Omuz sörfü (bilgisayar güvenliği) - Shoulder surfing (computer security)

İçinde bilgisayar Güvenliği, omuz sörfü bir tür sosyal mühendislik elde etmek için kullanılan teknik bilgi gibi kişisel kimlik numaraları (PIN'ler), şifreler ve diğer gizli veriler, bir cihazdaki tuş vuruşlarından veya konuşulan ve duyulan hassas bilgilerden kurbanın omzunun üzerinden bakarak, aynı zamanda kulak misafiri.[1][2]


Yöntemler ve tarih

Bu saldırı, yakın mesafeden (doğrudan kurbanın omzuna bakarak) veya daha uzun bir mesafeden, örneğin bir çift dürbün veya benzer donanım.[3] Bu tekniği uygulamak için saldırganlar herhangi bir teknik beceri gerektirmez; Mağdurların çevresinin keskin bir şekilde gözlemlenmesi ve yazım düzeni yeterlidir. Kalabalık yerler, bir saldırganın kurbanı omuzlarında sörf yapması için daha olası alanlardır. 1980'lerin başında, arama kartı rakamlarını çalmak ve uzun mesafeli aramalar yapmak veya bunları piyasada orijinal alıcının ödediğinden daha ucuza satmak için ankesörlü telefonların yakınında omuz sörfü uygulandı. Ancak, günümüz teknolojilerinin ortaya çıkışı, gizli kameralar ve gizli mikrofonlar omuzda sörf yapmayı kolaylaştırır ve saldırganın uzun menzilli omuz sörfü yapması için daha fazla alan sağlar. Gizli bir kamera, saldırganın tüm oturum açma sürecini ve kurbanın diğer gizli verilerini yakalamasına olanak tanır ve bu da sonuçta maddi kayba veya kimlik Hırsızı.[4] Omuz sörfü, mağdurun dikkatini çekmeden bilgiyi gözlemlemek daha kolay olduğu için kalabalık yerlerde meydana gelme olasılığı daha yüksektir.[5] İki tür omuz sörfü saldırısı vardır: kimlik doğrulama bilgilerinin kimlik doğrulama sırasını doğrudan izleyen bir kişi tarafından elde edildiği doğrudan gözlem saldırıları ve kimlik doğrulama bilgilerinin daha sonra analiz için kimlik doğrulama dizisinin kaydedilmesiyle elde edildiği kayıt saldırıları. cihazı açmak için. Parola veya PIN girişiyle ilgili tehditlerin yanı sıra, günlük durumlarda elde taşınan mobil cihazlardaki özel içeriği ortaya çıkarmak için omuz sörfü de yapılır; omuz sörfü görsel içeriğinin, kullanıcının hassas bilgilerini ve hatta üçüncü şahıslar hakkındaki gizli bilgileri sızdırdığı tespit edildi.[6]

Karşı önlemler

Bakış tabanlı şifre girişi

Bakış tabanlı şifre girişi için temel prosedür, normal şifre girişine benzer, tek fark, kullanıcının bir tuş yazmak veya ekrana dokunmak yerine, istenen her karaktere veya tetikleme bölgesine sırayla bakmasıdır (gözle yazma ile aynı). Bu nedenle yaklaşım, hem karakter temelli bir ekran klavyesi kullanarak ve araştırıldığı gibi grafiksel parola düzenleri ile parolalar.[7] Kullanılabilirliği ve güvenliği sağlamak için çeşitli hususlar önemlidir. Göz izleme teknolojisi, 1900'lerin başındaki başlangıcından bu yana uzun bir yol kat etti.[8] Son teknoloji göz izleyiciler, engelsiz, uzaktan kumanda sunar video tabanlı 1˚ görsel açı doğruluğu ile göz takibi. Göz izleyiciler, bilgisayarla görmenin özel bir uygulamasıdır. Kullanıcının gözlerini izlemek için bir kamera kullanılır. Bir veya daha fazla kızılötesi ışık kaynağı, kullanıcının yüzünü aydınlatır ve ışık kaynağının korneadaki yansıması olan bir parıltı üretir. Kullanıcı farklı yönlere baktıkça göz bebeği hareket eder ancak pırıltının korneadaki konumu sabit kalır. Gözbebeği merkezinin ve parıltının göreceli hareketi ve konumu, bakış vektörünü tahmin etmek için kullanılır ve bu daha sonra ekran düzlemindeki koordinatlara eşlenir.

Araştırmacılar, bakış tabanlı şifre girişi için öne bakan kameradan yararlanarak mobil cihazlarda omuz sörfüne karşı koymanın yollarını önerdiler. Örneğin, GazeTouchPIN [9] ve GazeTouchPass [10] bakış girişini göz hareketleri şeklinde sola / sağa birleştirin ve ekrandaki düğmelere dokunarak girişe dokunun. Bu yöntemler, geleneksel dokunmaya dayalı girdilerden (örneğin, PIN ve Kilit Kalıpları) daha güvenlidir çünkü omuz sörfçülerinin (1) kullanıcının gözlerini gözlemlemesini, (2) kullanıcının dokunma girişini gözlemlemesini ve (3) gözlemleri birleştirmesini gerektirir.

Albüm mekanizması boyama

Resim Albüm Mekanizması, hem hatırlama hem de tanıma özelliklerine sahip bir anti-omuz sörf mekanizmasıdır. grafik teknikler. Aşağıdakileri içeren normal bir PIN veya şifre kullanmak yerine alfanümerik karakterler, kullanıcılar sistemin kilidini açmak için hatırladıkları resmi veya rengi (sistemin kurulumu sırasında "favori resim" olarak seçilir) seçerler. Bu omuz sörfü önleyici güvenlik yöntemi, kullanıcıların tercihlere olan yakınlığına ilişkin anket sonuçlarına dayanarak geliştirilmiştir.[11] ve çocukların resimleri boyama şeklini gözlemleyerek. Ortaya çıkan mekanizma, kullanıcı tercihleri ​​anketinden geliştirildi ve sonuç, şifre oluşturma yöntemleri olan Swipe Scheme, Color Scheme ve Scot Scheme adlı üç giriş şeması oluşturdu. Her bir giriş şeması aynı değildir ve tercih ettiği giriş şemasını seçmek kullanıcıya kalmıştır. Kaydırma Şeması şurada uygulanmaktadır: Microsoft Windows 8 ve sonraki sürümlerde Resim Parolası olarak bilinir; ancak kullanıcının yeterince güvenli bir jest kullanmasını gerektirdiği için eleştirilere yol açtı.[12]

Giriş ŞemalarıGiriş Yöntemleri
Kaydırma ŞemasıResimleri kaydırın
Renk uyumuResme dokunduktan sonra renkli kutuları seçin.
Scot ŞemasıResmi kaydırın ve bu arada resimlere dokunun ve renkli kutuları seçin

Gizli musluk yöntemi

Omuz sörfü riskinin düşük olduğu hassas bilgilere erişim için, gizli tıklama yöntemi, diğer kişiler giriş sürecini görüntülemeye çalışsa bile giriş sırasında kimlik doğrulama bilgilerini açığa çıkarmayan bir teknik önerir. Ek olarak, gizli gözlem riski, diğer kişilerin doğrudan gözlemi ile sınırlı değildir, çünkü kamera kayıtları aynı zamanda tehdit. Bu nedenle, kameralar ve / veya diğer kişiler bilgi giriş sürecini defalarca gözlemlese bile kimlik doğrulama bilgilerinin çalınmasını önlemek için kimlik doğrulama sürecini daha karmaşık hale getirmek gerekir. Pek çok uygulamada uygulanan gizli musluk yönteminin en basit biçimlerinden biri akıllı telefonlar gibi biyometrikler parmak izi taraması veya bir omuz sörfçüsü tarafından kopyalanamayan yüz tanıma.

Gizli dokunma kimlik doğrulama yöntemi, simgeleri veya başka bir sistem biçimini kullanabilir. Gizli bir musluk sisteminin hedefleri şunlardır:

  • Gizli gözlem direnci: Kimlik doğrulama işlemi birçok kez gerçekleştirilse bile, kimlik doğrulama bilgilerinin diğer kişilere açıklanmasını önleyen bir düzeyde direnç gücünü koruyun.
  • Saldırı direncini kaydetme: Kimlik doğrulama işlemi tam olarak kaydedilmiş olsa bile, direnç gücünü kimlik doğrulama bilgilerinin diğer kişiler tarafından analiz edilmesini önleyen bir düzeyde tutun.
  • Kaba kuvvet saldırısı direnç: Direnç gücünü, kimlik doğrulama işleminin dört basamaklı bir PIN'e kaba kuvvet saldırısından daha kolay bozulmasını önleyen bir düzeyde tutun. Bu politika, ISO 9564-1'de belirtilen standardı izler.[13]
  • Kullanılabilirlik: Operatörlerin kimlik doğrulama işlemini kolaylıkla gerçekleştirmesine izin veren bir kullanılabilirlik düzeyini koruyun.

Alfasayısal ve grafik şifreler arasındaki risklerin karşılaştırılması

Birincil faydası grafik şifreler nazaran alfanümerik şifreler geliştirilmiş hatırlanabilirliktir. Bununla birlikte, bu avantajın potansiyel zararı, artan omuz sörfü riskidir. Grafik veya resim kullanan grafik şifreler [14] PassFaces, Jiminy gibi,[15] VIP, Geçiş Noktaları [16] veya AVAP gibi bir grafik ve ses kombinasyonu, uygulamada bir şekilde hafifletilmedikçe, muhtemelen bu artan riske tabidir. Sonuçlar, hem alfasayısal hem de grafiksel parola tabanlı kimlik doğrulama mekanizmalarının, belirli önlemler alınmadığı sürece omuz sörfüne karşı önemli bir güvenlik açığına sahip olabileceğini göstermektedir. Sözlü olmayan parolaların en güvenli parola tabanlı kimlik doğrulama türü olduğu yönündeki yaygın inanışa rağmen, sonuçlarımız, bunun aslında omuz sörfü için en savunmasız yapılandırma olduğunu gösteriyor.

PIN girişi

Kimlik Numarası (veya kısaca PIN), bir kişiden parayı çekerken veya yatırırken çeşitli durumlarda kimliğini doğrulamak için kullanılır. bankamatik, bir telefonun, bir kapının, bir dizüstü bilgisayar veya a PDA. Bu kimlik doğrulama yöntemi bir iki adımlı doğrulama süreci bazı durumlarda, omuz sörfü saldırılarına karşı savunmasızdır. Saldırgan, PIN kodunu ya doğrudan kurbanın omzuna bakarak ya da tüm oturum aç süreç. Camlı cep telefonları, parlak ekranlar gibi öğelerde kullanıcı ekranda lekeler bırakarak bir PIN kodu ortaya çıkarabilir.[17] Bazı son derece gelişmiş saldırılar, girilen PIN'in termal imzasını görmek için termal kameralar kullanır.[18] Bu nedenle, çeşitli omuz sörfüne dirençli PIN giriş metodolojileri, kimlik doğrulama işlem güvenli.[19] Örnekler arasında, çoğu ATM'de uygulanan bir sistem olan kullanıcının mahremiyetini korumak için kapaklı PIN pedleri yer alır.[20] ATM'lerde ve bazı giriş sistemlerinde kullanılan bir başka örnek, metal PIN pedlerinin kullanılmasıdır, bu da malzemelerinden dolayı termal kamera saldırılarını neredeyse imkansız hale getirir.[21]

Karşı önlem testi

Bilişsel tuzak kapısı oyununun içinde üç grup vardır: bir makine doğrulayıcı, bir insan kanıtlayıcı ve bir insan gözlemci. Her grubun amacı, bir gözlemcinin PIN'de omuz sörfü yapmaya çalışırken makine doğrulayıcısı tarafından sorulan soruları yanıtlayarak bir insan kanıtlayıcının PIN'i girmesi gerektiğidir. Karşı tedbirler tasarım gereği kolayca gasp edilmesi daha zor olduğundan, gözlemcinin bir kayıt cihazı olmadıkça tüm oturum açma sürecini hatırlaması kolay değildir.[22]

Ayrıca bakınız

Referanslar

  1. ^ "Omuz sörfü - omuzda sörfün tanımı ... (tarih yok)". Alındı 21 Ekim, 2016.
  2. ^ "Omuz Sörfü Nedir?". www.experian.com. 2018-04-30. Alındı 2020-02-23.
  3. ^ Kee, Jared (28 Nisan 2008). "Sosyal Mühendislik: Kaynağı Manipüle Etmek". SANS Enstitüsü InfoSec Okuma Odası. Alındı 24 Ekim 2016.
  4. ^ Uzun Johnny (2008). "Omuz sörfü". Tech Hacking Yok: Sosyal Mühendislik, Dumpster Dalışı ve Omuz Sörfü Rehberi. Burlington, MA: Syngress. s. 27–60.
  5. ^ Goucher, Wendy (Kasım 2011). "Arkanıza bakın: Omuz sörfünün tehlikeleri". Bilgisayar Dolandırıcılığı ve Güvenliği. 2011 (11): 17–20. doi:10.1016 / s1361-3723 (11) 70116-6.
  6. ^ Eiband, Malin; Khamis, Mohamed; von Zezschwitz, Emanuel; Hussmann, Heinrich; Alt, Florian (Mayıs 2017). "Vahşi Doğada Omuz Sörfünü Anlamak: Kullanıcılardan ve Gözlemcilerden Hikayeler" (PDF). CHI '17 - 2017 CHI Bilişim Sistemlerinde İnsan Faktörleri Konferansı Bildirileri: 4254–4265. doi:10.1145/30255654.3025636 (etkin olmayan 2020-09-10). Alındı 3 Mayıs, 2018.CS1 Maint: DOI, Eylül 2020 itibariyle devre dışı (bağlantı)
  7. ^ Suo, X. ve Y. Zhu. Grafik Şifreler: Bir Anket. Yıllık Bilgisayar Güvenliği Uygulamaları Konferansı Bildirilerinde. Tucson, Arizona, ABD, 2005.
  8. ^ Jacob, RJK ve KS Karn, İnsan Bilgisayar Etkileşiminde ve Kullanılabilirlik Araştırmalarında Göz İzleme: Sözleri Yerine Getirmeye Hazır: Göz Hareketi Araştırmalarının Bilişsel ve Uygulamalı Yönleri, J. Hyona, R. Radach ve H. Deubel, Editörler . Elsevier Science: Amsterdam. s. 573–605, 2003
  9. ^ Khamis vd. GazeTouchPIN: Güvenli Multimodal Kimlik Doğrulaması Kullanarak Mobil Cihazlardaki Hassas Verileri Koruma. 19. ACM Uluslararası Multimodal Etkileşim Konferansı Bildirilerinde (ICMI 2017) http://www.mkhamis.com/data/papers/khamis2017icmi.pdf
  10. ^ Khamis vd. GazeTouchPass: Mobil Cihazlarda Bakış ve Dokunmayı Kullanan Çok Modlu Kimlik Doğrulama. 34. Yıllık ACM Konferansı, Hesaplama Sistemlerinde İnsan Faktörlerine İlişkin Genişletilmiş Özetler (CHI 2016 EA) 2016 Bildirilerinde. http://www.mkhamis.com/data/papers/khamis2016chi.pdf
  11. ^ L. K. Seng, N. Ithnin ve H. K. Mammi, "Kullanıcının Tercihe Bağlılığı: Mobil Cihaz Grafik Şifre Şemasının Omuz Sörfü Önleme Mekanizmasının Özellikleri", International Journal of Computer Science Questions, cilt. 2, hayır. 8, (2011) https://www.ijcsi.org/papers/IJCSI-8-4-2-255-261.pdf
  12. ^ Spector, Lincoln; Editör, Katkıda Bulunan; Çözümler, PCWorld | Hakkında |; İpuçları; PC için Sorunlar, Cevaplar (2016-03-14). "Windows 10 resim şifresi: Güvenliğiyle ilgili kendi sonuçlarınızı çıkarın". Bilgisayar Dünyası. Alındı 2020-02-23.CS1 bakimi: ek metin: yazarlar listesi (bağlantı)
  13. ^ Suo, X. ve Y. Zhu. Grafik Şifreler: Bir Anket. Yıllık Bilgisayar Güvenliği Uygulamaları Konferansı Bildirilerinde. Tucson, Arizona, ABD, 2005.
  14. ^ R. C. Thomas, A. Karahasanovic ve G. E. Kennedy, "An Investigation into Keystroke Latency Metrics as an Indicator of Programming Performance," 2005, Newcastle, Avustralya 2005 Australasian Computing Education Conference konferansında sunulmuştur.
  15. ^ L. K. Seng, N. Ithnin ve H. K. Mammi, "Kullanıcının Tercihe Bağlılığı: Mobil Cihaz Grafik Şifre Şemasının Omuz Sörfü Önleme Mekanizmasının Özellikleri", International Journal of Computer Science Questions, cilt. 2, hayır. 8, (2011)
  16. ^ R. C. Thomas, A. Karahasanovic ve G. E. Kennedy, "An Investigation into Keystroke Latency Metrics as an Indicator of Programming Performance," 2005, Newcastle, Avustralya 2005 Australasian Computing Education Conference'da sunulmuştur.
  17. ^ "Akıllı telefon dokunmatik ekranlarında saldırıları lekeleyin | Saldırı teknolojilerine ilişkin 4. USENIX konferansının bildirileri" (PDF). dl.acm.org. Alındı 2020-07-25.
  18. ^ "Termal görüntüleme cihazları PIN'lerinizi ve şifrelerinizi çalabilir". www.consumeraffairs.com. 2014-09-02. Alındı 2020-07-25.
  19. ^ Lee, M. (2014, Nisan). İnsan Omuzunda Gezinmeye Dirençli PIN Girişinde Güvenlik Kavramları ve Gelişmiş Yöntem. Bilgi Adli Tıp ve Güvenlik IEEE İşlemleri, 9 (4), 695–708. doi: 10.1109 / tifs.2014.2307671
  20. ^ "Anket: Çoğu kart sahibi, PIN'lerini korumak için ATM PIN pedini kapatır". www.atmmarketplace.com. 2011-05-26. Alındı 2020-07-25.
  21. ^ "Termal kameralarla ATM PIN'lerini çalmak". Çıplak Güvenlik. 2011-08-17. Alındı 2020-07-25.
  22. ^ Roth, V. ve Richter, K. (2006). Omuz sörfünden nasıl korunulur. Bankacılık ve Finans Dergisi, 30 (6), 1727-1751. doi: 10.1016 / j.jbankfin.2005.09.010