חוקרי מעבדת הפוגענים (Malware Lab) של אוניברסיטת בן-גוריון בנגב פיתחו מתקפה חדשה הנקראת "Malboard" העוקפת אמצעי זיהוי שנועדו לאמת את זהותו של משתמש על בסיס מאפייני הקשות מקלדת אישיים.
המאמר אשר התפרסם בכתב העת Computer and Security, חושף מתקפה מתוחכמת שבה מקלדת USB מייצרת ושולחת פקודות זדוניות באופן אוטומטי אשר מחקות את מאפייני ההתנהגות של המשתמש המותקף.
הקשות שנוצרו בזדון אינן תואמות בדרך כלל את ההקלדה האנושית והן מזוהות בקלות בזכות אמצעי האבטחה. באמצעות שימוש בשיטות של בינה מלאכותית, מתקפה זו יוצרת פקודות באופן אוטומטי בסגנונו של המשתמש ו"מזריקה" הקשות אלה למקלדת ולמחשב הנתקף תוך התחמקות מזיהוי. המקלדות שנבדקו במסגרת המחקר הן מבית Microsoft, Lenovo ו-Dell.
"במחקר זה ביצעו 30 נבדקים שלושה תרחישי הקשה שונים, שנבדקו מול שלושה מנגנוני זיהוי קיימים כולל DuckHunt, KeyTrac ו-TypingDNA. המתקפה הצליחה לחמוק מזיהוי ב-83-100% מהמקרים", אמר ד"ר ניר ניסים, ראש מעבדת הפוגענים (Malware-Lab) וחבר במחלקה להנדסת תעשייה וניהול באוניברסיטת בן-גוריון בנגב. "מתקפת ה-Malboard הייתה יעילה בשני תרחישים – בתרחיש שבו תוקף מרוחק השתמש בתקשורת אלחוטית וכן בתרחיש שבו התוקף קרוב ובאופן פיזי עורך את המתקפה".
מנגנוני זיהוי חדשים מבוססי ערוצי צד
הן מנגנוני ההתקפה והן הזיהוי פותחו במסגרת עבודת התזה של ניצן פרחי, סטודנט מצטיין באוניברסיטת בן-גוריון וחבר בפרויקט USBEAT במעבדתו של ד"ר ניר ניסים.
"מנגנוני הזיהוי המוצעים מהימנים ומאובטחים, בהתבסס על מידע שניתן למדוד ממשאבי ערוץ צדדי, בנוסף להעברת הנתונים", אומר פרחי. "אלה כוללים: (1) צריכת חשמל של המקלדת, (2) צליל ההקשות ו-(3) התנהגות המשתמש הקשורה ליכולת שלו להגיב לשגיאות הקלדה".
"מנגנוני זיהוי אלה אינם מזוהים על ידי ההתקפה עצמה ולפיכך מסוגלים לזהות אותה ב-100%, ללא אזעקות שווא", מוסיף ד"ר ניסים. "שימוש בשלושה מנגנונים אלו כמכלול זיהוי יבטיח כי הארגון חסין מפני התקפת Malboard, כמו גם מתקפות אחרות המבוססות הקלדה אוטומטית".
החוקרים מציעים להשתמש במנגנוני הזיהוי עבור כל מקלדת הנרכשת מידי יום ביומו, שכן מקלדות זדוניות מתוחכמות יכולות לעכב את הפעילות הזדונית שלהן לפעילות בזמן מאוחר יותר. מתקפות חדשות רבות יכולות לזהות את נוכחותם של מנגנוני אבטחה, להצליח לחמוק מהם ואף להשביתם.
חוקרי אוניברסיטת בן-גוריון מתכננים להרחיב את העבודה על התקני USB פופולריים נוספים, כולל תנועות המשתמש של העכבר, קליקים ומשך השימוש. בנוסף, הם מתכננים לערוך שיפורים במודל זיהוי ההקלדה ולשלב אותו עם מנגנונים נוספים, כדי לאתר יותר התנהגויות אישיות הקשות לשכפול.
פרופ' יובל אלוביץ', ראש מעבדות דויטשה-טלקום לחדשנות באוניברסיטה וד"ר ניר ניסים הנחו את ניצן פרחי בעבודת התזה שלו.
