Što je Surfanje na ramenu?

U računalnoj sigurnosti postoji mnogo rizika i mnogo oblika koje ti rizici mogu poprimiti. Surfanje na ramenu je oblik društvenog inženjeringa. Odnosi se na klasu napada gdje napadač dobiva informacije gledajući u žrtvin uređaj. To je povijesno uključivalo fizičko gledanje preko ramena, ali također uključuje tehnike koje uključuju skrivene kamere i slično.

Klasičan primjer surfanja preko ramena je kada napadač gleda preko žrtvinog ramena dok upisuje PIN svoje platne kartice. Svijest o ovoj vrsti napada dovela je do promjena u ponašanju, uključujući aktivno pokrivanje ruke i upisivanje PIN-a drugom rukom. Neki terminali za plaćanje također imaju ugrađenu zaštitu privatnosti preko PIN pločice. Neki bankomati također podsjećaju korisnike da provjere preko ramena. Također mogu sadržavati malo ogledalo koje vam omogućuje pregled preko ramena.

Napomena: Ogledalo bankomata često je sićušno i pomalo zamagljeno. Ovo je namjerno. Dovoljno je dobar da možete provjeriti preko ramena. Također nije dovoljno dobro da dobro pozicioniranom napadaču omogući da vidi vaš PIN.

Ove protumjere dovele su do naprednijih tehnika u stvarnom svijetu. Mnoga su kriminalna poduzeća koristila skrivene kamere za špijuniranje PIN-a. Neki su se smjestili dalje i koristili dalekozor ili teleskop kako bi sa sigurne udaljenosti vidjeli PIN blok. Termalne kamere također su korištene za identifikaciju PIN-a zbog zaostale topline koja ostaje na gumbima kada ih se dodirne. U nekim slučajevima, skimmer uređaji su postavljeni preko prednje strane uređaja, pokrivajući prave gumbe. Iako ovaj posljednji slučaj još uvijek rezultira krađom PIN-ova i podataka o kartici, oni se striktno ne računaju kao surfanje na ramenu, jer nije bilo potrebno stvarno promatranje.

Druge situacije

Naravno, surfanje na ramenu također može biti rizik u drugim scenarijima. Svaki sustav s kratkom tajnom – posebno na numeriranom PIN bloku – izložen je ovom riziku. Napadač bi mogao gledati šifru unesenu u sigurnosna vrata, vidjeti položaje čaša prilikom otvaranja sefa ili promatrati unošenje lozinke.

Napomena: Kada se jedan PIN koristi na tipkovnici dulje vrijeme, gumbi se mogu istrošiti ili zaprljati samo od korištenja. Ovo je slično – ako je ekstremnija varijanta – koncepta toplinske slike. Obično se odnosi samo na protuprovalna vrata jer ona obično imaju jedan PIN koji znaju svi ovlašteni, a koji se ne mijenja često.

Scenarij napadača koji promatra unošenje lozinke posebno je zanimljiv u računalnoj sigurnosti. Iako možda ljudima nećete dobrovoljno reći lozinku, postoje drugi načini da je dobijete. Phishing je relativno dobro poznat i često podcijenjen rizik. Surfanje s ramena također je još jedan rizik. Ovaj rizik posebno se odnosi na javna okruženja gdje nemate kontrolu nad ljudima oko sebe. U kućnom ili radnom okruženju postoji više očekivanja od pouzdanosti, koliko god to neumjesno bilo.

Na primjer, napadač može vidjeti vašu lozinku preko vašeg ramena ako ste u kafiću i prijavite se na svoj telefon. Napadač također može učiniti isto ako koristite prijenosno računalo. Lakše je jer su tipke istaknutije i lakše ih je razlikovati ako brzo upišete lozinku.

Ostali sadržaji

Često je najveća meta surfera na ramenu nešto malo i visoke vrijednosti. PIN-ovi i lozinke idealni su za to jer su kratki, relativno ih je lako identificirati i zapamtiti te omogućuju daljnji pristup sredstvima ili računu ili uređaju, na primjer. U drugim slučajevima, napad može biti čisto oportunistički ili rezultat određenih ciljeva, kao što je špijunaža.

Oportunistički napad ima tendenciju promatranja nečega što je osjetljivo, ali ne i nečega što je korisno za napadača. Na primjer, neki poslovni ljudi rade u javnom prijevozu. Oni mogu raditi na osjetljivim dokumentima koji uključuju financijska predviđanja ili bilo koju drugu vrstu osjetljivih, internih i nejavnih informacija. Netko tko sjedi u blizini možda će moći vidjeti njihov zaslon i prikupiti informacije.

U ovom slučaju, napadač možda čak i nije stvarni napadač. Možda su znatiželjni, ali nemaju namjeru ništa učiniti s onim što nauče. No, to nije uvijek slučaj i ne postoji način da se utvrdi, stoga treba biti oprezan kada radite s osjetljivim informacijama na javnim mjestima. Ovaj se koncept također odnosi na osjetljiv osobni sadržaj, posebno fotografije ili video. Opet, netko drugi može pogledati u vaš zaslon. Čak i ako to dalje ne dijele, to još uvijek može biti neželjeni upad.

U kontekstu špijunaže i društvenog inženjeringa, napadač može namjerno ciljati žrtvu ili lokaciju kako bi vidio osjetljive informacije na zaslonu. To ne mora nužno omogućiti napadaču izravan pristup kao što bi to bila lozinka. Kao i u prethodnom primjeru, drugi osjetljivi podaci također mogu biti vrijedni napadaču.

Zaključak

Surfanje uz rame je klasa napada društvenog inženjeringa. To uključuje napadača koji skuplja informacije gledajući radnje žrtve ili zaslon. Surfanje preko ramena prvenstveno pokriva pokušaje identificiranja lozinki ili PIN-ova. Također pokriva pokušaje da se na zaslonima vide privatne informacije, kao što su poslovne ili državne tajne ili kompromitirajuće informacije. Surfanje s ramena u biti je vizualni ekvivalent prisluškivanju ili slušanju razgovora koje niste trebali moći čuti.