La sicurezza informatica è sempre più al centro della scena, in un momento in cui le operazioni di hacking continuano a sottrarre ingenti risorse ai legittimi possessori, confidando spesso nella loro evidente sottovalutazione del tema. Non è infatti raro il caso in cui comportamenti incauti mettono a repentaglio le password di computer e smartphone, lasciando un varco aperto in cui possono agevolmente infilarsi i pirati per portare a termine le loro scorrerie.

Proprio in relazione a questo aspetto, l’ultima novità arriva dall’Università di Glasgow, i cui ricercatori hanno messo a punto ThermoSecure,  un sistema in grado di individuare le password dei dispositivi in un arco temporale di pochi secondi. Per farlo, va ad analizzare le tracce di calore lasciate dai polpastrelli sulle tastiere e sugli  schermi, una tecnica nota come attacco termico la quale sembra mutuata da una delle tante fiction televisive che prevedono operazioni di questo genere per bypassare sistemi di sicurezza apparentemente inviolabili. Andiamo quindi a vedere meglio cosa siano gli attacchi termici e le possibili implicazioni del tutto.

ThermoSecure: di cosa si tratta?

Il continuo calo dei prezzi delle termocamere, mixandosi ad un apprendimento automatico sempre più capillare, sta creando le condizioni per nuovi rischi, quelli a carico delle password di computer e smartphone, sotto forma di veri e propri attacchi termici.

Sono stati i ricercatori della School of Computing Science dell’Università di Glasgow, guidati da Mohamed Khamis, a richiamare l’attenzione su questo problema, provvedendo a sviluppare un sistema, chiamato ThermoSecure, il quale parte proprio da questo presupposto.

Gli attacchi termici possono verificarsi dopo che gli utenti hanno digitato il proprio passcode sulla tastiera di un computer, sullo schermo di uno smartphone o sulla tastiera di un bancomat, prima di lasciare il dispositivo incustodito. Nel momento di vuoto successivo, un qualsiasi passante dotato di una termocamera potrebbe infatti scattare una foto in grado di rivelare la firma, grazie al calore che le dita hanno lasciato nel punto in cui è avvenuto il contatto con il dispositivo.

In pratica, più un’area appare luminosa nell’immagine termica, più recentemente è stata toccata. A questo punto non resta che misurare l’intensità relativa delle zone più calde, per riuscire a determinare le lettere, i numeri oi simboli specifici che compongono la password e l’ordine in cui sono state utilizzate. In questo modo si riduce in maniera esponenziale il rischio che la digitazione della password sia erronea, soprattutto provvedendo a provare le diverse combinazioni possibili.

Per capire meglio l’insidia, occorre a questo punto sottolineare che nel corso di una precedente ricerca del dottor Mohamed Khamis, il quale ha guidato lo sviluppo di ThermoSecure, è già stato dimostrato che anche i non esperti sono in grado di indovinare con successo le password semplicemente osservando attentamente le immagini termiche scattate in un arco temporale tra i 30 e i 60 secondi successivi al contatto tra dita e superfici.

Il procedimento adottato per arrivare al risultato conclusivo è stato oggetto di un articolo pubblicato sulla rivista ACM Transactions on Privacy and Security, in cui il dottor Khamis e il team che lo ha affiancato, formato da Norah Alotaibi e da John Williamson, spiegano come hanno deciso di sfruttare l’apprendimento automatico al fine di riuscire a rendere il processo di attacco più accurato e, di conseguenza performante.

Per riuscire nel loro intento, hanno scattato 1.500 foto termiche di tastiere QWERTY usate di recente da diverse angolazioni, per poi elaborare un modello di intelligenza artificiale in grado di leggere in maniera efficace le immagini e formulare ipotesi informate sulle password, ricavate dagli indizi della firma termica, utilizzando allo scopo un modello probabilistico.

I risultati del test sono stati in effetti molto significativi. Per mezzo di due studi condotti sugli utenti, ThermoSecure si è infatti rivelato in grado di rivelare:

  • l’86% delle password nel caso in cui le immagini termiche siano acquisite entro 20 secondi;
  • il 76% nei 30 secondi successivi;
  • il 62% a 60 secondi dall’immissione della password.

Inoltre, i ricercatori hanno anche potuto appurare come in 20 secondi ThermoSecure si riveli in grado di attaccare con successo anche password lunghe di 16 caratteri, con una percentuale fino al 67% di tentativi corretti. Percentuali che sono ritoccate verso l’alto nel caso in cui la lunghezza delle stesse si riduce, tanto da impennarsi sino all’82% per le password di 12 caratteri alfanumerici, sino al 93% per quelle di otto, per arrivare al 100% per le credenziali di accesso a sei simboli.

I ricercatori hanno anche esaminato una serie di variabili aggiuntive grazie alle quali è stato più facile per ThermoSecure indovinare le password. Tra di esse lo stile di digitazione degli utenti sulla tastiera, in particolare quella legata ai tempi necessari agli utenti per la digitazione. Quelli che lo fanno lentamente, infatti, tendono a lasciare le dita sui tasti più a lungo, creando di conseguenza firme di calore le quali durano più a lungo rispetto a quelle digitate con maggiore rapidità.

Le immagini scattate entro 30 secondi dal tocco della tastiera hanno consentito a ThermoSecure di indovinare con successo le password della prima categoria di utenti per il 92% dei casi, un dato che si riduce all’80% quando la digitazione è più rapida.

Anche il materiale con sui sono prodotte le tastiere è poi in grado di influire sulla loro capacità di assorbire il calore, con notevoli implicazioni per quanto riguarda l’efficacia degli attacchi termici. ThermoSecure si è infatti rivelato in grado di indovinare con successo le password dal calore trattenuto sui tasti realizzati in plastica ABS la metà delle volte, ma soltanto per il 14% di quelle relative ai tasti realizzati in plastica PBT.

Gli hacker potrebbero già essere al lavoro su un sistema analogo per gli attacchi termici

Per capire meglio la ratio del lavoro condotto dai ricercatori dell’ateneo di Glasgow, occorre partire dalle dichiarazioni rilasciate dal dottor Khamis: “Dicono che devi pensare come un ladro per catturare un ladro. Abbiamo sviluppato ThermoSecure pensando attentamente a come i malintenzionati potrebbero sfruttare le immagini termiche per introdursi in computer e smartphone.”

Lo stesso Khamis ha poi ricordato come in questo momento i prezzi delle termocamere sono calati ad un livello tale da permetterne il possesso a un gran numero di utenti, compresi gli hackers, intenzionati naturalmente a sfruttarle per le loro scorrerie informatiche. È infatti possibile reperirle a circa 200 dollari, aumentando di conseguenza la possibilità che persone di ogni parte del globo si stiano in questo momento dedicando allo sviluppo di sistemi simili a ThermoSecure, finalizzati naturalmente alla sottrazione delle password per condurre in porto i propri attacchi.

Per poter resistere ai raid diventa quindi estremamente importante che la ricerca sulla sicurezza informatica tenga il passo con tali sviluppi, in maniera tale da riuscire a individuare per tempo le contromisure più idonee per poter mitigare i rischi. Proprio per questo il team di ricercatori di Glasgow è intenzionato a proseguire nello sviluppo della nuova tecnologia, in modo da poter muoversi sempre un passo avanti rispetto agli hackers.

Al tempo stesso Khamis e i suoi collaboratori sono intenzionati a evidenziare a livello politico i rischi che questo genere di attacchi termici comporta per la sicurezza informatica. In tal senso suggeriscono di limitare la vendita delle termocamere, rendendolo possibile esclusivamente solo in presenza di una sicurezza avanzata nel software incluso nelle stesse. Lo stesso team sta dal canto suo lavorando ad un sistema in grado di respingere eventuali minacce basato sull’intelligenza artificiale, il quale potrebbe rivelarsi utile nella risoluzione di un problema molto serio.

Come proteggersi dagli attacchi termici

Infine, il team di ricercatori dell’ateneo scozzese ha voluto indicare una serie di accorgimenti che potrebbero aiutare non poco gli utenti di computer e smartphone a tenersi al riparo dagli attacchi termici. Ad esempio, le password più lunghe sono più difficili da indovinare con precisione per ThermoSecure, quindi il consiglio è di utilizzare passphrase lunghe ove sia possibile, in quanto richiedono un tempo maggiore per la digitazione, tale da rendere anche più complicato ottenere una lettura accurata su una termocamera, in particolare nel caso in cui l’utente sia rapido nella digitazione.

Per quanto riguarda invece le tastiere, sarebbe meglio utilizzare quelle retroilluminate, le quali producono una maggiore quantità di calore, tale da rendere più difficile una accurata lettura termica. Meglio ancora se la tastiera retroilluminata è prodotta con plastica PBT.

Molto importante sarebbe poi l’adozione da parte degli utenti di metodi di autenticazione alternativi per i propri dispositivi, a partire dall’impronta digitale o dal riconoscimento facciale, che sono in grado di abbattere in maniera significativa molti dei rischi di attacco termico. Lo stesso team di Glasgow ha dal canto suo proposto in precedenza di virare su schemi di autenticazione basati sui movimenti oculari per l’inserimento della password, in quanto questo genere di autenticazione si rivela molto resistente agli attacchi termici.

Il documento del team, intitolato “ThermoSecure: Investigating the effects of AI-driven thermal attack on common computer keyboards”, è stato finanziato dalla Royal Society of Edinburgh, dall’Engineering and Physical Sciences Research Council e dal PETRAS National Center of Excellence for IoT Systems Cybersecurity, che è anche finanziato dall’EPSRC , oltre che da una borsa di studio sponsorizzata dalla Taif University e dall’Ufficio culturale dell’Ambasciata reale dell’Arabia Saudita a Londra.

Leggi ancheMetaverso e attacchi hacker: avatar fake e altri pericoli per aziende e privati