Spadki cen specjalistycznych urządzeń technologicznych sprzyjają przestępcom. Kiedyś kamera termowizyjna kosztowała kilkadziesiąt tysięcy dolarów, dziś podobnie działająca przystawkę do smartfona możemy kupić za 250 dolarów.
Wiele systemów jest oparte na hasłach dostępu, PIN-ach, kodach natomiast atak termowizyjny jest pozbawiony jakiejkolwiek ingerencji, nic nie instalujemy na urządzeniu ofiary, nie włamujemy się. - To jest bardzo korzystne dla atakującego, bardzo niekorzystne dla użytkownika. I zgodnie z naszymi badaniami szalenie skuteczne. Wystarczy nakładka do telefonu za 250 dolarów, która robi z naszego prostą kamerę termowizyjną i doskonałe narzędzie ataku – dodaje Wojciech Wodo, z Katedry Informatyki, Wydział Podstawowych Problemów Techniki, Politechnika Wrocławska.
Schemat ataku jest prosty. Osoba wpisująca na PIN-padzie kod do karty lub zatwierdzająca transakcję, pozostawia na klawiaturze ślady cieplne na poszczególnych klawiszach, z których korzystała. Zgodnie badaniami ekspertów z Politechniki Wrocławskiej taki stan utrzymuje się nawet do minuty.
Wystarczy, że atakujący zrobi zdjęcie smartfonem z nakładką termowizyjną a będą widoczne ostatnie klawisze, jakie naciskała ofiara. Podobnie można zrobić z wykorzystaniem klawiatury numerycznej do komputera. Trzeba jednak zaznaczyć, że atak powiedzie się w przypadku wykorzystania klawiszy plastikowych lub z innych sztucznych materiałów, bowiem aluminiowe klawisze nie pozostawiają śladów termicznych. Stąd większość bankomatów wykorzystuje właśnie klawisze z aluminium.
Nadal jednak dostęp do danych może uzyskać osoba podająca nam terminal płatniczy, czy ktoś stojący za nami w kolejce w sklepie, gdzie taki terminal jest wykorzystywany. Podobny atak może mieć w biurze czy urzędzie. Oczywiście sama znajomość PIN-u to połowa sukcesu, ale często kradzież karty jest najprostszym elementem takiego ataku. Zdaniem ekspertów jednym z prozaicznych, dosyć prostych ale może i genialnych sposobów jest przytrzymanie dłoni przez dłuższy moment na klawiszach PIN-pada. Trudno ocenić, jaką to wywoła reakcję sprzedawcy czy „współkolejkowiczów” w sklepie, ale może okazać się bardzo skuteczne. Co zatem można zmienić, aby trzymać rękę na pulsie a nie na PIN-padzie? Tu sporą szansą jest biometria. I to nie tylko technologie finger vein czy skanowanie tęczówki oka, ale również wykorzystanie pozostałych cech biometrycznych przy korzystaniu z bankomatu, terminala czy klawiatury.
Napisz coś na klawiaturze, a powiem ci kim jesteś – można by parafrazować klasyków. Często nawet nie zdajemy sobie sprawy jak łatwo można pozyskać nasze dane biometryczne i co może być naszymi danymi biometrycznymi.
Warto zauważyć, że także sposób korzystania z klawiatury, szybkość pisania, nacisku na konkretne klawisze może być cechą biometryczną. Można powiedzieć, że dziś klawiatury posiadają wszystkie urządzenia elektroniczne. Może to być klawiatura fizyczna, może to być klawiatura wirtualna. Mogą to być klawiatury wbudowane w urządzenia tzw. PINpady o ograniczonej liczbie klawiszy lub zewnętrzne. Sposób z korzystania z klawiatury jest zatem naszą cechą biometryczną. Także szybkość pisania na niej. Gdyby urządzenie rozpoznawało nas po sposobie wpisywania kodu PIN, a nie tylko po samym PIN-ie, kradzież danych poprzez kamerę termowizyjną na nic by się zdała, gdyż pieniądze nie byłyby wypłacone. Oczywiście nie dotyczy to karty kredytowej, gdzie mamy na odwrocie kod CVV.
Dodajmy, że dodatkowe cechy wykorzystywane w identyfikacji mogłyby podnieść jeszcze wyżej bezpieczeństwo naszych danych jak karty płatnicze wyposażone w czytnik linii papilarnych, kamery w bankomatach odczytujące skan tęczówki czy próbkę głosu klienta. Wszystko zależy jednak od najważniejszego wyzwania stojącego przed producentami i operatorami technologii biometrycznych. Jak zabezpieczyć cechy biometryczne poszczególnych użytkowników, aby nigdy nie stały się bronią skierowaną przeciwko nim.