Серфинг через плечо (компьютерная безопасность) - Shoulder surfing (computer security)

В компьютерная безопасность, плечевой серфинг это тип социальная инженерия техника, используемая для получения Информация Такие как персональные идентификационные номера (PIN-коды), пароли и другие конфиденциальные данные, глядя через плечо жертвы, либо при нажатии клавиш на устройстве, либо при разговоре и прослушивании конфиденциальной информации, также известной как подслушивание.[1][2]


Методы и история

Эта атака может быть выполнена либо с близкого расстояния (если смотреть прямо через плечо жертвы), либо с большего расстояния, например, с помощью пары бинокль или аналогичное оборудование.[3] Для реализации этой техники злоумышленникам не требуется никаких технических навыков; Достаточно пристального наблюдения за окружающей средой жертв и типом набора текста. В людных местах злоумышленник с большей вероятностью сможет пролезть через плечо. В начале 80-х годов прошлого века «серфинг через плечо» практиковался возле общественных телефонов-автоматов для кражи номеров телефонных карточек и осуществления междугородних звонков или продажи их на рынке по более низким ценам, чем платил первоначальный покупатель. Однако появление современных технологий, таких как скрытые камеры а секретные микрофоны облегчают серфинг через плечо и дают злоумышленнику больше возможностей для серфинга через плечо на большие расстояния. Скрытая камера позволяет злоумышленнику фиксировать весь процесс входа в систему и другие конфиденциальные данные жертвы, что в конечном итоге может привести к финансовым потерям или кража личных данных.[4] Серфинг через плечо чаще встречается в людных местах, потому что легче наблюдать за информацией, не привлекая внимания жертвы.[5] Существует два типа атак с перемещением по плечу: атаки с прямым наблюдением, при которых информация аутентификации получается лицом, непосредственно отслеживающим последовательность аутентификации, и атаки с записью, при которых информация аутентификации получается путем записи последовательности аутентификации для последующего анализа. , чтобы открыть устройство. Помимо угроз для пароля или ввода PIN-кода, серфинг по плечу также происходит в повседневных ситуациях, чтобы раскрыть частный контент на портативных мобильных устройствах; Было обнаружено, что при просмотре визуального контента через плечо происходит утечка конфиденциальной информации пользователя и даже частной информации о третьих лицах.[6]

Контрмеры

Ввод пароля на основе взгляда

Основная процедура ввода пароля на основе взгляда аналогична обычному вводу пароля, за исключением того, что вместо нажатия клавиши или прикосновения к экрану пользователь последовательно смотрит на каждый желаемый символ или область запуска (так же, как при вводе текста глазами). Таким образом, этот подход можно использовать как с на основе персонажей паролей с помощью экранной клавиатуры и графических схем паролей, как описано в.[7] Для обеспечения удобства использования и безопасности важно учитывать ряд факторов. Технология айтрекинга прошла долгий путь с момента своего появления в начале 1900-х годов.[8] Современные айтрекеры предлагают удобные удаленные на основе видео айтрекинг с точностью до 1˚ угла обзора. Айтрекеры - это специализированное приложение компьютерного зрения. Камера используется для наблюдения за глазами пользователя. Один или несколько источников инфракрасного света освещают лицо пользователя и создают блеск - отражение источника света на роговице. Когда пользователь смотрит в разные стороны, зрачок перемещается, но расположение блика на роговице остается неизменным. Относительное движение и положение центра зрачка и блеска используются для оценки вектора взгляда, который затем отображается в координаты на плоскости экрана.

Исследователи предложили способы противодействовать серфингу через плечо на мобильных устройствах, используя фронтальную камеру для ввода пароля на основе взгляда. Например, GazeTouchPIN [9] и GazeTouchPass [10] объедините ввод взгляда в виде движений глаз влево / вправо и сенсорный ввод путем нажатия экранных кнопок. Эти методы более безопасны, чем традиционный сенсорный ввод (например, PIN-код и шаблоны блокировки), потому что они требуют, чтобы пользователи плеча (1) наблюдали за глазами пользователя, (2) наблюдали за сенсорным вводом пользователя и (3) объединяли наблюдения.

Механизм фотоальбома

Painting Album Mechanism - это механизм защиты от серфинга, который имеет характеристики как отзыва, так и распознавания графические методы. Вместо использования обычного ПИН-кода или пароля, который включает буквенно-цифровой персонажей, пользователи выбирают изображение или цвет, который они запоминают (выбранный как «любимый рисунок» во время настройки системы), чтобы разблокировать систему. Этот метод защиты от серфинга на плечах был разработан на основе результатов опроса о предпочтениях пользователей,[11] и через наблюдение за тем, как дети рисуют картинки. Результирующий механизм был разработан на основе обзора выбора пользователя, и в результате были созданы три схемы ввода, названные Swipe Scheme, Color Scheme и Scot Scheme, которые являются методами создания паролей. Каждая схема ввода не идентична, и пользователь может выбрать схему ввода, которую он предпочитает. Схема смахивания реализована в Microsoft Windows 8, а в более поздних версиях он известен как графический пароль; однако он вызвал критику за требование, чтобы пользователь использовал достаточно безопасный жест.[12]

Схемы вводаМетоды ввода
Схема смахиванияПроведите по картинкам
Цветовая схемаКоснувшись картинки, выберите цветные квадраты.
Схема СкоттаПроведите пальцем по изображению, а пока коснитесь изображений и выберите цветные поля.

Метод секретного крана

Для доступа к конфиденциальной информации с низким риском серфинга по плечу метод секретного касания предлагает метод, который не раскрывает информацию аутентификации во время входа, даже если другие лица пытаются просмотреть процесс ввода. Кроме того, риск скрытого наблюдения не ограничивается прямым наблюдением со стороны других лиц, поскольку записи с камеры также создают угроза. Следовательно, необходимо усложнить процесс аутентификации, чтобы предотвратить кражу аутентификационной информации, даже если камеры и / или другие лица наблюдают за процессом ввода информации много раз. Одна из простейших форм метода секретного крана, реализованная во многих смартфоны, являются биометрическими данными, такими как сканирование отпечатков пальцев или распознавание лиц, которое не может повторить сёрфер по плечу.

Метод аутентификации с секретным касанием может использовать значки или другую систему. Цели секретной системы кранов:

  • Скрытое наблюдение сопротивления: Поддерживайте силу сопротивления на уровне, который предотвращает раскрытие информации аутентификации другим лицам, даже если операция аутентификации выполняется много раз.
  • Запись сопротивления атаке: Поддерживайте силу сопротивления на уровне, который предотвращает анализ информации аутентификации другими лицами, даже если операция аутентификации полностью записана.
  • Атака грубой силой сопротивление: Поддерживайте силу сопротивления на уровне, который предотвращает нарушение процесса аутентификации с большей легкостью, чем атака грубой силой на четырехзначный PIN-код. Эта политика соответствует стандарту ISO 9564-1.[13]
  • Удобство использования: Поддерживайте уровень удобства использования, позволяющий операторам легко выполнять операцию аутентификации.

Сравнение рисков между буквенно-цифровыми и графическими паролями

Основное преимущество графические пароли в сравнении с буквенно-цифровые пароли улучшенная запоминаемость. Однако потенциальным недостатком этого преимущества является повышенный риск серфинга через плечо. Графические пароли, использующие графику или изображения [14] такие как PassFaces, Джимини,[15] VIP, пропускные пункты [16] или сочетание графики и звука, такое как AVAP, вероятно, все подвержены этому повышенному риску, если его каким-либо образом не уменьшить в реализации. Результаты указывают на тот факт, что как буквенно-цифровые, так и графические механизмы аутентификации на основе пароля могут иметь значительную уязвимость при переходе через плечо, если не будут приняты определенные меры предосторожности. Несмотря на распространенное мнение, что пароли, не относящиеся к словарю, являются наиболее безопасным типом аутентификации на основе пароля, наши результаты показывают, что на самом деле это наиболее уязвимая конфигурация для серфинга через плечо.

Ввод PIN-кода

Персональный идентификационный номер (сокращенно ПИН) используется для аутентификации в различных ситуациях при снятии или внесении денег с банкомат, разблокировка телефона, двери, ноутбук или КПК. Хотя этот метод аутентификации двухэтапный процесс проверки в некоторых ситуациях он уязвим для атак серфинга по плечу. Злоумышленник может получить PIN-код, посмотрев прямо через плечо жертвы или записав все авторизоваться процесс. На таких предметах, как мобильные телефоны со стеклом и глянцевыми экранами, пользователь может оставлять пятна на экране, показывая PIN-код.[17] Некоторые высокотехнологичные атаки используют тепловизионные камеры для просмотра тепловой подписи введенного PIN-кода.[18] Таким образом, предлагаются различные методики ввода PIN-кода, устойчивые к серфингу, чтобы аутентификация безопасный процесс.[19] Примеры включают в себя панели для ввода PIN-кодов с крышками для защиты конфиденциальности пользователя - систему, реализованную в большинстве банкоматов.[20] Другой пример, используемый в банкоматах и ​​некоторых системах входа, - это использование металлических контактных площадок, делающих атаки тепловизионных камер практически невозможными из-за их материала.[21]

Тестирование контрмер

В когнитивной игре-лазейке задействованы три группы: машинный верификатор, человек-испытатель и человек-наблюдатель. Цель каждой группы состоит в том, чтобы человек-испытатель вводил ПИН-код, отвечая на вопросы, заданные машинным верификатором, в то время как наблюдатель пытается взяться за поиск ПИН-кода. Поскольку контрмеры по своей природе сложнее узурпировать, наблюдателю нелегко запомнить весь процесс входа в систему, если у наблюдателя нет записывающего устройства.[22]

Смотрите также

Рекомендации

  1. ^ «Серфинг через плечо - определение серфинга через плечо в ... (нет данных)». Получено Двадцать первое октября, 2016.
  2. ^ "Что такое серфинг на плечах?". www.experian.com. 2018-04-30. Получено 2020-02-23.
  3. ^ Ки, Джаред (28 апреля 2008 г.). «Социальная инженерия: манипулирование источником». Информационный зал Института SANS. Получено 24 октября, 2016.
  4. ^ Длинный, Джонни (2008). «Серфинг через плечо». No Tech Hacking: руководство по социальной инженерии, нырянию в мусорных контейнерах и серфингу на плечах. Берлингтон, Массачусетс: Syngress. С. 27–60.
  5. ^ Гушер, Венди (ноябрь 2011 г.). «Посмотрите назад: опасность плечевого серфинга». Компьютерное мошенничество и безопасность. 2011 (11): 17–20. Дои:10.1016 / с 1361-3723 (11) 70116-6.
  6. ^ Эйбанд, Малин; Хамис, Мохамед; фон Зежвиц, Эмануэль; Хусманн, Генрих; Альт, Флориан (май 2017 г.). «Понимание серфинга через плечо в дикой природе: истории пользователей и наблюдателей» (PDF). CHI '17 - Материалы конференции CHI 2017 г. по человеческому фактору в вычислительных системах: 4254–4265. Дои:10.1145/30255654.3025636 (неактивно 10.09.2020). Получено 3 мая, 2018.CS1 maint: DOI неактивен по состоянию на сентябрь 2020 г. (связь)
  7. ^ Суо, X. и Y. Zhu. Графические пароли: обзор. В материалах ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона, США, 2005 г.
  8. ^ Джейкоб, Р. Дж. К. и К. С. Карн, Отслеживание взгляда в исследованиях взаимодействия человека и компьютера и юзабилити: готовность выполнять обещания, В мыслях: когнитивные и прикладные аспекты исследования движения глаз, Дж. Хена, Р. Радах и Х. Деубель, редакторы . Elsevier Science: Амстердам. С. 573–605, 2003
  9. ^ Khamis et al. GazeTouchPIN: защита конфиденциальных данных на мобильных устройствах с помощью безопасной мультимодальной аутентификации. В материалах 19-й Международной конференции ACM по мультимодальному взаимодействию (ICMI 2017) http://www.mkhamis.com/data/papers/khamis2017icmi.pdf
  10. ^ Khamis et al. GazeTouchPass: мультимодальная аутентификация с помощью Gaze and Touch на мобильных устройствах. В материалах 34-й ежегодной конференции ACM Extended Abstracts on Human Factors in Computing Systems (CHI 2016 EA) 2016. http://www.mkhamis.com/data/papers/khamis2016chi.pdf
  11. ^ Л. К. Сенг, Н. Итнин и Х. К. Мамми, «Сродство выбора пользователя: особенности механизма защиты от серфинга в графической схеме паролей мобильных устройств», International Journal of Computer Science Issues, vol. 2, вып. 8, (2011) https://www.ijcsi.org/papers/IJCSI-8-4-2-255-261.pdf
  12. ^ Спектор, Линкольн; Редактор, участие; Решения, PCWorld | О |; Подсказки; Проблемы, ответы для ПК (2016-03-14). «Графический пароль Windows 10: делайте собственные выводы о его безопасности». PCWorld. Получено 2020-02-23.CS1 maint: дополнительный текст: список авторов (связь)
  13. ^ Суо, X. и Y. Zhu. Графические пароли: обзор. В материалах ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона, США, 2005 г.
  14. ^ Р. К. Томас, А. Карахасанович и Г. Э. Кеннеди, «Исследование показателей задержки нажатия клавиш как показателя эффективности программирования», представленный на Австралийской конференции по компьютерному образованию в 2005 г., Ньюкасл, Австралия, 2005 г.
  15. ^ Л. К. Сенг, Н. Итнин и Х. К. Мамми, «Сродство выбора пользователя: особенности механизма защиты от серфинга в графической схеме паролей мобильных устройств», International Journal of Computer Science Issues, vol. 2, вып. 8, (2011)
  16. ^ Р. К. Томас, А. Карахасанович и Г. Э. Кеннеди, «Исследование показателей задержки нажатия клавиш как показателя эффективности программирования», представленный на Австралийской конференции по компьютерному образованию в 2005 г., Ньюкасл, Австралия, 2005 г.
  17. ^ «Smudge-атаки на сенсорные экраны смартфонов | Материалы 4-й конференции USENIX по наступательным технологиям» (PDF). dl.acm.org. Получено 2020-07-25.
  18. ^ «Тепловизионные устройства могут украсть ваши PIN-коды и коды доступа». www.consumeraffairs.com. 2014-09-02. Получено 2020-07-25.
  19. ^ Ли, М. (2014, апрель). Понятия безопасности и усовершенствованный метод ввода ПИН-кода, устойчивого к серфингу людей. IEEE Transactions по информационной криминалистике и безопасности, 9 (4), 695–708. DOI: 10.1109 / tifs.2014.2307671
  20. ^ «Опрос: большинство держателей карт закрывают PIN-панель банкомата, чтобы защитить свой PIN-код». www.atmmarketplace.com. 2011-05-26. Получено 2020-07-25.
  21. ^ «Кража PIN-кодов банкоматов с помощью тепловизоров». Голая безопасность. 2011-08-17. Получено 2020-07-25.
  22. ^ Рот, В., и Рихтер, К. (2006). Как бороться с серфингом через плечо. Journal of Banking & Finance, 30 (6), 1727-1751. DOI: 10.1016 / j.jbankfin.2005.09.010