Ataques térmicos

Pesquisa aponta uma maneira incomum de roubar senhas: usando uma câmera térmica.

Em pelo menos duas de nossas postagens anteriores, abordamos o tópico de ataques de canal lateral. São ataques nos quais uma determinada informação confidencial (uma senha, chave de criptografia ou apenas dados que precisam ser protegidos) é extraída de uma maneira não trivial. Por exemplo, em vez de quebrar diretamente um sistema de criptografia, um invasor pode reconstruir a chave com base em pequenas alterações no consumo de energia do dispositivo. Em vez de dados secretos serem extraídos do cache do processador, eles podem ser restaurados com base em sinais indiretos: uma cadeia complexa de tentativas malsucedidas de acessar os dados executa uma fração mais lenta ou mais rápida, sugerindo a presença de um zero ou um na seção de dados de interesse.

Esse é um exemplo complexo de um ataque de canal lateral. Mas existem variantes mais simples, sobre as quais falaremos hoje…

Qual é o “ataque” mais simples que pode haver em um sistema de computador? A “espiadinha” ou shoulder surfing, termo em inglês: quando ladrões roubam sua senha olhando por cima do seu ombro. Eles então inserem a senha e obtêm acesso aos seus dados, sem invadir nenhum computador ou software. E há uma defesa igualmente simples contra a espiadinha: apenas cubra as teclas com a mão ou certifique-se de que não há ninguém olhando quando estiver acessando suas contas. Mas, e se um criminoso tentar roubar sua senha após você digitá-la, pela leitura térmica das impressões digitais no teclado?

Imagens térmicas e Caixas Eletrônicos

Os ataques por imagens térmicas (também conhecidos como ataques térmicos) estão nos radares dos pesquisadores há mais de 15 anos. Um dos primeiros estudos nessa área explora o cenário mais comum da vida real: ataques a caixas eletrônicos. Funciona assim. Vamos pegar um teclado padrão dessas máquinas:

Um teclado padrão de caixa eletrônico. <a href="https://cseweb.ucsd.edu/~kmowery/papers/thermal.pdf" target="_blank">Fonte</a>.

Um teclado padrão de caixa eletrônico. Fonte.

Você vai a um caixa eletrônico, insere seu cartão, digita sua senha, pega seu dinheiro e sai andando. Mas sem que você saiba, um invasor se aproxima do mesmo caixa eletrônico alguns momentos depois e tira uma foto do teclado usando uma câmera de imagem térmica:

Teclado de um caixa eletrônico visto captado por uma câmera térmica<a href="https://cseweb.ucsd.edu/~kmowery/papers/thermal.pdf" target="_blank">Fonte</a>.

Teclado de um caixa eletrônico visto captado por uma câmera térmicaFonte.

Se a imagem for tirada dentro de 30 segundos após a inserção do PIN, há 50% de chance de recuperar a sequência. A câmera térmica cria uma imagem infravermelha na qual áreas claras e escuras representam temperaturas altas e baixas, respectivamente. O propósito original é verificar as paredes ou janelas de um edifício para determinar de onde vêm as correntes de ar mais irritantes. Mas agora também pode ser usada para roubar senhas – embora valha a pena lembrar que estamos falando de pesquisa aqui, e não sobre ataques da vida real (pelo menos até agora).

As primeiras câmeras térmicas costumavam custar dezenas de milhares de dólares, mas há algum tempo eles baratearam e agora custam algumas centenas de dólares. E os modelos atuais podem variar em seu nível de sensibilidade (capacidade de distinguir pequenas diferenças de temperatura). Por exemplo, a foto acima (tirada com um dispositivo profissional caro) mostra não apenas quais botões foram pressionados, mas em que ordem: quanto mais quente o botão, mais tarde ele foi pressionado.

Usar este tipo de equipamento em um teclado de caixa eletrônico não é tão simples. A imagem precisa ser tirada o mais rápido possível. O exemplo acima foi feito quase imediatamente após a inserção da senha. O atraso máximo entre a digitação e a imagem é de cerca de 90 segundos. E mesmo assim não há garantia de sucesso. Por exemplo, a vítima em potencial pode estar usando luvas, para que os botões não esquentem. Ou um – ou dois – dos dígitos do PIN podem ser repetidos, o que complicaria o processo. A propósito, qual senha foi inserida na imagem acima, na sua opinião? Teste seus próprios poderes de dedução! A resposta correta é 1485.

Os pesquisadores realizaram um total de 54 experimentos, variando ligeiramente os parâmetros de cada um. As impressões digitais térmicas foram analisadas manualmente e com sistemas automatizados (sendo que os últimos foram um pouco melhores). Em cerca de metade dos casos foi possível descobrir os botões pressionados, mas não a sequência correta. A senha exata foi recuperada em menos de 10% dos testes. Um código de quatro dígitos de qualquer um dos 11 dígitos disponíveis fornece 10.000 combinações potenciais. Se soubermos todos os números, mas não a sequência, existem 24 combinações para experimentar. Mas isso ainda é mais do que o número de tentativas permitidas: após três tentativas incorretas, o cartão bancário é frequentemente bloqueado. O estudo de 2011 mencionado acima expandiu nosso conhecimento sobre espionagem térmica, mas não nos deu nenhum resultado significativo. Mas este não foi o último estudo…

Imagens térmicas e smartphones

Os smartphones também são suscetíveis a ataques térmicos. Isso foi demonstrado claramente em um estudo de 2017, no qual contém esta imagem reveladora:

Senhas e padrões reais para desbloqueio de smartphones, e seus traços de calor. <a href="https://www.researchgate.net/publication/312490359_Stay_Cool_Understanding_Thermal_Attacks_on_Mobile-based_User_Authentication" target="_blank">Fonte</a>.

Senhas e padrões reais para desbloqueio de smartphones, e seus traços de calor. Fonte.

Como antes, o sucesso de um ataque depende da rapidez com que a imagem térmica é obtida após a inserção da senha ou da combinação secreta. Tirar uma imagem é um pouco mais complicado neste caso, já que, ao contrário de um caixa eletrônico, as pessoas carregam seus smartphones com eles. No entanto, não é tão absurdo imaginar um cenário em que seja possível tirar uma imagem no momento certo.

Em 2017, as tecnologias de análise de dados melhoraram e a taxa geral de sucesso foi maior do que nos experimentos de caixas eletrônicos de 2011: até 89% das senhas foram coletadas corretamente por meio de imagens térmicas oportunas. 78% dos códigos foram decifrados quando uma imagem foi tirada 30 segundos após o telefone ser desbloqueado, e 22% quando os pesquisadores esperaram 60 segundos. Aliás, os bloqueios de padrão são mais difíceis de desvendar usando esse método. Mas há outro problema com eles: foi mostrado em 2010 que essas combinações são bastante fáceis de adivinhar pelas manchas de dedos deixadas na tela (que ficam lá por muito mais tempo do que as impressões térmicas).

Imagens térmicas e teclados

O que caixas eletrônicos e smartphones têm em comum? Poucos botões! Em ambos os casos, estamos lidando com a inserção de combinações curtas de dígitos. Para realmente testar as possibilidades de espionagem térmica, é melhor experimentá-la em senhas alfanuméricas reais inseridas em um teclado real. E foi exatamente isso que uma equipe de pesquisadores da Universidade de Glasgow, na Escócia, fez. Veja aqui os resultados do seu trabalho. Um teclado completo captado por uma câmera térmica se parece com isso:

Traços de calor gerados a partir da seleção dos botões em um teclado de PC. <a href="https://dl.acm.org/doi/pdf/10.1145/3563693" target="_blank">Fonte</a>.

Traços de calor gerados a partir da seleção dos botões em um teclado de PC. Fonte.

Os pontos brilhantes indicam traços de teclas pressionadas. Este estudo, como outros, testou a confiabilidade da recuperação de senha após um certo tempo: a foto térmica foi feita em intervalos de 20, 30 e 60 segundos. Uma nova variável apareceu na forma de comprimento da senha, que pode ser arbitrária. Mais importante ainda, os pesquisadores aplicaram algoritmos de aprendizado de máquina (ML). Em experimentos que envolvem a extração de dados úteis, estes são indispensáveis. Algoritmos de ML que foram treinados em centenas de imagens de teclados emparelhados com combinações conhecidas mostraram excelentes resultados na recuperação de senhas. Confira esta tabela resumindo o desempenho:

Como a recuperação das senhas depende do tempo entre o toque e a captura da imagem, bem como o tamanho da senha. <a href="https://dl.acm.org/doi/pdf/10.1145/3563693" target="_blank">Fonte</a>.

Como a recuperação das senhas depende do tempo entre o toque e a captura da imagem, bem como o tamanho da senha. Fonte.

Surpreendentemente, em metade dos casos, até mesmo uma senha longa de 16 caracteres era recuperável. A partir dos exemplos acima, você pode apreciar a complexidade de recuperar a sequência de seleção de teclas com base em pequenas diferenças de temperatura. O estudo tem uma conclusão importante, que você e eu já sabemos: as senhas devem ser longas e preferencialmente geradas por um software de gerenciamento de senhas especial.

Houve também algumas descobertas inesperadas. A eficácia do método depende do tipo de plástico: alguns aquecem menos que outros. E se o teclado é iluminado também é um fator. Em geral, qualquer aquecimento estranho dos botões – seja de LEDs embutidos ou da CPU localizada sob o teclado em um laptop – destrói as impressões térmicas. E um outro ponto: quanto mais rápido a senha for digitada, menor será a probabilidade de ela se capturada e descoberta por meio de imagens térmicas.

Quanto há de realidade nesses ataques?

Não existe uma resposta universal para essa pergunta. Os dados do seu telefone são valiosos o suficiente para que alguém o siga com uma câmera térmica? Esse cenário é plausível? Felizmente, a maioria das pessoas não é afetada por esses ataques – eles são simplesmente muito complicados. A espionagem térmica parece representar a maior ameaça às fechaduras digitais, que exigem a inserção de um código; por exemplo, na entrada de um prédio de escritórios. O código neste caso quase nunca muda, e as fechaduras geralmente estão localizadas em locais públicos. Um espião em potencial terá muito tempo e muitas tentativas para adivinhar o código de acesso correto.

Em outros casos, o método só é viável como parte de um ataque direcionado a informações particularmente valiosas. A solução, de acordo com o método usual de derrotar a maioria dos ataques de canal lateral, é afogar os dados confidenciais em ruído. Você pode inserir seu PIN usando luvas grossas, impossibilitando um ataque. Você pode usar um teclado iluminado e os cibercriminosos terão um desafioainda maior. Ao digitar sua senha, você pode pressionar, ou simplesmente tocar, teclas extras, tornando quase impossível recuperar a sequência correta.

Em 2022 houve o lançamento de uma meta-análise de estudos de ataques térmicos, cujo objetivo era tentar avaliar o quão realistas são as ameaças para este ataque. Os autores relataram que as investidas são implementáveis ​​e acessíveis – e precisam ser levadas em consideração ao criar um modelo de ameaça. Não estamos convencidos de que o problema se tornará sério tão cedo. Mas a meta-análise tira uma conclusão importante: uma senha só pode ser roubada se for realmente digitada!

Então, de forma indireta, chegamos ao tópico da morte da senha. A ameaça de ataques térmicos é, obviamente, uma razão altamente exótica para descartá-las. Mas pense: quando seu telefone reconhece você pelo seu rosto ou impressão digital, você não digita uma senha. Ao usar uma chave de segurança de hardware, você não insere uma senha. Toda uma camada de ataques potenciais (e anos de pesquisa) torna-se irrelevante se nenhuma senha for inserida. Claro, os métodos alternativos de autenticação também têm suas fraquezas, mas as senhas comuns tendem a ter um número maior. Os modernos sistemas de autenticação sem senha tornam a vida dos phishers quase impossível. Há muitas vantagens em abandonar as senhas tradicionais. E agora temos mais uma: ninguém poderá se aproximar de você com uma câmera de imagem térmica e roubar suas credenciais de acesso.

 

Dicas