מתפרסם מאז שנת 1999
חוקרי אוני’ בן-גוריון בנגב פיתחו מתקפה חדשה המחקה את מאפייני ההקלדה של המשתמש ומצליחה לחמוק מזיהוי
חוקרי מעבדת הפוגענים (Malware Lab) של אוניברסיטת בן-גוריון בנגב פיתחו מתקפה חדשה הנקראת “Malboard” העוקפת אמצעי זיהוי שנועדו לאמת את זהותו של משתמש על בסיס מאפייני הקשות מקלדת אישיים.
מאמר אשר התפרסם בכתב העת Computer and Security, מציג מתקפה מתוחכמת שבה מקלדת USB מייצרת ושולחת פקודות זדוניות באופן אוטומטי אשר מחקות את מאפייני ההתנהגות של המשתמש המותקף.
הקשות שנוצרו בזדון אינן תואמות בדרך כלל את ההקלדה האנושית והן מזוהות בקלות בזכות אמצעי האבטחה. באמצעות שימוש בשיטות של בינה מלאכותית, מתקפה זו יוצרת פקודות באופן אוטומטי בסגנונו של המשתמש ו”מזריקה” הקשות אלה למקלדת ולמחשב הנתקף תוך התחמקות מזיהוי.
המקלדות שנבדקו במסגרת המחקר הן מבית חברת Microsoft, חברת Lenovo וחברת Dell.
“במחקר זה ביצעו 30 נבדקים שלושה תרחישי הקשה שונים, שנבדקו מול שלושה מנגנוני זיהוי קיימים כולל DuckHunt, KeyTrac ו- TypingDNA. המתקפה הצליחה לחמוק מזיהוי בשיעורים שבין 83% ל- 100% מהמקרים”, אמר ד”ר ניר ניסים, ראש מעבדת הפוגענים (Malware-Lab) וחבר במחלקה להנדסת תעשייה וניהול באוניברסיטת בן-גוריון בנגב. “מתקפת ה- Malboard הייתה יעילה בשני תרחישים – בתרחיש שבו תוקף מרוחק השתמש בתקשורת אלחוטית וכן בתרחיש שבו התוקף קרוב ובאופן פיזי עורך את המתקפה”.
הן מנגנוני ההתקפה והן הזיהוי פותחו במסגרת עבודת התזה של ניצן פרחי סטודנט מצטיין באוניברסיטת בן-גוריון וחבר בפרויקט USBEAT במעבדתו של ד”ר ניר ניסים.
“מנגנוני הזיהוי המוצעים מהימנים ומאובטחים, בהתבסס על מידע שניתן למדוד ממשאבי ערוץ צדדי, בנוסף להעברת הנתונים”, אמר ניצן פרחי. “אלה כוללים: (1) צריכת חשמל של המקלדת, (2) צליל ההקשות ו- (3) התנהגות המשתמש הקשורה ליכולת שלו להגיב לשגיאות הקלדה”.
“מנגנוני זיהוי אלה אינם מזוהים על ידי ההתקפה עצמה ולפיכך מסוגלים לזהות אותה ב- 100%, ללא אזעקות שווא”, הוסיף ד”ר ניסים. “שימוש בשלושה מנגנונים אלו כמכלול זיהוי יבטיח כי הארגון חסין מפני התקפת Malboard, כמו גם מתקפות אחרות המבוססות הקלדה אוטומטית”.
החוקרים מציעים להשתמש במנגנוני הזיהוי עבור כל מקלדת הנרכשת מידי יום ביומו, שכן מקלדות זדוניות מתוחכמות יכולות לעכב את הפעילות הזדונית שלהן לפעילות בזמן מאוחר יותר. מתקפות חדשות רבות יכולות לזהות את נוכחותם של מנגנוני אבטחה, להצליח לחמוק מהם ואף להשביתם.
חוקרי אוניברסיטת בן-גוריון מתכננים להרחיב את העבודה על התקני USB פופולריים נוספים, כולל תנועות המשתמש של העכבר, קליקים ומשך השימוש. בנוסף, הם מתכננים לערוך שיפורים במודל זיהוי ההקלדה ולשלב אותו עם מנגנונים נוספים, כדי לאתר יותר התנהגויות אישיות הקשות לשכפול.
פרופ’ יובל אלוביץ’, ראש מעבדות טלקום לחדשנות בשיתוף האוניברסיטה וד”ר ניר ניסים הנחו את ניצן פרחי בעבודת התזה שלו.