חוקרים מישראל פיתחו מתקפה המחקה מאפייני הקלדה של משתמש וחומקת מזיהוי
מאת:
מערכת Telecom News, 5.6.19, 13:55
מתקפה חדשה - "Malboard" עוקפת אמצעי זיהוי, שנועדו לאמת את זהותו המשתמש על בסיס מאפייני הקשות מקלדת אישיים. המקלדות שנבדקו הן מבית Microsoft ,Lenovo ו-Dell. מה מומלץ לעשות?
חוקרי
מעבדת הפוגענים (Malware Lab) של אוניברסיטת בן-גוריון בנגב פיתחו מתקפה חדשה בשם Malboard העוקפת אמצעי זיהוי שנועדו לאמת את זהותו של משתמש על בסיס מאפייני הקשות מקלדת אישיים.
המאמר, שהתפרסם בכתב העת Computer and Security, חושף מתקפה מתוחכמת, שבה מקלדת
USB מייצרת ושולחת פקודות זדוניות באופן אוטומטי, שמחקות את מאפייני ההתנהגות של המשתמש המותקף.
הקשות, שנוצרו בזדון, אינן תואמות בד"כ את ההקלדה האנושית והן מזוהות בקלות בזכות אמצעי האבטחה. באמצעות שימוש בשיטות של בינה מלאכותית, מתקפה זו יוצרת פקודות באופן אוטומטי בסגנונו של המשתמש ו"מזריקה" הקשות אלו למקלדת ולמחשב הנתקף תוך התחמקות מזיהוי.המקלדות, שנבדקו במסגרת המחקר, הן מבית
Microsoft,
Lenovo ו-
Dell.
ד"ר
ניר ניסים, ראש מעבדת הפוגענים (
Malware-Lab) וחבר במחלקה להנדסת תעשייה וניהול באוניברסיטת בן-גוריון בנגב: "במחקר זה ביצעו 30 נבדקים 3 תרחישי הקשה שונים, שנבדקו מול 3 מנגנוני זיהוי קיימים כולל
DuckHunt,
KeyTrac ו-
TypingDNA. המתקפה הצליחה לחמוק מזיהוי ב-83-100% מהמקרים
.
מתקפת ה-
Malboard הייתה יעילה ב-2 תרחישים: בתרחיש בו תוקף מרוחק השתמש בתקשורת אלחוטית ובתרחיש בו התוקף קרוב ובאופן פיזי עורך את המתקפה".
מנגנוני זיהוי חדשים מבוססי ערוצי צד
הן מנגנוני ההתקפה והן הזיהוי פותחו במסגרת עבודת התזה של
ניצן פרחי, סטודנט באוניברסיטת בן-גוריון וחבר בפרויקט
USBEAT במעבדתו של ד"ר
ניר ניסים. פרופ'
יובל אלוביץ', ראש מעבדות טלקום לחדשנות בשיתוף האוניברסיטה וד"ר
ניר ניסים הנחו את
ניצן פרחי בעבודת התזה שלו.
ניצן פרחי: "מנגנוני הזיהוי המוצעים מהימנים ומאובטחים, בהתבסס על מידע, שניתן למדוד ממשאבי ערוץ צדדי, בנוסף להעברת הנתונים. אלה כוללים: (1) צריכת חשמל של המקלדת, (2) צליל ההקשות ו-(3) התנהגות המשתמש הקשורה ליכולת שלו להגיב לשגיאות הקלדה".
ד"ר
ניר ניסים: "מנגנוני זיהוי אלה אינם מזוהים ע"י ההתקפה עצמה ולפיכך מסוגלים לזהות אותה ב-100%, ללא אזעקות שווא. . שימוש ב-3 מנגנונים אלה כמכלול זיהוי יבטיח, ש
הארגון חסין מפני התקפת
Malboard, כמו גם מתקפות אחרות המבוססות הקלדה אוטומטית".
החוקרים מציעים להשתמש במנגנוני הזיהוי עבור כל מקלדת הנרכשת מידי יום ביומו, שכן מקלדות זדוניות מתוחכמות יכולות לעכב את הפעילות הזדונית שלהן לפעילות בזמן מאוחר יותר. מתקפות חדשות רבות יכולות לזהות את נוכחותם של מנגנוני אבטחה, להצליח לחמוק מהם ואף להשביתם.
חוקרי אוניברסיטת בן-גוריון מתכננים להרחיב את העבודה על התקני
USB פופולריים נוספים, כולל תנועות המשתמש של העכבר, קליקים ומשך השימוש. בנוסף, הם מתכננים לערוך שיפורים במודל זיהוי ההקלדה ולשלב אותו עם מנגנונים נוספים, כדי לאתר יותר התנהגויות אישיות הקשות לשכפול.