Video kaydı yeterlidir
Çılgın hack: Araştırmacılar çipli kartları ve akıllı telefonları 16 metre mesafeden bir kamerayla kırıyor
Kart terminallerindeki sinyal lambaları, o anda çalışıp çalışmadıklarını gösterir – ancak çok daha fazlası
© Peopleimages / Getty Images
Şifreleme, dijital çağın en önemli güvenlik önlemlerinden biridir. Bir grup araştırmacı artık çipli kartlardan ve akıllı telefonlardan anahtarları uzaktan okumayı başardı. Bir kamera yeterliydi.
Bir casus filminden bir sahne gibi geliyor kulağa. Bir kişi akıllı telefon kullanırken veya okuyucuya bir çipli kart tutarken, birileri gizlice çekim yapıyor. Ve daha sonra kayıttan kartın veya akıllı telefonun şifrelemesini kırabilir. Bir grup araştırmacı şimdi tam da bunu yapmayı başardı. İhtiyaç duydukları tek şey, ekipmanın sinyal ışığının net bir görüntüsüydü.
Bu, San Francisco’daki bir güvenlik konferansında sunulan bir çalışma ile gösterilmiştir. Üç ABD üniversitesinden araştırmacılardan oluşan grup, cihazların LED ışıklarının yanıp sönmesini kripto anahtarının okunabileceği şekilde değerlendirmeyi başardı. Deneylerinde standart bir güvenlik kamerasından veya iPhone’dan bir kayıt yeterliydi.
Belirgin titreme
Tamamen çılgınca görünen şey, basitçe bilinen güvenlik açıklarının bir kombinasyonuna dayanmaktadır. Örneğin geçen yıl işlemcilerin güç tüketiminin şu anda hesapladıklarını tam olarak ortaya koyduğu keşfedildi. Aynı zamanda, bağlı LED’lerin ışığı, cihazın o anda ne kadar güç tükettiğine bağlı olarak titreşir. Kombinasyon halinde, cihaz içindeki şifreleme işlemi, küçük LED’lerin dışarıdan titreşmesinden okunabilir.
Bu, çeşitli deneylerde etkileyici bir şekilde kanıtlanmıştır. Bir Samsung telefon ve standart bir kart okuyucu, 1,80 ila 16 metre mesafeden filme alındı. Kayıtlarla, değişen voltaj tarafından tetiklenen, insanlar tarafından neredeyse hiç görülemeyen veya hiç görülemeyen LED’lerdeki küçük renk değişikliklerini yakaladılar. Bu, modern kameraların panjuru olarak bilinen şeyi mümkün kılıyor: tam bir fotoğraf çekmek yerine, resmi satır satır oluşturuyorlar. Yalnızca tonu yakalamaları gerektiğinden, araştırmacılar bu prosedürü saniyede yalnızca 60 ila 120 kare olan 60.000’den fazla veri noktasını okumak için kullanabildiler. Ve sonra kripto anahtarlarını hesaplamak için bu değişiklikleri kullanın.
Hazır ürünlerle casuslar
Şifreleme işlemlerinin, neden oldukları güç dalgalanmaları aracılığıyla okunabilmesi yeni bir şey değil. İkinci Dünya Savaşı’nda kullanılan bir şifreleme tekniğinden, yakındaki osilograflardaki sinyalleri tetiklediği zaten biliniyordu. En son 2019 ve 2022’de güvenlik kartlarını ve işlemcileri okumanın yolları keşfedildi. Ancak yalnızca bunları özel ekipmanla bağlarsanız.
Yeni yöntemin gereksiz kıldığı şey de tam olarak budur. Bir güvenlik kamerasının olası kullanımı özellikle endişe vericidir. Sonuçta, kameraların çoğu uzun süredir internete bağlı. Bir bilgisayar korsanı, kamerayı bir kart terminalinden ele geçirmeyi başarırsa, teorik olarak kartın şifrelemesini okumak için kullanabilir.
Günlük kullanıma biraz uygun
Ancak, en azından yakın gelecekte bunun pratikte de olacağından korkmak için hiçbir neden yok. Araştırma grubunun yöntemi şu anda güvenilir bir şekilde çalışması için çok özel koşullar gerektiriyor. Örneğin kart okuyucunun LED’ini doğru okuyabilmek için kartların aktif olarak kullanıldığı en az 65 dakikalık kayıtlara ihtiyacınız var. Maksimum mesafeden erişim için, LED’lerin renk değişimlerinin yeterince iyi yakalanması için odadaki ışığın da kapatılması gerekir. Pratikte ütopik bir durum. Işık açıkken, kullanılabilir atış mesafesi 1,80 metreye düşer. Ek olarak, kart okuyucular bilinen şifre çözme yöntemlerinden birine karşı savunmasız olmalıdır. Bu, test edilen altı modelin tümü için geçerliydi, ancak özellikle güvenlikle ilgili alanlarda istisna olmalıdır.
Araştırmacılar elbette sınırlamaların da farkındalar. Ars Technica’ya konuşan ekip lideri Ben Nassi, “Çalışmamızın en önemli bulgularından biri, veri toplamak için herhangi bir şey bağlamanıza, ek donanım bağlamanıza gerek olmamasıdır.” “Müdahale gerekmiyor. Saldırıyı başlatmak için akıllı telefon gibi yaygın kullanılan cihazları kullanabilirsiniz.”
Zamanla, yöntem daha da basitleştirilebilir ve kamera teknolojisindeki gelişmeler sayesinde daha hassas ölçümler de düşünülebilir. Ancak o zamana kadar, araştırmacılar tarafından tasarlanan karşı önlemleri uygulamak için hala zaman var. Örneğin, üreticilerin cihazların bilgi işlem etkinliği hakkında sonuçlara varılmasını sağlayan LED’leri kullanmaktan kaçınmasını tavsiye ediyorlar. Müşterilere daha da basit bir koruma yöntemi kullanmalarını tavsiye ediyorlar: LED’i opak bir yapışkan şeritle kaplamak.
kaynaklar:Çalışma, Ars Technica
#Konular
Çılgın hack: Araştırmacılar çipli kartları ve akıllı telefonları 16 metre mesafeden bir kamerayla kırıyor
Kart terminallerindeki sinyal lambaları, o anda çalışıp çalışmadıklarını gösterir – ancak çok daha fazlası
© Peopleimages / Getty Images
Şifreleme, dijital çağın en önemli güvenlik önlemlerinden biridir. Bir grup araştırmacı artık çipli kartlardan ve akıllı telefonlardan anahtarları uzaktan okumayı başardı. Bir kamera yeterliydi.
Bir casus filminden bir sahne gibi geliyor kulağa. Bir kişi akıllı telefon kullanırken veya okuyucuya bir çipli kart tutarken, birileri gizlice çekim yapıyor. Ve daha sonra kayıttan kartın veya akıllı telefonun şifrelemesini kırabilir. Bir grup araştırmacı şimdi tam da bunu yapmayı başardı. İhtiyaç duydukları tek şey, ekipmanın sinyal ışığının net bir görüntüsüydü.
Bu, San Francisco’daki bir güvenlik konferansında sunulan bir çalışma ile gösterilmiştir. Üç ABD üniversitesinden araştırmacılardan oluşan grup, cihazların LED ışıklarının yanıp sönmesini kripto anahtarının okunabileceği şekilde değerlendirmeyi başardı. Deneylerinde standart bir güvenlik kamerasından veya iPhone’dan bir kayıt yeterliydi.
Belirgin titreme
Tamamen çılgınca görünen şey, basitçe bilinen güvenlik açıklarının bir kombinasyonuna dayanmaktadır. Örneğin geçen yıl işlemcilerin güç tüketiminin şu anda hesapladıklarını tam olarak ortaya koyduğu keşfedildi. Aynı zamanda, bağlı LED’lerin ışığı, cihazın o anda ne kadar güç tükettiğine bağlı olarak titreşir. Kombinasyon halinde, cihaz içindeki şifreleme işlemi, küçük LED’lerin dışarıdan titreşmesinden okunabilir.
Bu, çeşitli deneylerde etkileyici bir şekilde kanıtlanmıştır. Bir Samsung telefon ve standart bir kart okuyucu, 1,80 ila 16 metre mesafeden filme alındı. Kayıtlarla, değişen voltaj tarafından tetiklenen, insanlar tarafından neredeyse hiç görülemeyen veya hiç görülemeyen LED’lerdeki küçük renk değişikliklerini yakaladılar. Bu, modern kameraların panjuru olarak bilinen şeyi mümkün kılıyor: tam bir fotoğraf çekmek yerine, resmi satır satır oluşturuyorlar. Yalnızca tonu yakalamaları gerektiğinden, araştırmacılar bu prosedürü saniyede yalnızca 60 ila 120 kare olan 60.000’den fazla veri noktasını okumak için kullanabildiler. Ve sonra kripto anahtarlarını hesaplamak için bu değişiklikleri kullanın.
Hazır ürünlerle casuslar
Şifreleme işlemlerinin, neden oldukları güç dalgalanmaları aracılığıyla okunabilmesi yeni bir şey değil. İkinci Dünya Savaşı’nda kullanılan bir şifreleme tekniğinden, yakındaki osilograflardaki sinyalleri tetiklediği zaten biliniyordu. En son 2019 ve 2022’de güvenlik kartlarını ve işlemcileri okumanın yolları keşfedildi. Ancak yalnızca bunları özel ekipmanla bağlarsanız.
Yeni yöntemin gereksiz kıldığı şey de tam olarak budur. Bir güvenlik kamerasının olası kullanımı özellikle endişe vericidir. Sonuçta, kameraların çoğu uzun süredir internete bağlı. Bir bilgisayar korsanı, kamerayı bir kart terminalinden ele geçirmeyi başarırsa, teorik olarak kartın şifrelemesini okumak için kullanabilir.
Günlük kullanıma biraz uygun
Ancak, en azından yakın gelecekte bunun pratikte de olacağından korkmak için hiçbir neden yok. Araştırma grubunun yöntemi şu anda güvenilir bir şekilde çalışması için çok özel koşullar gerektiriyor. Örneğin kart okuyucunun LED’ini doğru okuyabilmek için kartların aktif olarak kullanıldığı en az 65 dakikalık kayıtlara ihtiyacınız var. Maksimum mesafeden erişim için, LED’lerin renk değişimlerinin yeterince iyi yakalanması için odadaki ışığın da kapatılması gerekir. Pratikte ütopik bir durum. Işık açıkken, kullanılabilir atış mesafesi 1,80 metreye düşer. Ek olarak, kart okuyucular bilinen şifre çözme yöntemlerinden birine karşı savunmasız olmalıdır. Bu, test edilen altı modelin tümü için geçerliydi, ancak özellikle güvenlikle ilgili alanlarda istisna olmalıdır.
Araştırmacılar elbette sınırlamaların da farkındalar. Ars Technica’ya konuşan ekip lideri Ben Nassi, “Çalışmamızın en önemli bulgularından biri, veri toplamak için herhangi bir şey bağlamanıza, ek donanım bağlamanıza gerek olmamasıdır.” “Müdahale gerekmiyor. Saldırıyı başlatmak için akıllı telefon gibi yaygın kullanılan cihazları kullanabilirsiniz.”
Zamanla, yöntem daha da basitleştirilebilir ve kamera teknolojisindeki gelişmeler sayesinde daha hassas ölçümler de düşünülebilir. Ancak o zamana kadar, araştırmacılar tarafından tasarlanan karşı önlemleri uygulamak için hala zaman var. Örneğin, üreticilerin cihazların bilgi işlem etkinliği hakkında sonuçlara varılmasını sağlayan LED’leri kullanmaktan kaçınmasını tavsiye ediyorlar. Müşterilere daha da basit bir koruma yöntemi kullanmalarını tavsiye ediyorlar: LED’i opak bir yapışkan şeritle kaplamak.
kaynaklar:Çalışma, Ars Technica
#Konular