Kaj je ramensko deskanje?

Pri računalniški varnosti obstaja veliko tveganj in veliko oblik, ki jih lahko imajo ta tveganja. Deskanje z rameni je oblika socialnega inženiringa. Nanaša se na vrsto napadov, pri katerih napadalec pridobi informacije s pogledom na žrtvino napravo. To je v preteklosti vključevalo fizično gledanje čez ramo, vendar vključuje tudi tehnike, ki vključujejo skrite kamere in podobno.

Klasičen primer brskanja z ramo je, ko napadalec gleda preko žrtvinega ramena, medtem ko vnaša PIN svoje plačilne kartice. Zavedanje te vrste napada je povzročilo spremembe v vedenju, vključno z aktivnim pokrivanjem roke in tipkanjem kode PIN z drugo roko. Nekateri plačilni terminali imajo tudi vgrajen pokrov za zasebnost nad PIN ploščico. Nekateri bankomati uporabnike tudi opominjajo, naj preverijo preko ramen. Imajo lahko tudi majhno ogledalo, da lahko preverite čez ramo.

Opomba: ogledalo bankomata je pogosto majhno in nekoliko zamegljeno. To je namerno. Dovolj je dober, da lahko preverite čez ramo. Prav tako ni dovolj dober, da bi napadalcu na dobrem položaju omogočil vpogled v vaš PIN.

Ti protiukrepi so privedli do naprednejših tehnik v resničnem svetu. Številna kriminalna podjetja so uporabila skrite kamere za vohunjenje za PIN ploščico. Nekateri so se postavili dlje in uporabili daljnogled ali teleskop, da bi videli PIN ploščico z varne razdalje. Termalne kamere so bile uporabljene tudi za identifikacijo PIN-a zaradi preostale toplote, ki ostane na gumbih, ko se jih dotaknete. V nekaterih primerih so bile na sprednji del naprave nameščene posnemalne naprave, ki so prekrivale prave gumbe. Čeprav ta zadnji primer še vedno vodi do kraje kode PIN in podatkov o kartici, se to strogo ne šteje za deskanje na rami, saj dejansko opazovanje ni bilo potrebno.

Druge situacije

Seveda je lahko deskanje na ramenih tudi tveganje v drugih scenarijih. Vsak sistem s kratko skrivnostjo – zlasti na oštevilčeni PIN ploščici – je izpostavljen temu tveganju. Napadalec lahko opazuje kodo, vneseno v varnostna vrata, vidi položaje kozarcev pri odpiranju sefa ali opazuje vnos gesla.

Opomba: če na tipkovnici dlje časa uporabljate eno kodo PIN, lahko postanejo gumbi obrabljeni ali umazani samo zaradi uporabe. To je podobno – če je bolj ekstremna različica – koncepta toplotnega slikanja. Običajno velja samo za varnostna vrata, saj imajo navadno eno kodo PIN, ki jo poznajo vsi pooblaščeni uporabniki in ki se ne spreminja pogosto.

Scenarij napadalca, ki opazuje vnos gesla, je še posebej zanimiv pri računalniški varnosti. Čeprav morda ljudem ne želite povedati gesla, obstajajo drugi načini, da ga dobite. Lažno predstavljanje je razmeroma dobro znano in pogosto premalo cenjeno tveganje. Surfanje z rameni je tudi drugo tveganje. To tveganje še posebej velja v javnih okoljih, kjer nimate nadzora nad ljudmi okoli sebe. V domačem ali delovnem okolju obstaja več pričakovanj o zanesljivosti, pa naj bo to še tako napačno.

Napadalec lahko na primer vidi vaše geslo preko vaše rame, če ste v kavarni in se prijavite v svoj telefon. Napadalec lahko stori enako, če uporabljate prenosni računalnik. Lažje je, saj so tipke bolj vidne in jih je lažje razlikovati, če hitro vnesete geslo.

Druga vsebina

Pogosto je največja tarča deskarjev na rami nekaj majhnega in visoke vrednosti. Kode PIN in gesla so idealna za to, saj so kratka, jih je razmeroma enostavno prepoznati in si jih zapomniti ter na primer omogočajo nadaljnji dostop do sredstev ali računa ali naprave. V drugih primerih je lahko napad zgolj oportunističen ali posledica posebnih tarč, kot je vohunjenje.

Oportunistični napad je ponavadi opazovanje nečesa občutljivega, vendar ne nečesa koristnega za napadalca. Na primer, nekateri poslovneži delajo v javnem prevozu. Lahko delajo na občutljivih dokumentih, ki vključujejo finančne napovedi ali druge vrste občutljivih, notranjih in nejavnih informacij. Nekdo, ki sedi v bližini, bo morda lahko videl njihov zaslon in zbral informacije.

V tem primeru napadalec morda niti ni dejanski napadalec. Morda so radovedni, vendar nimajo namena storiti ničesar s tem, kar se naučijo. Vendar to ni vedno tako in tega ni mogoče ugotoviti, zato morate biti previdni, ko imate opravka z občutljivimi informacijami na javnih mestih. Ta koncept velja tudi za občutljivo osebno vsebino, zlasti fotografije ali video. Spet lahko nekdo drug pogleda vaš zaslon. Tudi če tega ne delijo naprej, je to lahko še vedno neželen vdor.

V kontekstu vohunjenja in socialnega inženiringa lahko napadalec namenoma cilja na žrtev ali lokacijo, da bi videl občutljive informacije na zaslonu. To napadalcu morda ne zagotavlja neposrednega dostopa, kot bi ga geslo. Tako kot v prejšnjem primeru so tudi druge občutljive informacije lahko dragocene za napadalca.

Zaključek

Deskanje z rameni je vrsta napada socialnega inženiringa. Vključuje napadalca, ki zbira informacije tako, da gleda na dejanja ali zaslon žrtve. Deskanje prek rame zajema predvsem poskuse prepoznavanja gesel ali kod PIN. Zajema tudi poskuse ogleda zasebnih informacij na zaslonih, kot so poslovne ali vladne skrivnosti ali ogrožajoče informacije. Deskanje z ramena je v bistvu vizualni ekvivalent prisluškovanja ali poslušanja pogovorov, ki jih ne bi smeli slišati.