Sicurezza, occhio alle tastiere rumorose

Uno studio dimostra ed elabora un metodo precisissimo per sottrarre password ed altri dati sensibili... registrando le emissioni acustiche dei tasti. Bastano 10 minuti di registrazione per identificare fino al 96% delle parole digitate

Berkeley (USA) - Un individuo qualunque si aggira negli uffici di una banca. Si avvicina ai computer: quanto basta per non essere troppo invadente. Parla con un'impiegata e dopo dieci minuti sparisce. Il giorno dopo, gli addetti della sicurezza scoprono che il terminale di quella impiegata è stato assalito da ignoti: la trama di un thriller informatico? No: è uno scenario possibile recentemente ipotizzato dai ricercatori dell'Università di Berkeley.

Tre giovani informatici di questo prestigioso ateneo hanno pubblicato uno studio che dimostra un'insolita e preoccupante insicurezza che affligge la stragrande maggioranza delle tastiere tradizionali: il rumore prodotto dalla digitazione dei tasti può essere registrato, analizzato e tradotto con precisione quasi totale nei rispettivi caratteri alfanumerici. Stando a quanto pubblicato, l'80% delle password da 10 caratteri possono essere ricostruite dopo appena 75 tentativi.

La ricerca si basa sull'assunto che tasti differenti producono suoni differenti: la comparazione e l'analisi di questi suoni per un determinato periodo di tempo, e dieci minuti parrebbero più che sufficienti, permette di "ricostruire" parole e frasi battute su una tastiera per computer. Password e codici di carte di credito, ad esempio, potrebbero essere sottratti grazie ad una semplice "cimice".
Il metodo utilizzato dai ricercatori statunitensi, che verrà presentato nel corso di una conferenza sulla sicurezza organizzata dal DARPA, si basa sull'individuazione di certi morfemi e particelle comuni, come articoli e preposizioni. Una volta isolati e categorizzati, questi suoni diventano il punto di partenza per "decifrare" progressivamente quanto registrato a suon di calcoli probabilistici.

"Le emanazioni prodotte dai dispositivi elettronici sono un problema ben noto agli esperti di sicurezza", sostiene Li Zhuang, uno degli autori dello studio. Sistemi come TEMPEST, ad esempio, sono ormai da anni al centro delle attenzioni di esperti e programmatori. Ma TEMPEST tuttavia è un progetto costoso e tecnicamente difficile da realizzare, cosa che non si può dire invece di un metodo di spionaggio altrettanto inquietante e basato su semplici registrazioni audio.

Tommaso Lombardi
TAG: privacy
47 Commenti alla Notizia Sicurezza, occhio alle tastiere rumorose
Ordina
  • Non per sminuire il lavoro dei ricercatori che magari ci hanno messo anche del tempo a studiare una cosa del genere ma... insomma mi sembre un pò una di quelle notizie che fan solo un pò di pubblicità, tanto per attirarsi addosso un pò di attenzione, mi pare (e altri thread lo confermano) che un pò tutti siamo convinti che ci sono tecniche migliori (e pericolose) per "rubare" informazioni che mettersi lì a registrare il ticchettio della tastiera... (e poi quanti modelli ce ne sono? Dalle rocciose IBM dei tempi andati, modello "mitraglia" alle ultime [economiche] dei pc del supermercato...e tutte hanno un suono che le accomuna che può essere rilevato dal software?? - Magari mi leggerò lo studio stasera...) tiriamo via la parola "sicurezza:" dal titolo và che non sarà certo questa tecnica che ci cambierà la vita (e le password...)

    ==================================
    Modificato dall'autore il 15/09/2005 12.45.46
  • non per sminuire l'articolo, ma mi sembra più una puntata di mission impossible che qualcosa di effettivamente possibile, tanto vale che entrino nella stanza usando i condotti della ventilazione e mettano una telecamera dietro a dove si siede l'operatore del pc....

    ciao
    non+autenticato
  • Nelle aziende per le quali lavoro, dove il problema dello spionaggio industriale è molto sentito, si usano solo o certificati o one time passwords generate da token che durano pochi minuti, solitamente (e volutamente) inserite da tastiere virtuali col mouse e mai con la tastiera vera, perchè spesso vengono messi apparecchietti hw (o a volte sw) che intercettano la tastiera.... mai visto contenuti confidenziali accessibili con una semplice password.
    E poi che ci dice l'articolo, che registrando il suono della tastiera potrei capire le password grazie ad un sistema bla bla? Ma se posso mettere un microfono non faccio prima ancora a mettere una microcamera e vederla la password?
    non+autenticato


  • - Scritto da: Anonimo
    > Nelle aziende per le quali lavoro, dove il
    > problema dello spionaggio industriale è molto
    > sentito, si usano solo o certificati o one time
    > passwords generate da token che durano pochi
    > minuti, solitamente (e volutamente) inserite da
    > tastiere virtuali col mouse e mai con la tastiera
    > vera, perchè spesso vengono messi apparecchietti
    > hw (o a volte sw) che intercettano la
    > tastiera.... mai visto contenuti confidenziali
    > accessibili con una semplice password.
    > E poi che ci dice l'articolo, che registrando il
    > suono della tastiera potrei capire le password
    > grazie ad un sistema bla bla? Ma se posso mettere
    > un microfono non faccio prima ancora a mettere
    > una microcamera e vederla la password?

    Mica esisti solo tu e le tue password inserite a video.
    Se c'e' la possibilita' di carpire password dal rumore, qualcuno potrebbe usare questo sistema e qualcuno e' a rischio. Non e' un allarme galattico, ma e' comunque una vulnerabilita' di cui e' bene essere coscienti.
    Che poi la cosa non ti tocchi e' un altro discorso, siamo ben felici per te, ma che c'entra?
    non+autenticato

  • > Che poi la cosa non ti tocchi e' un altro
    > discorso, siamo ben felici per te, ma che
    > c'entra?

    a dire il vero mi sono spiegato male, ma il miopensiero e "le password da tastiera sono una metodologia talmente insicura e intercettabile che non c'è bisogno di inventarsi motori di analisi sonora per carpirle, ci vuole molto meno, talmente molto meno che chi le usa ancora lo fa a suo rischio e pericolo e questa nuova metodologia di intercettazione è talmente macchinosa, applicata ad un sistema con una sicurezza talmente labile che non sposta il problema di un millimetro, visto che aggiunge uno 0,03% di rischio in più ad un sistema che ne ha già il 99,5% di rischio."

    ovviamente solo il mio pensiero
    non+autenticato

  • - Scritto da: Anonimo
    > Se c'e' la possibilita' di carpire password dal
    > rumore, qualcuno potrebbe usare questo sistema e
    > qualcuno e' a rischio. Non e' un allarme
    > galattico, ma e' comunque una vulnerabilita' di
    > cui e' bene essere coscienti.
    > Che poi la cosa non ti tocchi e' un altro
    > discorso, siamo ben felici per te, ma che
    > c'entra?

    Il problema e' che le password inserite da tastiera sono comunque un problema

  • - Scritto da: AnyFile
    >
    > - Scritto da: Anonimo
    > > Se c'e' la possibilita' di carpire password dal
    > > rumore, qualcuno potrebbe usare questo sistema e
    > > qualcuno e' a rischio. Non e' un allarme
    > > galattico, ma e' comunque una vulnerabilita' di
    > > cui e' bene essere coscienti.
    > > Che poi la cosa non ti tocchi e' un altro
    > > discorso, siamo ben felici per te, ma che
    > > c'entra?
    >
    > Il problema e' che le password inserite da
    > tastiera sono comunque un problema

    E quindi? Anche questo che c'entra con una notizia che che un metodo precedentemente complicato di carpire password, e' diventato improvvisamente realtivamente facile e potenzialmente pericoloso? Non mi pare di aver letto nell'articolo cose tipo "c'e' un nuovo modo, ma altrimenti le password inserite con la tastiera vanno bene".
    non+autenticato

  • - Scritto da: Anonimo
    > Ma se posso mettere
    > un microfono non faccio prima ancora a mettere
    > una microcamera e vederla la password?

    Anche a me era venuta in mente la stessa obiezione.

    Esistono telecamere che sono piccolossime (non ne ho mai viste, ma non ne dubito).

    Forse chi ha scritto quell'articolo vive in un libro giallo di 60 o 80 anni fa (quando le telecamenre neanche esistevano)

  • - Scritto da: Anonimo
    > Nelle aziende per le quali lavoro, dove il
    > problema dello spionaggio industriale è molto
    > sentito, si usano solo o certificati o one time
    > passwords generate da token che durano pochi
    [...]

    Scusa la mia ignoranza (sto tenando di documentarmi in questo campo, ma la mia ignoranza ovviamente e' ancora molto estesa)

    Ma come fai con i certificati?

    Io vedo solo due possibilita'

    1) li tieni sulla tua macchina e quando ti connetti ad un'altra macchina leggi il certificato che ce' sulla tua macchina

    2) li tienei su un dischetto, penna USB o simili

    Nel secondo caso rischi di perderli (e non e' solo un problema che qualcuno se ne impossessi, il solo fatto che tu non riesci piu' ad usarlo e' gia' un problema)

    Nel primo caso se uno riesce ad entrare nel tuo pc poi puo' accedere a qualsiasi altro (a questo punto si cade da tante autentificazioni ad una sola)

    I certificati possono essere protetti criptandoli. Ma per criptarli e decriptarli ti serve una password da tastiera.

    Per quanto riguarda le password generate. Come e' possibile comunicarle alla persona che deve utilizzarle?

  • > 1) li tieni sulla tua macchina e quando ti
    > connetti ad un'altra macchina leggi il
    > certificato che ce' sulla tua macchina
    >
    > 2) li tienei su un dischetto, penna USB o simili

    Solitamente si mettono su smartcard

    >
    > Nel primo caso se uno riesce ad entrare nel tuo
    > pc poi puo' accedere a qualsiasi altro (a questo
    > punto si cade da tante autentificazioni ad una
    > sola)
    >
    > I certificati possono essere protetti
    > criptandoli. Ma per criptarli e decriptarli ti
    > serve una password da tastiera.

    a dire il vero non sempre, alcune smartcard sono biometriche, comunque quelle classiche una persona per accedere ai certificati sulla smartcard deve avere accesso fisico alla smartcard (quindi rubarla) e il pincode della smartcard stessa. Se la smartcard viene rubata è utilizzabile solo se quella persona ha carpito anche il pincode, e solitamente il proprietario della smartcard si accorge che la sua smartcard è stata rubata e quel certificato viene non autorizzato all'accesso immediatamente.
    Si può succedere che uno rubi la smartcard, il proprietario non se ne accorga, e il proprietario si faccia carpire dalla stessa persona anche il pincode di accesso alla smartcard, nulla è sicuro al 100%, ma è più sicuro della semplice password

    >
    > Per quanto riguarda le password generate. Come e'
    > possibile comunicarle alla persona che deve
    > utilizzarle?

    Ci sono o dei portachiavi o delle schedine tipo carta di credito con visualizzata la password che cambia ogni tot secondi. Questa password è solo metà password però, l'altra metà la conosce il proprietario, in modo che se uno ruba questo token per usarlo deve sapere anche l'altra metà della password carpendola.
    E anche qui il discorso di prima, appena un token p rubato viene inattivato, quindi uno deve rubarlo senza farsi accorgere dal proprietario, e intercettargli l'altra metà

    spero di essere stato chiaro se ci sono dubbi chiedimi pure ciao
    non+autenticato
  • p.s.

    alcuni esempi di generatori one time password

    http://images.google.it/images?q=rsa%20securid&hl=...
    non+autenticato

  • - Scritto da: staicalmo
    > http://www.shopinabox.it/stores/marcashop/Browse_I


    3140 euro x 25 user.. 125 euro a utente, non mi sembra così tanto.
    non+autenticato
  • utilissimo come soluzione una applicazione come KDE wallet...wallet registra tutte le tue password (o solo quelle che scegli tu) , e tu devi inserire la password di wallet anziche' la vera password. Quindi uno registrerebbe la pass di wallet, ma senza essere loggato fisicamente a quel pc se ne fa ben poco!
    non+autenticato
  • Anche senza essere collegato alla macchina che ha chiesto la password uno se ne fa poco di conoscere la password.

    Che bisogno ha un computer di una banca di essere connesso ad internet?
  • le vedo segnate su post it appiccicati ai monitor... ho bisogno di farmi 1000 pippe mentali su come beccarle ? preferisco leggere i post-itA bocca aperta
  • Salvo, salvaci tu!Con la lingua fuori
    ;)
    non+autenticato

  • - Scritto da: xWolverinex
    > le vedo segnate su post it appiccicati ai
    > monitor... ho bisogno di farmi 1000 pippe mentali
    > su come beccarle ? preferisco leggere i post-it
    >A bocca aperta

    se lavori nel quarto mondo dell'informatica è normale presumo.
    non+autenticato
  • MS(neglio home-desktop) è la prima a dire che le passwd non servono e da qui giù virus che si diffondono
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)