حمله حرارتی ThermoSecure با کمک هوش مصنوعی در مدت چند ثانیه پسورد شما را هک می کند

راهنماتو- محققان دانشگاه گلاسکو اخیرا با توسعه سیستم جدیدی به نام ThermoSecure نشان داده اند که کاهش قیمت دوربین های تصویربرداری حرارتی و افزایش دسترسی به یادگیری ماشینی «حملات حرارتی» را آسانتر می کند. کارشناسان امنیت رایانه با تجزیه و تحلیل آثار گرمایی که نوک انگشتان بر روی صفحه کلید و نمایشگر می گذارند، سیستمی ساخته اند که قادر است رمز عبور کاربران رایانه و گوشی های هوشمند را در چند ثانیه حدس بزند.

پس تایپ کردن رمزعبور بر روی صفحه کلید کامپیوتر، نمایشگر گوشی و یا صفحه کلید ATM توسط کاربران، در صورت عدم محافظت می تواند حمله حرارتی رخ دهد. یک رهگذر مجهز به دوربین حرارتی می تواند با عکاسی از محل تایپ کاربران، مکان هایی از دستگاه که توسط انگشتان لمس شده است را تشخیص دهد.

بخش های روشن تر در تصویر حرارتی، نشان می دهد که این نواحی اخیرا لمس شده اند. با اندازه گیری شدت نسبی مناطق گرمتر، می توان حروف، اعداد یا نمادهای خاص تشکیل دهنده رمز عبور را تعیین کرده و ترتیب استفاده از آنها را تخمین زد. سپس مهاجمان می توانند ترکیب های مختلف برای شکستن رمز عبور کاربران را امتحان کنند. دکتر «محمد خمیس» که رهبری سیستم ThermoSecure را به عهده دارد، در تحقیقات قبلی خود نشان داده است که افراد غیرمتخصص می توانند رمز عبور را به سادگی و با نگاه دقیق به تصاویر حرارتی گرفته شده در مدت 30 تا 60 ثانیه پس از لمس سطوح، با موفقیت حدس بزنند.

در مقاله منتشر شده در مجله «ACM Transactions on Privacy and Security» دکتر خمیس و تیمش نشان دادند که چگونه می توان با استفاده از یادگیری ماشینی حملات دقیق تری را طراحی کرد. آنها برای این کار 1500 عکس حرارتی از زوایای مختلف از کیبوردها QWERTY که اخیراً استفاده شده اند، گرفتند. سپس یک مدل هوش مصنوعی را طوری آموزش دادند تا بتواند به طور موثر تصاویر را بخواند و با استفاده از یک مدل احتمالی در مورد رمزهای عبور از سرنخ‌های امضای حرارتی حدس‌های آگاهانه بسازد.

محققان دریافتند که این سیستم قادر است در عرض 20 ثانیه به رمزهای عبور طولانی 16 کاراکتری با موفقیت تا 67 درصد دست پیدا کند. میزان موفقیت ThermoSecure در حدس گذرواژه های کوتاهتر بیشتر بود. این سیستم توانست پسوردها حداکثر 12 نمادی را با احتمال 82 درصد، پسوردهای حداکثر هشت نمادی را با احتمال 93 درصد و پسوردهای شش نمادی را با احتمال 100 درصد با موفقیت حدس بزند. دکتر خمیس می گوید:« برای دستگیری یک دزد، باید مثل او فکر کرد. ما ThermoSecure را با تمرکز بر روی اینکه چگونه عوامل مخرب ممکن است از تصاویر حرارتی برای نفوذ به رایانه ها سوء استفاده کنند، توسعه دادیم.»

حمله-حرارتی-thermosecure

دسترسی به دوربین های تصویربرداری حرارتی، این روزها بسیار ساده و مقرون به صرفه تر از همیشه است و با کمتر از 200 پوند می توان به یکی از آنها دسترسی پیدا کرد. از آنجایی که یادگیری ماشینی نیز روز به روز در حال توسعه است، احتمال آن زیاد است که مردم سیستم هایی مشابه ThermoSecure را توسعه دهند. مهم است که تحقیقات امنیت رایانه با این پیشرفت‌ها همگام شده و به راه های جدیدی برای کاهش چنین خطراتی دست پیدا کند.

محققان همچنین متغیرهای دیگری که حدس زدن رمزهای عبور را آسانتر می کردند، مورد بررسی قرار دادند. یکی از این متغیرها، شیوه تایپ کردن افراد بود. افرادی که به روش «Hunt and Peck» تایپ می کنند، معمولا انگشتان خود را برای مدت طولانی تری بر روی کلیدها نگه داشته و نشانه های گرمایی بیشتری را برجای می گذارند.

همچنین، نوع موادی که کیبورد از آن ساخت شده است، نیز می‌تواند بر توانایی آن‌ها در جذب گرما و اثربخشی حملات حرارتی اثر بگذارد. ThermoSecure توانست تقریبا با احتمال 50 درصد رمزهای عبور کیبوردهای ساخته شده از پلاستیک ABS را حدس بزند. این روش تنها در 14 درصد مواقع رمز عبورهای صفحه کلیدهای ساخته شده از پلاستیک PBT را تشخیص داد. تیم ThermoSecure پیشنهاداتی برای محافظت کامپیوترها و گوشی های هوشمند در برابر حملات حرارتی نیز ارائه کرده است.