Attacchi tramite immagini termiche

In almeno due dei nostri post precedenti abbiamo toccato l’argomento degli attacchi side-channel. Si tratta di attacchi in cui determinate informazioni riservate (una password, una chiave di criptaggio o dati da proteggere) vengono estratte in un modo tutt’altro che banale. Ad esempio, invece di crackare direttamente un sistema di criptaggio, un malintenzionato può ricostruire la chiave in base a determinate modifiche minime nel consumo energetico del dispositivo. Invece di estrarre i dati segreti dalla cache del processore, li può ricostruire sulla base di segni indiretti: ad esempio se una complessa catena di tentativi di accesso ai dati non riusciti viene eseguita più lentamente o più velocemente, suggerirà la presenza di uno zero o di un uno nella sezione di dati di interesse.

Questo è un esempio complesso di attacco side-channel. Tuttavia, come vedremo in questo articolo, esistono anche varianti più semplici.

Qual è il tipo di “attacco” informatico più semplice in assoluto? Il shoulder surfing, ovvero il furto di password perpetrato sbirciando alle spalle di qualcuno. Una volta ottenuta la password, questa potrà essere utilizzata per accedere ai dati dell’ignaro proprietario senza che sia necessario violarne il computer o il software. La difesa è altrettanto semplice: basta coprire i tasti con la mano o assicurarsi di non avere nessuno alle nostre spalle. E se i criminali potessero rubarti la password dopo che l’hai digitata, leggendo le tue impronte digitali sulla tastiera?

Termografia e bancomat

Gli attacchi tramite immagini termiche (noti anche come attacchi termici) vengono studiati dai ricercatori da oltre 15 anni. Uno dei primi studi in questo senso esplora lo scenario più comune nella vita reale: gli attacchi ai bancomat. Funziona così. Prendiamo un normale tastierino di bancomat:

Un tipico tastierino di bancomat. Fonte.

Vai a un bancomat, inserisci la carta, inserisci il PIN, prendi i contanti e te ne vai. Ma a tua insaputa, un utente malintenzionato si avvicina allo stesso bancomat pochi istanti dopo e scatta una foto della tastiera utilizzando una termocamera o un termovisore:

Tastierino ATM visto da un termovisore. Fonte.

Se l’immagine viene acquisita entro 30 secondi dall’immissione del PIN, c’è il 50% di possibilità di recuperare la sequenza immessa. Il termovisore crea un’immagine a infrarossi in cui le aree chiare e scure rappresentano rispettivamente le alte e le basse temperature. Lo scopo originale di un termovisore è controllare le pareti o le finestre di un edificio per determinare da dove provengono le correnti d’aria. E ora sembra che possa essere sfruttato per rubare i PIN, anche se vale la pena ricordare che qui stiamo parlando di ricerca e non (almeno per il momento) di attacchi reali.

I primi termovisori costavano decine di migliaia di dollari, ma da qualche tempo se ne trovano anche a poche centinaia di euro. Inoltre, i moderni termovisori offrono diversi livelli di sensibilità (la capacità di distinguere tra piccole differenze di temperatura). Ad esempio, la foto sopra (scattata con un costoso dispositivo professionale) mostra non solo quali pulsanti sono stati premuti, ma anche in quale ordine: più caldo è il pulsante, più tardi è stato premuto.

L’utilizzo di un termovisore sul tastierino di un bancomat non è così semplice. L’immagine deve essere scattata il prima possibile. La foto dell’esempio precedente è stata scattata quasi immediatamente dopo l’immissione del PIN. Il ritardo massimo tra l’input e l’imaging è di circa 90 secondi. E anche in questo caso non c’è alcuna garanzia di successo. Ad esempio, la potenziale vittima potrebbe indossare dei guanti, così che i tasti non si scaldino affatto. Oppure una o due cifre del PIN potrebbero essere ripetute, il che complicherebbe l’attacco. A proposito, quale PIN è stato inserito nell’immagine sopra, secondo te? Metti alla prova le tue capacità deduttive! La risposta corretta è 1485.

I ricercatori hanno eseguito ben 54 esperimenti, variando leggermente i parametri ogni volta. Le impronte termiche sono state analizzate sia manualmente che con sistemi automatizzati (questi ultimi hanno dato risultati leggermente migliori). In circa la metà dei casi è stato possibile individuare i tasti premuti, ma non la sequenza corretta. Il PIN esatto è stato recuperato in meno del 10% degli esperimenti. Un codice di quattro cifre su tutte le 11 cifre disponibili fornisce 10.000 combinazioni potenziali. Se conosciamo tutti i numeri, ma non la sequenza, rimangono 24 combinazioni da provare. Questo numero è più alto del numero di tentativi consentiti: dopo tre tentativi errati, solitamente, la carta viene bloccata. Il suddetto studio del 2011 ha quindi ampliato le nostre conoscenze sullo spionaggio termico, ma non ci ha fornito risultati significativi. Non è stato, però, l’ultimo…

Termografia e smartphone

Anche gli smartphone sono suscettibili agli attacchi termici. È stato dimostrato chiaramente in uno studio del 2017, contenente questa immagine rivelatrice:

PIN e schemi reali per lo sblocco dello smartphone e le relative tracce di calore. Fonte.

Come nei casi precedenti, il successo di un attacco dipende dalla rapidità con cui viene acquisita l’immagine termica dopo l’immissione del PIN o della combinazione segreta. Scattare un’immagine è un po’ più complicato in questo caso, poiché, a differenza di un bancomat, le persone portano con sé i propri smartphone. Tuttavia, non è così inverosimile immaginare uno scenario in cui sia possibile scattare un’immagine al momento opportuno.

Nel 2017 le tecnologie di analisi dei dati sono migliorate e la percentuale di successo complessiva è stata superiore a quella degli esperimenti del 2011: fino all’89% dei PIN sono stati acquisiti correttamente tramite imaging termico tempestivo. Il 78% dei codici è stato decifrato quando è stata scattata un’immagine 30 secondi dopo lo sblocco del telefono e il 22% quando i ricercatori hanno aspettato 60 secondi. Per inciso, i codici di sblocco sono più difficili da svelare utilizzando questo metodo. Ma c’è un altro problema: è stato dimostrato nel 2010 che queste combinazioni sono abbastanza facili da indovinare dalle macchie delle dita sullo schermo (che rimangono lì molto più a lungo delle impronte termiche).

Termografia e tastiere

Cosa hanno in comune bancomat e smartphone? Non molti tasti! In entrambi i casi si tratta dell’immissione di brevi combinazioni di cifre. Per testare davvero le possibilità di spionaggio termico, è meglio provarlo su password alfanumeriche reali immesse su una tastiera reale. Ed è esattamente quello che ha fatto un team di ricercatori dell’Università di Glasgow in Scozia. Vedi qui i risultati del loro lavoro. Una tastiera completa vista da un termovisore ha il seguente aspetto:

Caption/ALT/Title: Tracce di calore dovute alla pressione dei tasti sulla tastiera di un PC. Fonte.

I punti luminosi indicano le tracce della pressione dei tasti. Questo studio, come altri, ha testato l’affidabilità del recupero della password dopo un certo periodo di tempo: l’istantanea termica è stata scattata a intervalli di 20, 30 e 60 secondi. È apparsa una nuova variabile sotto forma di lunghezza della password, che può essere arbitraria. Ancora più importante, i ricercatori hanno applicato algoritmi di apprendimento automatico (ML). Negli esperimenti che comportano l’estrazione di dati utili dal rumore, questi sono indispensabili. Gli algoritmi di ML addestrati su centinaia di immagini di tastiere abbinate a combinazioni note hanno dato ottimi risultati nel recupero delle password. Di seguito è riportata una tabella che ne riassume le prestazioni:

Come il recupero della password dipende dal tempo tra immissione e imaging, nonché dalla lunghezza della password. Fonte.

Sorprendentemente, nella metà dei casi era recuperabile anche una password lunga 16 caratteri. Dagli esempi precedenti, è possibile apprezzare la complessità del recupero della sequenza di pressioni dei tasti in base alle piccole differenze di temperatura. Lo studio insegna una cosa importante (che conosciamo già): le password devono essere lunghe e preferibilmente generate da speciali software di gestione delle password.

Ci sono stati anche alcuni risultati inaspettati. L’efficacia del metodo dipende dal tipo di plastica: alcune plastiche si scaldano meno di altre. E anche la retroilluminazione della tastiera ha un ruolo. In generale, qualsiasi riscaldamento estraneo sui tasti, che si tratti dei LED integrati o della CPU situata sotto la tastiera in un laptop, distrugge l’impronta termica. E un altro punto: più velocemente viene immessa la password, meno è probabile che venga rivelata alla termografia.

Quanto sono realistici questi attacchi?

Non esiste una risposta universale a questa domanda. I dati sul tuo telefono sono abbastanza preziosi da farti seguire da una termocamera? È plausibile uno scenario del genere? Fortunatamente, la maggior parte delle persone non viene colpita da tali attacchi: sono semplicemente troppo complicati. Lo spionaggio termico sembra rappresentare la più grande minaccia per i codici di sblocco digitali, ad esempio quelli all’ingresso degli uffici. Il codice in questo caso non cambia quasi mai e le serrature si trovano spesso in luoghi pubblici. Una potenziale spia avrà molto tempo e molti tentativi a disposizione per indovinare il codice di accesso corretto.

In altri casi, il metodo è fattibile solo nell’ambito di un attacco mirato a informazioni particolarmente preziose. La soluzione, come nel consueto metodo contro la maggior parte degli attacchi side-channel, è annegare i dati sensibili nel rumore. Puoi inserire il PIN indossando guanti spessi, vanificando l’attacco. Puoi utilizzare una tastiera retroilluminata e lasciare i criminali informatici a bocca asciutta. Durante l’immissione della password, puoi premere o semplicemente toccare tasti aggiuntivi, rendendo quasi impossibile il recupero della sequenza corretta.

Il 2022 ha visto il rilascio di una meta-analisi degli studi sugli attacchi termici, il cui scopo era provare a valutare quanto siano realistici gli attacchi di imaging termico. Gli autori hanno riferito che tali attacchi sono sia implementabili che convenienti e devono essere presi in considerazione durante la creazione di un modello di minaccia. Non siamo convinti che il problema diventerà serio a breve. Ma la meta-analisi trae una conclusione importante: una password può essere rubata solo se viene effettivamente inserita!

Quindi, in modo indiretto, siamo arrivati al tema della morte della password. La minaccia degli attacchi termici è, ovviamente, una ragione altamente esotica per scartare l’uso di password. Ma riflettiamo: quando il telefono ti riconosce dal viso o dall’impronta digitale, non immetti una password. Quando usi una chiave di protezione hardware, non immetti una password. Un intero livello di potenziali attacchi (e anni di ricerca) diventa irrilevante se non viene immessa alcuna password. Certo, anche i metodi di autenticazione alternativi hanno i loro punti deboli, ma le password ordinarie tendono ad averne di più. I moderni sistemi di autenticazione senza password rendono la vita quasi impossibile ai phisher. Ci sono molti vantaggi nell’abbandonare le password tradizionali. E ora ne abbiamo uno in più: nessuno ti seguirà di soppiatto con una termocamera per rubare il tuo codice segreto… se non hai alcun codice da immettere.