идентична, и пользователь может выбрать схему ввода, которую он предпочитает. Схема пролистывания реализована в Microsoft Windows 8 , а в более поздних версиях она известна как графический пароль; однако он вызвал критику за требование, чтобы пользователь использовал достаточно безопасный жест. [12]

Схемы вводаМетоды ввода
Схема смахиванияПроведите по картинкам
Цветовая схемаПрикоснувшись к картинке, выберите цветные квадраты.
Схема СкоттаПроведите пальцем по изображению, а пока коснитесь изображений и выберите цветные поля.

Секретный метод касания [ править ]

Для доступа к конфиденциальной информации с низким риском серфинга по плечу метод секретного касания - это метод, который не раскрывает информацию аутентификации во время входа, даже если другие люди пытаются просмотреть процесс ввода. Кроме того, риск записи с камеры также представляет угрозу . Следовательно, необходимо усложнить процесс аутентификации, чтобы информация для аутентификации не попадала на смартфоны , такие как биометрические данные, такие как сканирование отпечатков пальцев или распознавание лиц, которые не могут быть воспроизведены пользователем плеча.

Метод аутентификации с секретным касанием может использовать значки или другую систему. Цели секретной системы кранов:

  • Устойчивость к скрытому наблюдению : поддерживайте силу сопротивления на уровне, предотвращающем раскрытие информации для аутентификации другим лицам, даже если операция аутентификации выполняется несколько раз.
  • Запись сопротивления атакам : поддерживайте силу сопротивления на уровне, который предотвращает анализ информации аутентификации другими лицами, даже если операция аутентификации полностью записана.
  • Устойчивость к атакам методом грубой силы : поддерживайте силу сопротивления на уровне, который предотвращает нарушение процесса аутентификации более легко, чем при атаке грубой силы на четырехзначный PIN-код. Эта политика соответствует стандарту ISO 9564-1. [13]
  • Удобство использования : поддержание уровня удобства использования, позволяющего операторам легко выполнять операцию аутентификации.

Сравнение рисков между буквенно-цифровыми и графическими паролями [ править ]

Основным преимуществом графических паролей по сравнению с буквенно-цифровыми паролями является улучшенная запоминаемость. Однако потенциальным недостатком этого преимущества является повышенный риск серфинга через плечо. Графические пароли, использующие графику или изображения [14], такие как PassFaces, Jiminy, [15] VIP, Passpoints [16]или сочетание графики и звука, такое как AVAP, вероятно, все подвержены этому повышенному риску, если его каким-либо образом не уменьшить в реализации. Результаты указывают на тот факт, что как буквенно-цифровые, так и графические механизмы аутентификации на основе пароля могут иметь значительную уязвимость для серфинга через плечо, если не будут приняты определенные меры предосторожности. Несмотря на распространенное мнение, что пароли, не относящиеся к словарю, являются наиболее безопасным типом аутентификации на основе паролей, наши результаты показывают, что на самом деле это наиболее уязвимая конфигурация для серфинга через плечо.

Ввод PIN-кода [ редактировать ]

Персональный идентификационный номер (или сокращенно ПИН) используется для аутентификации в различных ситуациях, при снятии или внесении денег с банкомата , разблокировке телефона, двери, ноутбука или КПК . Хотя в некоторых ситуациях этот метод аутентификации представляет собой двухэтапный процесс проверки , он уязвим для атак при серфинге. Злоумышленник может получить PIN-код, посмотрев прямо через плечо жертвы или записав весь процесс входа в систему . На таких предметах, как мобильные телефоны со стеклом и глянцевыми экранами, пользователь может оставлять пятна на экране, показывая PIN-код. [17]В некоторых высокотехнологичных атаках используются тепловизионные камеры, чтобы увидеть тепловую подпись введенного PIN-кода. [18] Таким образом, для обеспечения безопасности процесса аутентификации используются различные методы ввода PIN-кода, устойчивые к серфингу . [19] Примеры включают в себя панели с PIN-кодами с крышками для защиты конфиденциальности пользователя, систему, реализованную в большинстве банкоматов. [20] Другой пример, используемый в банкоматах и ​​некоторых системах входа, - это использование металлических контактных площадок, делающих атаки тепловизионных камер практически невозможными из-за их материала. [21]

Тестирование контрмер [ править ]

В когнитивной игре-лазейке задействованы три группы: машинный верификатор, человек-испытатель и человек-наблюдатель. Цель каждой группы состоит в том, чтобы человек-испытатель вводил ПИН-код, отвечая на вопросы, заданные машинным верификатором, в то время как наблюдатель пытается взяться за поиск ПИН-кода. Поскольку контрмеры по замыслу сложнее узурпировать, наблюдателю нелегко запомнить весь процесс входа в систему, если у наблюдателя нет записывающего устройства. [22]

См. Также [ править ]

  • Социальная инженерия (безопасность)
  • Информационный дайвинг
  • Мошенничество с кредитными картами
  • Фишинг

Ссылки [ править ]

  1. ^ "Плечо-серфинг - определение плечевого серфинга в ... (nd)" . Проверено 21 октября 2016 года .
  2. ^ "Что такое плечевой серфинг?" . www.experian.com . 2018-04-30 . Проверено 23 февраля 2020 .
  3. Ки, Джаред (28 апреля 2008 г.). «Социальная инженерия: манипулирование источником» . Читальный зал Инфобезопасности Института SANS . Проверено 24 октября, 2016 .
  4. ^ Лонг, Джонни (2008). «Серфинг через плечо». No Tech Hacking: Руководство по социальной инженерии, нырянию в мусорных контейнерах и серфингу на плечах . Берлингтон, Массачусетс: Syngress. С. 27–60.
  5. ^ Goucher, Венди (ноябрь 2011). «Посмотрите назад: опасности плечевого серфинга». Компьютерное мошенничество и безопасность . 2011 (11): 17–20. DOI : 10.1016 / s1361-3723 (11) 70116-6 .
  6. ^ Эйбанд, Малин; Хамис, Мохамед; фон Зежвиц, Эмануэль; Хусманн, Генрих; Альт, Флориан (май 2017 г.). «Понимание серфинга через плечо в дикой природе: истории пользователей и наблюдателей» (PDF) . CHI '17 - Материалы конференции CHI 2017 г. по человеческому фактору в вычислительных системах : 4254–4265. DOI : 10.1145 / 3025453.3025636 . Проверено 3 мая 2018 года .
  7. Suo, X. и Y. Zhu. Графические пароли: обзор. В материалах ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона, США, 2005 г.
  8. ^ Джейкоб, RJK и KS Karn, Отслеживание взгляда в исследованиях взаимодействия человека и компьютера и удобства использования: готовность выполнить обещания, в мысленном взоре: когнитивные и прикладные аспекты исследования движения глаз, J. Hyona, R. Radach и H. Deubel, Редакторы. Elsevier Science: Амстердам. С. 573–605, 2003
  9. ^ Khamis et al. GazeTouchPIN: защита конфиденциальных данных на мобильных устройствах с помощью безопасной мультимодальной аутентификации. В материалах 19-й Международной конференции ACM по мультимодальному взаимодействию (ICMI 2017) http://www.mkhamis.com/data/papers/khamis2017icmi.pdf
  10. ^ Khamis et al. GazeTouchPass: мультимодальная аутентификация с помощью Gaze and Touch на мобильных устройствах. В материалах 34-й ежегодной конференции ACM Extended Abstracts on Human Factors in Computing Systems (CHI 2016 EA) 2016. http://www.mkhamis.com/data/papers/khamis2016chi.pdf
  11. ^ LK Seng, N. Ithnin и HK Mammi, «Сродство выбора пользователя: особенности механизма защиты от серфинга в графической схеме пароля мобильного устройства», International Journal of Computer Science Issues, vol. 2, вып. 8, (2011 г.) https://www.ijcsi.org/papers/IJCSI-8-4-2-255-261.pdf
  12. ^ Спектор, Линкольн; Редактор, участие; Решения, PCWorld | О |; Советы; Проблемы, ответы для ПК (2016-03-14). «Графический пароль Windows 10: делайте собственные выводы о его безопасности» . PCWorld . Проверено 23 февраля 2020 .CS1 maint: дополнительный текст: список авторов ( ссылка )
  13. Suo, X. и Y. Zhu. Графические пароли: обзор. В материалах ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона, США, 2005 г.
  14. ^ RC Thomas, A. Karahasanovic и GE Kennedy, «Исследование показателей задержки нажатия клавиш как индикатора производительности программирования», представленный на Австралийской конференции по компьютерному образованию в 2005 г., Ньюкасл, Австралия, 2005 г.
  15. ^ LK Seng, N. Ithnin и HK Mammi, «Сродство выбора пользователя: особенности механизма защиты от серфинга в графической схеме пароля мобильного устройства», International Journal of Computer Science Issues, vol. 2, вып. 8, (2011)
  16. ^ RC Thomas, A. Karahasanovic и GE Kennedy, «Исследование показателей задержки нажатия клавиш как индикатора производительности программирования», представленный на Австралийской конференции по компьютерному образованию в 2005 г., Ньюкасл, Австралия, 2005 г.
  17. ^ «Smudge-атаки на сенсорные экраны смартфонов | Труды 4-й конференции USENIX по наступательным технологиям» (PDF) . dl.acm.org . Проверено 25 июля 2020 .
  18. ^ «Тепловизионные устройства могут украсть ваши PIN-коды и коды доступа» . www.consumeraffairs.com . 2014-09-02 . Проверено 25 июля 2020 .
  19. ^ Ли, М. (2014, апрель). Понятия безопасности и усовершенствованный метод ввода ПИН-кода, защищенного от серфинга человека. IEEE Transactions по информационной криминалистике и безопасности, 9 (4), 695–708. DOI: 10.1109 / tifs.2014.2307671
  20. ^ «Опрос: большинство держателей карт закрывают ПИН-код банкомата, чтобы защитить свой ПИН-код» . www.atmmarketplace.com . 2011-05-26 . Проверено 25 июля 2020 .
  21. ^ «Кража PIN-кодов банкоматов с помощью тепловизоров» . Обнаженная безопасность . 2011-08-17 . Проверено 25 июля 2020 .
  22. Перейти ↑ Roth, V., & Richter, K. (2006). Как бороться с серфингом через плечо. Journal of Banking & Finance, 30 (6), 1727-1751. DOI: 10.1016 / j.jbankfin.2005.09.010