Surf a l’espatlla

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca

En seguretat informàtica , la navegació a l’espatlla és una tècnica d’ enginyeria social que s’utilitza per obtenir informació com codis PIN , contrasenyes i altres dades confidencials observant la víctima per darrere [1] . L'atac es pot realitzar tant a prop (observant directament la víctima) com des de més lluny, per exemple mitjançant l'ús de càmeres en circuit tancat , binoculars o dispositius similars [2] . L’atac amb aquesta tècnica no requereix cap habilitat especial; és suficient una observació acurada del que envolta la víctima i els moviments que realitza amb la mà mentre escriu un PIN. Els llocs concorreguts són els llocs on és més fàcil atacar una víctima mitjançant el surf a l’espatlla. Als Estats Units , a principis dels anys vuitanta, es practicava el surf a l’espatlla per robar el número d’identificació de les targetes telefòniques públiques, per tal de revendre’l a preus més baixos o fer trucades de llarga distància. L’aparició de tecnologies modernes, com ara càmeres ocultes i micròfons, faciliten la realització dels atacs de surf a l’espatlla des de la distància. Una càmera oculta permet a l'atacant registrar tot el procés d'inici de sessió i altres dades confidencials de la víctima, que pateix pèrdues de diners o robatori d'identitat [3] .

Ocurrències

El surf a l’espatlla sol tenir lloc en llocs concorreguts, ja que és més fàcil observar una víctima sense cridar l’atenció [4] . Es produeix un atac de navegació a l’espatlla, per exemple, durant la inserció del PIN en un taulell per retirar diners o en un TPV , l’escriptura d’una contrasenya en un punt d’Internet , a les biblioteques públiques i universitàries, en els registres automàtics de l’ aeroport. , en introduir el codi en un armari públic llogat a piscines o aeroports , escrivint el PIN o la contrasenya al telèfon intel·ligent [5] .

Una enquesta al llibre blanc de professionals de TI [6] per a Secure va trobar que:

  • El 85% dels enquestats va admetre haver vist informació en una pantalla que no estava autoritzada a veure
  • El 82% va admetre que persones no autoritzades podrien haver vist informació a la pantalla
  • El 82% tenia poca o cap certesa que les persones de la seva organització protegissin la pantalla de ser vistes per persones no autoritzades

Prevenció

Una persona que cobreix un teclat automàtic amb la mà mentre escriu el PIN
Una persona que cobreix un teclat automàtic amb la mà mentre escriu el PIN

Alguns caixers automàtics tenen pantalles sofisticades que desaconsellen l’obtenció d’informació mitjançant el surf a l’espatlla. Les pantalles es fan més fosques quan es veuen des d’un angle determinat, l’única manera de llegir el que es mostra és situar-se al davant. Tot i que això impedeix que es pugui veure alguna informació, com ara el saldo del compte actual, no impedeix espiar el codi PIN, ja que normalment s’escriu i no es mostra a la pantalla en text clar (sinó que es substitueix per asteriscs).

Alguns models de TPV tenen un teclat encastat i la majoria envoltats per un marc de goma. Això fa que la navegació a l’espatlla sigui molt més difícil, ja que, a diferència dels models anteriors, cal mirar el teclat gairebé directament. La norma ISO 9564-1 , la norma internacional per a la gestió de PIN, descriu aquesta mesura de seguretat de la següent manera [7] :

L’observació visual del PIN és la forma més habitual de posar en perill un PIN. La privadesa a l’hora d’escriure un PIN s’aconsegueix tapant el teclat o mantenint el TPV de manera que les tecles estiguin cobertes pel cos del client ...

Els TPV sovint disponibles a botigues, supermercats i benzineres són més difícils d’utilitzar evitant el surf a l’espatlla, ja que se solen veure a la vista des dels taulells de caixa [8] .

Quan feu una transacció, assegureu-vos de situar-vos al costat de la paret perquè ningú no miri el sistema. [9] Aneu amb compte amb el vostre entorn, ja que hi pot haver càmeres. [10] Utilitzeu pel·lícules de protecció com les que fan servir els banquers que amaguen la pantalla de tothom, excepte de l'usuari del sistema. [11] Feu servir una mà per tapar el teclat quan introduïu el PIN en un caixer automàtic. [12] Tingueu en compte el vostre entorn [13] . Es recomana no iniciar sessió en comptes personals en públic. [14] En un lloc públic, busqueu un lloc tranquil per treballar. [15] No reveleu contrasenyes a ningú. [16]

Es pot advertir a un usuari de caixer automàtic d’un atac de surf a l’espatlla mentre l’atac estigui en curs. A continuació, pot prendre una decisió sobre què fer i tapar qualsevol informació sensible. Les vores de la pantalla poden parpellejar per avisar-vos si s’acosta una persona. Es poden utilitzar colors per detallar el missatge: es pot utilitzar el vermell si la persona que s’apropa mira la pantalla i el verd si la persona és a prop però no la mira. Una altra manera és crear una ombra 3D de la persona que mira a la pantalla de l'usuari. [4]

Quan feu grans transaccions de diners, assegureu-vos que esteu molt allunyats d'altres persones. Aquests delictes no es registren sovint, ja que moltes persones no els denuncien a la policia. [17] No respongueu a correus electrònics de pesca (suplantació d' identitat) ni a trucades telefòniques de pretext . Cap banc o institució financera sol·licitarà informació sensible mitjançant trucades o correus electrònics. Eviteu enviar informació confidencial per correu electrònic. Si es presenta una situació en què necessiteu enviar documents financers, envieu-los per correu certificat i assegureu-vos que teniu proves que la institució financera els ha rebut. Si el compte ja s'ha vist compromès, atureu immediatament totes les transaccions d'aquest compte. [18]

Aneu amb compte amb els caixers automàtics

Mentre utilitzeu un caixer automàtic, es recomana mantenir-vos a prop del taulell mentre introduïu el vostre PIN. Com ja s'ha esmentat anteriorment, és millor tapar el teclat amb una sola mà mentre escriviu. De vegades pot haver-hi una càmera de vídeo situada al costat del teclat que registri les accions realitzades. Si el caixer automàtic que utilitzeu es troba en un lloc ple de gent i algú intenta espiar-vos, el millor és deixar de fer transaccions des d’aquest caixer automàtic i sortir-ne. No accepteu mai ajuda d’estranys, encara que semblin agradables. No us distreu mai. De vegades, la gent posa dispositius que registren totes les dades de la targeta. Aquests detalls els utilitza posteriorment qui ha col·locat el dispositiu per dur a terme transaccions fraudulentes. Si us trobeu en aquesta situació, truqueu al banc i informeu del problema mentre encara esteu a prop del caixer automàtic. Sempre és una bona idea desar el número d’atenció al client les 24 hores. Després d’una transacció, el primer que cal fer és posar els diners i la targeta a la bossa. No llenceu els rebuts de l’ATM sense abans esquinçar-los o, almenys, destruir la informació sensible que hi ha escrita. [19] No escriviu mai un xec a corre-cuita. És millor no escriure xecs a les hores punta durant la temporada de compres. De vegades, és millor utilitzar només una targeta de la compra, ja que ajuda tant a controlar les despeses com a verificar si hi ha activitat sospitosa en altres comptes. [20]

Metodologies

Introducció de contrasenya d'un cop d'ull

El procediment bàsic per introduir una contrasenya de cop d’ull és similar a l’escriptura normal, excepte que en lloc d’utilitzar un teclat o pantalla tàctil, l’usuari dirigeix ​​la seva mirada a cada caràcter o àrea desitjada en la seqüència adequada. Per tant, aquest enfocament es pot utilitzar tant per a contrasenyes basades en caràcters (mitjançant un teclat en pantalla) com per a contrasenyes gràfiques, tal com s’explica a l’enquesta [21] . Cal tenir en compte diverses consideracions per garantir la usabilitat i la seguretat. Les tecnologies d’ oculometria han fet grans progressos des dels seus orígens a principis del segle XX. [22] Els dispositius de seguiment ocular més sofisticats permeten estalviar espai i permeten un seguiment remot amb una precisió de 1 ° d'angle de visió. Els rastrejadors oculars són una aplicació especial de visió per computador . S'utilitza una càmera de vídeo per controlar els ulls de l'usuari. Una o més llums d'infrarojos il·luminen la cara de l'usuari i produeixen un reflex brillant de la llum sobre la còrnia. Quan l'usuari dirigeix ​​la seva mirada, les pupil·les es mouen, però la posició de la resplendor sobre la còrnia roman fixa. El moviment relatiu, la posició central de la pupil·la i la brillantor s’utilitzen per estimar el vector de la mirada, que després s’assigna a les coordenades de la pantalla.

Mecanisme de l'àlbum a pintar

L’àlbum és un mecanisme que es pot pintar contra la navegació a l’espatlla basat en el reconeixement de tècniques de contrasenyes gràfiques que implementa tant tècniques de reconeixement (reconeixement) que tècniques basades en el record (recall), desenvolupades en funció dels resultats de les opcions d’afinitat de l’usuari [23] i sobre l’observació del comportament dels nens mentre es pinta una figura. Els resultats de l'enquesta d'afinitat d'usuaris són l'arquitectura del mecanisme. L’observació va conduir a la creació de tres sistemes anomenats Swipe Scheme , Color Scheme i Scot Scheme . Al mecanisme del llibre de pintura, aquests tres sistemes són els mètodes de creació de contrasenyes. Cada sistema d’entrada no és idèntic i és l’usuari qui triarà quin utilitzar segons les seves preferències.

Sistemes d’entrada Mètodes d'entrada
Esquema de lliscament Feu lliscar les figures
Esquema de colors Toqueu la figura i seleccioneu els quadres de colors
Esquema escocès Feu lliscar el dit sobre la figura i, alhora, toqueu les altres figures i seleccioneu els quadres de colors

Tot i que els usuaris tenen la possibilitat de triar el sistema d’entrada que prefereixen, per motius de seguretat és recomanable triar-ne més d’un per a la generació de contrasenyes.

Contrasenyes gràfiques

Per superar els inconvenients de l'autenticació basada en text, els investigadors van desenvolupar un nou sistema que utilitza imatges com a contrasenyes. Aquest mètode s’utilitza com a alternativa a les contrasenyes alfanumèriques. Els mètodes d'autenticació actuals es classifiquen en tres categories principals: autenticació basada en token , autenticació basada en biometria i autenticació basada en el coneixement. Una comparació entre els tipus de contrasenyes gràfiques actuals classifica les contrasenyes gràfiques en dues categories: les basades en el reconeixement i les basades en recordar ( recordar ). Els resultats responen a preguntes com ara "És tan segura una contrasenya gràfica com una contrasenya de text?" També intenta trobar la resposta a la pregunta "quins són els principals problemes de disseny i implementació de les contrasenyes gràfiques?" Aquest estudi és útil per a mètodes que utilitzen contrasenyes gràfiques, vol trobar alternatives per superar aquests problemes. [24]

Mètode secret tap

El toc és l’acció de tocar una pantalla tàctil ( pantalla tàctil ).

A causa de la importància de prendre mesures per evitar el surf a l’espatlla, el mètode secret tap (literalment "el tacte secret ") proposa una tècnica que no exposa dades i codis quan s’escriu, fins i tot si la gent intenta espiar-los. A més d'això, és important tenir en compte que el risc de ser observat no es limita a l'observació directa d'altres persones, sinó que també hi ha el risc de ser gravat per una càmera de vídeo. En conseqüència, cal complicar el procés d’autenticació per evitar el robatori d’informació sensible en presència de càmeres de vídeo i / o persones que observin les dades introduïdes (fins i tot repetidament). Hi ha dos tipus d’atacs de surf a l’espatlla: atacs per observació directa (les dades s’obtenen observant directament la víctima) i atacs mitjançant gravacions de vídeo (l’atacant registra la seqüència d’autenticació i l’analitza més endavant).

El mètode secret tap utilitza icones i una pantalla tàctil de cristall líquid . Els objectius i la política de disseny de l’aixeta secreta són:

  • Resistència a l’espionatge : té un nivell de resistència que no permet que altres persones vegin la informació, encara que el procés d’autenticació es faci més d’una vegada.
  • Resistència a atacs mitjançant gravacions de vídeo : té un nivell de resistència que impedeix que altres persones analitzin dades d'autenticació, fins i tot si el procés d'autenticació s'ha registrat completament.
  • Resistència a la força bruta : té un nivell de resistència que impedeix piratejar el procés d’autenticació més fàcilment que un atac de força bruta a un codi PIN de quatre dígits. Aquesta política garanteix que es respecti la norma ISO 9564-1 [25] .
  • Usabilitat : manté un nivell d’usabilitat de manera que el procés d’autenticació es pugui fer amb calma.

Comparació de riscos entre contrasenyes alfanumèriques i contrasenyes gràfiques

El principal avantatge de les contrasenyes gràfiques sobre les alfanumèriques és que són més fàcils de memoritzar. No obstant això, l’inconvenient potencial d’aquest avantatge és l’augment del risc d’atacs de surf a l’espatlla. Les contrasenyes gràfiques que utilitzen gràfics o imatges [26] com PassFaces, Jiminy, [23] VIP, Passpoints [26] o una combinació de gràfics i àudio com AVAP estan sotmeses a un major risc, tret que algú, d'alguna manera, "mitigar" la seva implementació. Els resultats indiquen que tant les contrasenyes alfanumèriques com les basades en gràfics presenten una vulnerabilitat important per al surf a l’espatlla, tret que es prenguin certes precaucions. Tot i la creença comuna que l’ús d’una paraula que no és del diccionari és la forma més segura de generar una contrasenya, els nostres resultats mostren que aquesta és la més vulnerable a la navegació a l’espatlla.

Introduint el PIN

El PIN s’utilitza per autenticar-se en diverses situacions, com ara quan es fa una retirada d’efectiu o es fa un ingrés en un taulell, es desbloqueja un telèfon, una porta, un ordinador portàtil o un PDA . Un atacant pot obtenir el PIN mirant per sobre de l'espatlla de la víctima o registrant tot el procés d' inici de sessió . Com a resultat, s’han proposat diverses metodologies d’entrada de PIN que fan que el procés d’ autenticació sigui més segur. [27]

Joc de la trampa cognitiva

El joc de trampa cognitiva té tres grups: un verificador de màquines , un prover humà i un observador humà . L’objectiu de cada grup és el següent: qui proporciona les proves, ha d’introduir el PIN responent a les preguntes formulades per la màquina per a la seva verificació, mentre que l’observador intenta observar la interacció entre la màquina i l’home per conèixer el PIN. . S'assigna un testimoni al prover per tal de demostrar de manera única la seva identitat. Com que el prover ha d’autenticar-se al testimoni, no és fàcil per a l’observador recordar tot el procés d’inici de sessió, tret que tingui un dispositiu per registrar el procés. El mecanisme cognitiu de la porta de trampa és resistent als atacs directes de surf a l’espatlla, però no als atacs que fan servir el registre. [28]

Nota

  1. ^ surf a l'espatlla | Definició d'espatlla surf en anglès per Oxford Dictionaries , a Oxford Dictionaries | Anglès . Consultat el 5 de novembre de 2017 .
  2. Kee, J. (28 d'abril de 2008). Sala de lectura de l’InfoSec de l’Institut SANS , a sans.org .
  3. ^ Long, J., i Mitnick, KD, Surf a l'espatlla. A No tech hacking: Una guia d’enginyeria social, busseig de contenidors i surf d’espatlles , Burlington, MA: Syngress, 2008, pp. 27-60.
  4. ^ a b Wendy Goucher, Mira darrere teu: els perills del surf a l'espatlla , a Computer Fraud & Security , vol. 2011, núm. 11, pàgs. 17-20, DOI : 10.1016 / s1361-3723 (11) 70116-6 . Consultat el 5 de novembre de 2017 .
  5. ^ (EN) Xin Luo, Richard Brody i Alessandro Seazzu, Enginyeria social: el factor humà descuidat per a la gestió de la seguretat de la informació a la revista Information Management Management Journal (IRMJ), vol. 24, n. 3, 2011, pàgs. 1-8, DOI : 10.4018 / irmj.2011070101 . Consultat el 5 de novembre de 2017 .
  6. Visual White Security White Paper ( PDF ), a European Visual Data Security (arxiu de l' original el 13 de maig de 2014) .
  7. ^ ISO 9564-1: 2011 Serveis financers - Gestió i seguretat del número d'identificació personal (PIN) - Part 1: Principis bàsics i requisits per als PIN en sistemes basats en targetes Annex B.3 Privadesa durant l'entrada de PIN .
  8. ^ Barney, Karen, Seguretat de la informació: Qui està mirant per sobre de l'espatlla? .
  9. ^ Una enquesta sobre esquemes de contrasenyes gràfiques basades en texts resistents al surf a l'espatlla ( PDF ), a International Journal of Science and Research (IJSR) , vol. 4, núm. 11, pàgs. 2418–2422, DOI : 10.21275 / v4i11.nov151759 .
  10. Wiese, O., i Roth, V., Trampes dels estudis de surf a l'espatlla. Proceedings 2015 Workshop on Usable Security , 2015, DOI : 10.14722 / usec.2015.23004 .
  11. Manu Kumar, Tal Garfinkel, Dan Boneh, Terry Winograd, Reducing surf-surfing by using regard-based password entry ', Proceedings of the 3rd simposium on Usable privacy and security, ACM4 , 2007.
  12. ^ P. Shi, B. Zhu i A. Youssef, Un nou esquema d'entrada de pins contra la navegació a l'espatlla basada en la gravació. InProc. de la 3a Conferència Internacional sobre Sistemes i Tecnologies d’Informació i Seguretat Emergents (SECURWARE 2009) , a la IEEE Computer Society , Atenes / Vouliagmeni, Grècia, juny de 2009.
  13. Zhi Li, Qibin Sun, Yong Lian i DD Giusto, un disseny gràfic de contrasenyes basat en una associació resistent a l'atac d'espatlla ', Conferència Internacional IEEE sobre Multimèdia i Expo (ICME). , 2005.
  14. ^ Peipei Shi, Bo Zhu i Amr Youssef, Institut Concordia d'Enginyeria de Sistemes d'Informació. "Un esquema d'entrada de PIN rotatiu resistent a la pràctica del surf." Internet Technology and Secured Transactions, 2009. ICITST , 2009.
  15. Cheryl, Hinds i Chinedu Ekwueme, Increment de la seguretat i usabilitat dels sistemes informàtics amb contrasenyes gràfiques, Proceedings of the 45th annual annual regional region, ACM , 2007.
  16. ^ H. Tao i C. Adams, Pass-Go: Una proposta per millorar la usabilitat de les contrasenyes gràfiques. Revista internacional de seguretat de xarxes , vol. 7, 2008, pàgs. 273-292.
  17. Autor de Jose Rivera, escriptor legal de LegalMatch. (nd), robatoris a l’espatlla .
  18. ^ Drake, E., 50 més un consell per prevenir el robatori d'identitat. Chicago: Encouragement Press , 2007.
  19. ^ Surf a l'espatlla. (nd) , a yourmoney.com .
  20. ^ Cometre robatori d'identitat sobre surf a l'espatlla? (nd) , a spamlaws.com .
  21. ^ His, X. i Y. Zhu., Contrasenyes gràfiques: una enquesta. A Proceedings of Annual Computer Security Applications Conference , Tucson, Arizona, EUA, 2005.
  22. Jacob, RJK i KS Karn, Eye Tracking in HumanComputer Interaction and Usability Research: Ready to Deliver the Promises, in The Mind's Eye: Cognitive and Applied Aspects of Eye Movement Research, J. Hyona, R. Radach i H. Deubel, Editors. Elsevier Science: Amsterdam , 2003, pp. 573-605.
  23. ^ a b LK Seng, N. Ithnin i HK Mammi, Afinitat d'elecció de l'usuari: característiques del dispositiu mòbil Dispositiu de contrasenyes gràfiques Anti-Shoulder Surfing Mechanism , a International Journal of Computer Science Issues , vol. 2, núm. 8 de 2011.
  24. Henessey, C., B. Noureddin i P. Lawrence, un sistema de seguiment de la mirada dels ulls amb càmera única amb moviment lliure del cap. A Proceedings of ETRA: Eye Tracking Research and Applications Symposium , a ACM Press , San Diego, Califòrnia, EUA, 2006, pp. 87-94.
  25. ^ His, X. i Y. Zhu, Contrasenyes gràfiques: una enquesta. In Proceedings of Computer Computer Security Applications Conference , Tucson, Arizona, EUA, 2005.
  26. ^ a b RC Thomas, A. Karahasanovic i GE Kennedy, "An Investigation into Keystroke Latency Metrics as an Indicator of Programming Performance", presentat a la conferència Australasian Computing Education 2005, Newcastle, Austràlia , 2005.
  27. ^ MK Lee, Security Notions and Advanced Method for Human Shoulder-Surfing Resistant PIN-entry , in IEEE Transactions on Information Forensics and Security , vol. 9, núm. 4, abril 2014, pp. 695-708, DOI : 10.1109 / tifs . 2014.2307671 . Consultat el 6 de novembre de 2017 .
  28. Volker Roth i Kai Richter, How to fend off shoulder surfing , a Journal of Banking & Finance , vol. 30, n. 6, pàgs. 1727-1751, DOI : 10.1016 / j.jbankfin.2005.09.010 . Consultat el 6 de novembre de 2017 .

Articles relacionats