Shoulder surfing

Nella sicurezza informatica, il shoulder surfing (letteralmente "fare surf sulle spalle") è una tecnica di ingegneria sociale usata per ottenere informazioni come codici PIN, password ed altri dati confidenziali osservando la vittima standole alle spalle[1]. L'attacco può venire effettuato sia da vicino (osservando direttamente la vittima) o da più lontano, usando ad esempio riprese di telecamere a circuito chiuso, binocoli o dispositivi simili[2]. Attaccare usando questa tecnica non richiede nessuna abilità particolare; l'attenta osservazione di ciò che sta intorno alla vittima e dei movimenti da lei effettuati con la mano mentre digita un PIN sono sufficienti. I posti affollati sono quelli in cui è più facile che una vittima venga attaccata tramite shoulder surfing. Negli Stati Uniti, all'inizio del 1980, il shoulder surfing era praticato per rubare il numero identificativo delle tessere per i telefoni pubblici, al fine di rivenderlo a prezzi più bassi o effettuare chiamate interurbane. L'avvento di moderne tecnologie quali telecamere e microfoni nascosti fa sì che gli attacchi di shoulder surfing siano più facili da effettuare da lontano. Una telecamera nascosta consente all'attaccante di registrare l'intero processo di login ed altri dati confidenziali della vittima, la quale subisce una perdita di denaro o un furto d'identità[3].

Occorrenze

Il shoulder surfing avviene solitamente in luoghi affollati in quanto è più semplice osservare una vittima senza attirare la sua attenzione[4]. Un attacco di shoulder surfing avviene, ad esempio, durante l'inserimento del PIN in uno sportello per il prelievo di denaro o in un POS, la digitazione di una password ad un internet point, in biblioteche pubbliche ed universitarie, a check-in automatici in aeroporto, durante l'immissione del codice in un armadietto pubblico affittato in piscine o aeroporti, la digitazione del PIN o della password sullo smartphone[5].

Un sondaggio di professionisti in IT su libro bianco[6] per Secure ha evidenziato che:

  • L'85% dei partecipanti al sondaggio ha ammesso di aver visto informazioni su uno schermo che non era autorizzato a vedere
  • L'82% ha ammesso che persone non autorizzate avrebbero potuto vedere informazioni sul loro schermo
  • L'82% aveva poca o nessuna certezza nell'affermare che le persone nella loro organizzazione proteggessero il loro schermo affinché non venisse visto da soggetti non autorizzati

Prevenzione

Una persona che copre la tastiera di un bancomat con la mano mentre digita il PIN
Una persona che copre la tastiera di un bancomat con la mano mentre digita il PIN

Alcuni ATM sono dotati di display sofisticati che scoraggiano l'ottenimento di informazioni tramite shoulder surfing. Gli schermi diventano più scuri se guardati da oltre un certo angolo, il solo modo per leggere cosa sia visualizzato è stargli di fronte. Nonostante questo prevenga che alcune informazioni, come il saldo del conto corrente, vengano viste, non previene lo spiare il codice PIN, dato che solitamente esso viene digitato e non visualizzato a schermo in chiaro (ma sostituito da degli asterischi).

Alcuni modelli di POS hanno la tastiera incassata e per gran parte circondata da una cornice di gomma. Questo fa si che il shoulder surfing sia nettamente più difficile in quanto, a differenza di modelli più vecchi, bisogna guardare la tastiera quasi direttamente. L'ISO 9564-1, lo standard Internazionale per la gestione del PIN, descrive così tale misura di sicurezza[7]:

L'osservazione visiva del PIN è la maniera più comune di compromettere un PIN. La privacy durante la digitazione di un PIN è ottenibile coprendo la tastiera o tenendo il POS in modo che i tasti siano coperti dal corpo del cliente...

I POS spesso disponibili in negozi, supermercati e stazioni di rifornimento sono più difficili da usare prevenendo il shoulder surfing in quanto sono solitamente collocati in vista dalle casse[8].

Quando si effettua una transazione, assicurarsi di stare accanto al muro affinché nessuno guardi il sistema.[9] Stare attenti all'ambiente circostante in quanto potrebbero esserci telecamere.[10] Usare pellicole protettive tipo quelle usate dai banchieri le quali nascondono lo schermo a tutti tranne che all'utilizzatore del sistema.[11] Usare una mano per coprire la tastiera durante l'immissione del PIN ad un ATM.[12] Stare attenti all'ambiente circostante[13]. È consigliabile non effettuare l'accesso ad account personali in pubblico.[14] In un luogo pubblico, cercare un posto tranquillo per lavorare.[15] Non rivelare le password a nessuno.[16]

L'utente di un ATM può essere avvertito di un attacco di shoulder surfing mentre l'attacco è in corso. Esso può quindi prendere una decisione sul da farsi e coprire le eventuali informazioni sensibili. I bordi dello schermo possono lampeggiare per allertare l'utente se una persona si avvicina. Si possono usare i colori per dettagliare il messaggio: il colore rosso può essere usato se la persona che si è avvicinata sta guardando lo schermo ed il verde se la persona è vicina ma non sta guardando lo schermo. Un altro modo è quello di creare un'ombra 3-D della persona che sta sbirciando sul display dell'utente.[4]

Quando si effettuano importanti transazioni di denaro, assicurarsi di essere ben distanti da altre persone. Questi crimini non vengono registrati spesso in quanto molte persone non li denunciano alla polizia.[17] Non rispondete né a mail di phishing né a chiamate telefoniche di pretexting. Nessuna banca o istituto finanziario chiederà informazioni sensibili tramite chiamate o email. Evitare di inviare informazioni sensibili tramite email. Se capita una situazione in cui è necessario inviare documenti finanziari, inviarli tramite posta certificata ed assicurarsi di avere una prova che i documenti siano stati ricevuti dall'istituto finanziario. Se l'account è già stato compromesso, interrompere immediatamente tutte le transazioni da quell'account.[18]

Essere prudenti agli ATM

Mentre si usa un ATM, si raccomanda di stare vicino allo sportello durante l'immissione del PIN. Come già menzionato sopra, è meglio coprire la tastiera con una mano durante la digitazione. Alcune volte potrebbe esserci una videocamera posta vicino alla tastiera che registra le azioni fatte. Se l'ATM che si sta usando è in un posto affollato e qualcuno prova a spiarvi, è meglio interrompere le transazioni da quell'ATM e andarsene. Non accettare mai aiuto dagli sconosciuti, anche se sembrano gentili. Mai distrarsi. Alcune volte le persone mettono dei dispositivi che registrano tutti i dettagli della carta. Questi dettagli sono successivamente usati da chi ha piazzato il dispositivo per effettuare transazioni fraudolente. Se ci si trova in quella situazione, chiamare la banca e riportare il problema mentre si è ancora vicini all'ATM. È sempre una buona idea salvarsi il numero del servizio clienti attivo 24h/24h. In seguito ad una transazione, la prima cosa da fare è mettere i soldi e la carta nella borsa. Non buttare via le ricevute dell'ATM senza prima strapparle o per lo meno distruggere le informazioni sensibili scritte sopra.[19] Non scrivere mai un assegno di fretta. È meglio non scrivere assegni all'ora di punta durante la stagione dello shopping. A volte, usare solamente una carta per lo shopping è meglio in quanto aiuta sia a tenere sotto controllo le spese che a controllare eventuali attività sospette di altri conti.[20]

Metodologie

Immissione della password tramite lo sguardo

La procedura di base per l'immissione di una password tramite sguardo è simile a una normale immissione tramite digitazione, tranne per il fatto che, invece di usare una tastiera o un touch screen, l'utente direziona il suo sguardo verso ogni carattere o area desiderati nella giusta sequenza. Quest'approccio può quindi essere usato sia per password composte da caratteri (usando una tastiera a schermo) sia con password grafiche come spiegato nel sondaggio[21]. È necessario fare una serie di considerazioni per assicurare usabilità e sicurezza. La tecnologie per l'oculometria hanno fatto grandi progressi dalle loro origini all'inizio del '900.[22] I dispositivi per l'eye tracking più sofisticati sono poco ingombranti e permettono il tracking da remoto con un'accuratezza di 1° di angolo di visuale. I tracciatori oculari sono una speciale applicazione della computer vision. Una videocamera è usata per monitorare gli occhi dell'utente. Una o più luci infrarosse illuminano il volto dell'utente producendo un luccichio - riflesso della luce sulla cornea. Quando l'utente direziona lo sguardo, le pupille si muovono ma la posizione del bagliore sulla cornea rimane fissa. Il movimento relativo, la posizione del centro della pupilla ed il luccichio sono usati per stimare il vettore dello sguardo, il quale viene poi mappato a coordinate sullo schermo.

Meccanismo dell'album da pitturare

Il meccanismo dell'album da pitturare è una tecnica anti shoulder surfing basata sul riconoscimento di password grafiche che implementa sia tecniche di riconoscimento (recognition) che tecniche basate sul ricordare (recall), sviluppato basandosi sui risultati delle scelte di affinità dell'utente[23] e sull'osservazione del comportamento dei bambini mentre pitturano una figura. I risultati del sondaggio sulle scelte di affinità dell'utente sono l'architettura del meccanismo. L'osservazione ha portato alla creazione di tre sistemi chiamati Swipe Scheme, Color Scheme e Scot Scheme. Nel meccanismo dell'album da pitturare, questi tre sistemi sono i metodi per la creazione della password. Ogni sistema di input è non-identico, ed è l'utente che sceglierà quale usare in base alle sue preferenze.

Sistemi di input Metodi di input
Swipe Scheme Effettuare uno swipe sulle figure
Color Scheme Toccare la figura, poi selezionare i riquadri colorati
Scot Scheme Effettuare uno swipe sulla figura e allo stesso tempo toccare le altre figure e selezionare i riquadri colorati

Nonostante gli utenti abbiano la possibilità di scegliere il sistema di input che preferiscono, per una questione di sicurezza è consigliabile sceglierne più di uno per la generazione della password.

Password grafiche

Per superare gli inconvenienti dell'autenticazione basata su testo, i ricercatori hanno sviluppato un nuovo sistema che usa delle immagini come password. Questo metodo è usato come alternativa alle password alfanumeriche. I metodi di autenticazione corrente sono classificati in tre principali categorie: autenticazione basata su Token, autenticazione basata sulla biometria e autenticazione basata sulla conoscenza. Una comparazione tra le tipologie di password grafiche attuali ha classificato le password grafiche in due categorie: quelle basate sul riconoscimento (recognition) e quelle basate sul ricordare (recall). I risultati rispondono a domande quali "una password grafica è sicura tanto quanto una password testuale?" Cerca inoltre di trovare la risposta alla domanda "quali sono i principali problemi di design ed implementazione delle password grafiche?" Questo studio è utile per i metodi che usano password grafiche, vuole trovare delle alternative per superare tali problemi.[24]

Metodo del secret tap

Con tap si intende l'azione di toccare uno schermo touch (touch screen.)

A causa dell'importanza di prendere misure che prevengano il shoulder surfing, il metodo del secret tap (letteralmente "il tocco segreto") propone una tecnica che non espone dati e codici quando vengono digitati, anche se delle persone cercano di spiarli. In aggiunta a ciò, è importante tenere a mente che il rischio di essere osservati non si limita alla diretta osservazione da parte di altri individui, vi è anche il rischio di essere registrati da una videocamera. Di conseguenza, è necessario complicare il processo di autenticazione in maniera da prevenire il furto di informazioni sensibili in presenza di eventuali videocamere e/o persone che osservano i dati digitati (anche ripetutamente). Ci sono due tipi di attacchi di shoulder surfing: gli attacchi per osservazione diretta (i dati sono ottenuti osservando direttamente la vittima) e gli attacchi tramite videoregistrazioni (l'attaccante registra la sequenza di autenticazione e la analizza in un secondo momento).

Il metodo del secret tap usa delle icone ed uno schermo a cristalli liquidi touch. Gli obiettivi e la politica di progettazione del secret tap sono:

  • Resistenza allo spionaggio: ha un livello di resistenza che non permette ad altri individui di vedere le informazioni, anche se il processo di autenticazione viene effettuato più di una volta.
  • Resistenza ad attacchi tramite videoregistrazioni: ha un livello di resistenza che impedisce ad altri individui di analizzare i dati di autenticazione, anche se il processo di autenticazione è stato registrato interamente.
  • Resistenza ad attacchi brute force: ha un livello di resistenza che impedisce che il processo di autenticazione venga violato più facilmente rispetto a un attacco brute force su un codice PIN a quattro cifre. Questa policy fa si che sia rispettato lo standard ISO 9564-1[25].
  • Usabilità: mantiene un livello di usabilità tale che il processo di autenticazione possa essere effettuato con calma.

Comparazione dei rischi tra password alfanumeriche e password grafiche

Il beneficio principale delle password grafiche rispetto a quelle alfanumeriche è che sono più semplici da memorizzare. Tuttavia, il potenziale lato negativo di tale vantaggio è il rischio maggiore di subire attacchi di shoulder surfing. Le password grafiche che usano la grafica o le immagini[26] come PassFaces, Jiminy,[23] VIP, Passpoints[26] o una combinazione di grafica e audio come AVAP sono tutte soggette a maggiori rischi, a meno che qualcuno, in qualche modo, "mitighi" la loro implementazione. I risultati indicano che sia le password alfanumeriche che quelle basate sulla grafica hanno una grossa vulnerabilità al shoulder surfing, a meno che non vengano prese alcune precauzioni. Nonostante la credenza comune che usare una parola non presente sul dizionario sia il metodo più sicuro per la generazione di una password, i nostri risultati dimostrano che questo sia il sistema più vulnerabile al shoulder surfing.

Digitazione del PIN

Il PIN è usato per autenticarsi in diverse situazioni, ad esempio quando si effettua un prelievo o un deposito di denaro a uno sportello, per sbloccare un telefono, una porta, un laptop o un PDA. Un attaccante può ottenere il PIN sia guardando da dietro le spalle della vittima, sia registrando l'intero processo di login. Di conseguenza, sono state proposte diverse metodologie per l'immissione del PIN che rendono il processo di autenticazione più sicuro.[27]

Gioco della botola cognitiva

Il gioco della botola cognitiva prevede tre gruppi: una macchina per la verifica (machine verifier), un uomo che fornisce le prove (human prover) e un uomo che osserva (human observer). L'obiettivo di ciascun gruppo è il seguente: colui che fornisce le prove deve digitare il PIN rispondendo alle domande poste dalla macchina per la verifica, mentre l'osservatore cerca di osservare l'interazione tra la macchina e l'uomo al fine di conoscere il PIN. Un token viene assegnato al prover al fine di provare univocamente la sua identità. Visto che il prover deve autenticarsi nel token, non è facile per l'osservatore ricordare l'intero processo di login, a meno che non disponga di un dispositivo per registrare il processo. Il meccanismo della botola cognitiva è resistente ad attacchi di shoulder surfing diretti, ma non ad attacchi che fanno uso della registrazione.[28]

Note

  1. ^ shoulder surfing | Definition of shoulder surfing in English by Oxford Dictionaries, su Oxford Dictionaries | English. URL consultato il 5 novembre 2017 (archiviato dall'url originale il 20 dicembre 2016).
  2. ^ Kee, J. (2008, April 28). SANS Institute InfoSec Reading Room, su sans.org.
  3. ^ Long, J., & Mitnick, K. D., Shoulder surfing. In No tech hacking: A guide to social engineering, dumpster diving, and shoulder surfing, Burlington, MA: Syngress, 2008, pp. 27-60.
  4. ^ a b Wendy Goucher, Look behind you: the dangers of shoulder surfing, in Computer Fraud & Security, vol. 2011, n. 11, pp. 17–20, DOI:10.1016/s1361-3723(11)70116-6. URL consultato il 5 novembre 2017.
  5. ^ (EN) Xin Luo, Richard Brody e Alessandro Seazzu, Social Engineering: The Neglected Human Factor for Information Security Management, in Information Resources Management Journal (IRMJ), vol. 24, n. 3, 2011, pp. 1–8, DOI:10.4018/irmj.2011070101. URL consultato il 5 novembre 2017.
  6. ^ Visual Data Security White Paper (PDF), in European Visual Data Security (archiviato dall'url originale il 13 maggio 2014).
  7. ^ ISO 9564-1:2011 Financial services - Personal Identification Number (PIN) management and security - Part 1: Basic principles and requirements for PINs in card-based systems Annex B.3 Privacy during PIN entry.
  8. ^ Barney, Karen, Information security: Who's looking over your shoulder?. URL consultato il 5 novembre 2017 (archiviato dall'url originale il 25 dicembre 2015).
  9. ^ A Survey on Shoulder Surfing Resistant Text Based Graphical Password Schemes (PDF), in International Journal of Science and Research (IJSR), vol. 4, n. 11, pp. 2418–2422, DOI:10.21275/v4i11.nov151759.
  10. ^ Wiese, O., & Roth, V., Pitfalls of Shoulder Surfing Studies. Proceedings 2015 Workshop on Usable Security, 2015, DOI:10.14722/usec.2015.23004.
  11. ^ Manu Kumar, Tal Garfinkel, Dan Boneh, Terry Winograd, Reducing shoulder-surfing by using gaze-based password entry’,Proceedings of the 3rd symposium on Usable privacy and security, ACM4, 2007.
  12. ^ P. Shi, B. Zhu, and A. Youssef, A new pin entry scheme against recording-based shoulder-surfing. InProc. of 3rd International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2009), in IEEE Computer Society, Athens/Vouliagmeni, Greece, June 2009.
  13. ^ Zhi Li, Qibin Sun, Yong Lian, and D. D. Giusto, An Association-Based Graphical Password Design Resistant to ShoulderSurfing Attack’, IEEE International Conference on Multimedia and Expo (ICME)., 2005.
  14. ^ Peipei Shi, Bo Zhu and Amr Youssef, Concordia Institute for Information Systems Engineering. “A Rotary PIN Entry Scheme Resilient to Shoulder-Surfing.”. Internet Technology and Secured Transactions, 2009. ICITST, 2009.
  15. ^ Cheryl, Hinds and Chinedu Ekwueme, Increasing security and usability of computer systems with graphical passwords’,Proceedings of the 45th annual southeast regional conference, ACM, 2007.
  16. ^ H. Tao and C. Adams, Pass-Go: A Proposal to Improve the Usability of Graphical Passwords. Int’l Journal of Network Security, vol. 7, 2008, pp. 273-292.
  17. ^ Authored by Jose Rivera, LegalMatch Legal Writer. (n.d.), Shoulder Surfing Thefts.
  18. ^ Drake, E., 50 plus one tips to preventing identity theft. Chicago: Encouragement Press, 2007.
  19. ^ Shoulder Surfing. (n.d.), su yourmoney.com.
  20. ^ Committing Shoulder Surfing Identity Theft? (n.d.), su spamlaws.com.
  21. ^ Suo, X. and Y. Zhu., Graphical Passwords: A Survey. In Proceedings of Annual Computer Security Applications Conference, Tucson, Arizona, USA, 2005.
  22. ^ Jacob, R. J. K. and K. S. Karn, Eye Tracking in HumanComputer Interaction and Usability Research: Ready to Deliver the Promises, in The Mind's eye: Cognitive and Applied Aspects of Eye Movement Research, J. Hyona, R. Radach, and H. Deubel, Editors. Elsevier Science: Amsterdam, 2003, pp. 573-605.
  23. ^ a b L. K. Seng, N. Ithnin and H. K. Mammi, User’s Affinity of Choice: Features of Mobile Device Graphical Password Scheme’s Anti-Shoulder Surfing Mechanism, in International Journal of Computer Science Issues, vol. 2, n. 8, 2011.
  24. ^ Henessey, C., B. Noureddin, and P. Lawrence, A Single Camera Eye-Gaze Tracking System with Free Head Motion. In Proceedings of ETRA: Eye Tracking Research and Applications Symposium, in ACM Press, San Diego, California, USA, 2006, pp. 87-94.
  25. ^ Suo, X. and Y. Zhu, Graphical Passwords: A Survey. In Proceedings of Annual Computer Security Applications Conference, Tucson, Arizona, USA, 2005.
  26. ^ a b R. C. Thomas, A. Karahasanovic, and G. E. Kennedy, "An Investigation into Keystroke Latency Metrics as an Indicator of Programming Performance," presented at Australasian Computing Education Conference 2005, Newcastle, Australia, 2005.
  27. ^ M. K. Lee, Security Notions and Advanced Method for Human Shoulder-Surfing Resistant PIN-Entry, in IEEE Transactions on Information Forensics and Security, vol. 9, n. 4, April 2014, pp. 695–708, DOI:10.1109/tifs.2014.2307671. URL consultato il 6 novembre 2017.
  28. ^ Volker Roth e Kai Richter, How to fend off shoulder surfing, in Journal of Banking & Finance, vol. 30, n. 6, pp. 1727–1751, DOI:10.1016/j.jbankfin.2005.09.010. URL consultato il 6 novembre 2017.

Voci correlate