«  
  »

“Jak ukraść klucz?” łamanie zabezpieczeń w urządzeniach przenośnych

Kuki wtorek, 27 Październik 2009 o 02:39:18 Drukuj wiadomość

Eksperci odkryli, w jaki spo­sób można ukraść klu­cze kryp­to­gra­ficzne uży­wane do zabez­pie­cza­nia trans­mi­sji bez­prze­wo­do­wej w urzą­dze­niach prze­no­śnych. Kradzieży można doko­nać mie­rząc ilość zuży­wa­nej ener­gii lub emi­sję czę­sto­tli­wo­ści fal radiowych.

Atak, znany jako róż­ni­cowa ana­liza mocy (DPA), wyko­rzy­stuje pomiar sygna­łów elek­tro­ma­gne­tycz­nych emi­to­wa­nych przez układ sca­lony urzą­dze­nie. Można też użyć spe­cjal­nego czuj­nika dołą­czo­nego do źródła zasi­la­nia śledzo­nego urządzenia.

Jak infor­muje Benjamin Jun, wice­pre­zes firmy Cryptography Research, która opra­co­wała tech­nikę ataku, dane są zbie­rane za pomocą oscy­lo­skopu, a następ­nie ana­li­zo­wane w taki spo­sób, by ziden­ty­fi­ko­wać infor­ma­cje zwią­zane z szy­fro­wa­niem połączenia.

Jun zapew­nia, że dzięki odpo­wied­niemu wypo­sa­że­niu można w ciągu kilku minut ukraść klucz kryp­to­gra­ficzny urzą­dze­nia znaj­du­ją­cego się w odle­gło­ści około 1,5 metra od pod­słu­chu­ją­cego. Klucz ten można następ­nie sko­pio­wać i użyć go do pozna­nia sekre­tów osoby podsłuchiwanej.

Z testów prze­pro­wa­dzo­nych przez Cryptography Research wynika, że pod­słu­chi­wać można zarówno smar­ftony jak i palm­topy, mimo tego, że urzą­dze­nia te są wypo­sa­żone w mecha­ni­zmy mające zapo­bie­gać wycie­kom danych. Jun nie chciał zdra­dzić, które kon­kret­nie modele urzą­dzeń udało się pod­słu­chać. Nie wie też, czy metody tego typu są już wyko­rzy­sty­wane przez cyber­prze­stęp­ców. Jest jedna pewien, że wcze­śniej czy póź­niej ofia­rami pod­słu­chów będą padali wła­ści­ciele smar­tof­nów. Jun przy­po­mniał, że już 10 lat temu podobne tech­niki były wyko­rzy­sty­wane do ata­ków na ter­mi­nale ban­kowe, wia­domo, że są na nie podatne też tokeny USB.

Jego zda­niem, przed pod­słu­chami takimi można zabez­pie­czyć urzą­dze­nia wpro­wa­dza­jąc przy­pad­kowe zakłó­ce­nia sygna­łów elek­tro­ma­gne­tycz­nych czy zmie­nia­jąc spo­sób szy­fro­wa­nia danych.

Znany spe­cja­li­sta ds. zabez­pie­czeń, Bruce Schneier, pytany o opi­nię na temat nowej tech­niki ataku stwier­dził, że tak długo, jak tego typu zagro­że­nia doty­czyły np. ter­mi­nali ban­ko­wych, dla osób indy­wi­du­al­nych nie były one uciąż­li­wie, o ile, oczy­wi­ście, bank nie pró­bo­wał obcią­żać ich swo­imi stra­tami. Teraz jed­nak, gdy oka­zało się, że ist­nieje moż­li­wość pod­słu­chi­wa­nia pry­wat­nych tele­fo­nów oraz sko­pio­wa­nia klu­czy kryp­to­gra­ficz­nych i korzy­sta­nia z usług, za które rachunki wysta­wiane są ofie­rze, sytu­acja stała się znacz­nie bar­dziej poważna.

Autor: Mariusz Błoński

Źródło: CNET
Źródło wia­do­mo­ści

autor: Kuki | Kategoria: Inne, Newsy, Różności | % Komentarzy
Tagi: , , ,

Komentowanie zamknięte.