Sanki şifre doğrulama tabutunun daha fazla çiviye ihtiyacı varmış gibi, Birleşik Krallık’taki araştırmacılar bir çivi çakmanın başka bir yolunu daha keşfettiler. Durham Üniversitesi, Surrey Üniversitesi ve Londra Royal Holloway Üniversitesi’nde geliştirilen teknik, daha önceki çalışmalara dayanıyor. Klavyenizde yazarken çıkan sesi dinleyerek şifrenizi tahmin etmenin daha doğru bir yolu.
Her tuşun çıkardığı seslerdeki küçük farklılıklar, “yan kanal” olarak bilinen, kasıtsız bilgi sızıntısıdır. Bilgisayarlarda genellikle gürültü, ısı ve elektromanyetik emisyonlardaki değişiklikler gibi çok sayıda yan kanal bulunur; bunlar, bilgisayarda olup bitenler hakkında daha fazla bilgi edinmek için rakipler tarafından ortadan kaldırılıp analiz edilebilir.
Yan kanal araştırması bazen biraz abartılı ve pratik olmayabilir, ancak nelerin mümkün olduğuna dair bilgimizi geliştirmede yararlı bir amaca hizmet eder. Ancak bu araştırma, daha egzotik bir şeyden ziyade sesi izleme kararından yola çıkarak mümkün olana sıkı sıkıya bağlı.
Klavye akustik yayılımlarının her yerde bulunması, onları yalnızca hazır bir saldırı vektörü haline getirmekle kalmıyor, aynı zamanda kurbanların çıktılarını hafife almalarına (ve dolayısıyla saklamaya çalışmamalarına) da yol açıyor. Örneğin, bir parola yazarken insanlar düzenli olarak ekranlarını gizler ancak klavyelerinin sesini engellemek için çok az şey yaparlar.
Araştırmacılar ayrıca, aynı odadaki bir akıllı telefondaki mikrofonu kullanarak dizüstü bilgisayar klavyesini gözetlemek ve bir Zoom çağrısındaki sesi yakalamak gibi gerçek dünya saldırı senaryolarını da kullandılar.
Pek çok siber güvenlik araştırmasında olduğu gibi Yapay Zeka merkezde yer alıyor. Yeni şifre kırma tekniği, klavyenin 36 tuşundan hangisine basıldığını belirlemek için Derin Öğrenmeyi (insan beyninin öğrenme sürecini taklit eden bir yapay zeka biçimi) kullanıyor. Algoritma, bir Apple dizüstü bilgisayarın her tuşuna farklı parmaklar ve farklı basınçlar kullanılarak 25 kez basılarak öğretildi. Tuşlara basıldığında çıkan sesler, görüntülere dönüştürülmeden önce kapsamlı bir şekilde işlendi ve ardından görüntü sınıflandırması için kullanılan bir derin öğrenme algoritmasına beslendi.
İşe yaradı mı? Evet, Zoom üzerinden bile.
Bu makalede sunulan yöntem, telefonla kaydedilen dizüstü bilgisayar tuş vuruşlarında %95’lik ilk 1 sınıflandırma doğruluğuna ulaştı; bu, dil modellerini kullanmayan sınıflandırıcılar için iyileştirilmiş sonuçları ve incelenen tüm literatürde görülen ikinci en iyi doğruluğu temsil ediyor. Yöntem, Zoom’da kaydedilen verilere uygulandığında %93 doğrulukla sonuçlandı; bu, saldırı vektörleri gibi uygulamaları kullanan sınıflandırıcılar için iyileştirilmiş bir sonuçtu.
Bunun gibi araştırmalar her zaman şu soruyu akla getiriyor: Bu konuda endişelenmeli misiniz? Çoğu kişinin gürültülü klavyelerini tamir etmeden önce ilgilenmeleri gereken çok daha temel şifre sorunları vardır. Ancak siber suçun tüm hedefleri eşit yaratılmamıştır ve belirli kişileri tehlikeye atmak için milyonlar harcamaya hazır ulus devlet kurumları bulunmaktadır. Bir istihbarat teşkilatının böyle bir tekniği kullanabileceğini hayal etmek zor değil ve endüstriyel casusluk için de çok uzak bir ihtimal değil.
Araştırmacıların belirttiği gibi, bir dizüstü bilgisayarda eğitilen bir derin öğrenme motoru muhtemelen aynı modeldeki diğer dizüstü bilgisayarlardaki şifreleri de tahmin edebilir; bu da “tek bir dizüstü bilgisayara yapılan başarılı bir saldırının çok sayıda cihazda uygulanabilir olduğu kanıtlanabilir” anlamına geliyor. Bunun gibi tekniklerin bir gün metalaştırılabileceğine dair bir ipucu.
Bu konuda endişeleriniz varsa, bir şifre yöneticisiyle şifre girmenin neredeyse hiç ses çıkarmadığını belirtmekte fayda var. Ancak, bunun gibi teknikler nedeniyle gerçekten risk altında olduğunuzu düşünüyorsanız yine de şifrelerin ötesinde, şifre anahtarları gibi şeylere de bakmalısınız.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.