Čo je to Shoulder Surfing?

V počítačovej bezpečnosti existuje veľa rizík a mnoho podôb, ktoré tieto riziká môžu mať. Ramenné surfovanie je formou sociálneho inžinierstva. Vzťahuje sa na triedu útoku, kde útočník získava informácie pohľadom na zariadenie obete. Toto historicky zahŕňalo fyzické pozeranie cez rameno, ale zahŕňa aj techniky zahŕňajúce skryté kamery a podobne.

Klasickým príkladom surfovania cez rameno je, keď sa útočník pozerá cez rameno obete pri zadávaní PINu k platobnej karte. Uvedomenie si tohto typu útoku viedlo k zmenám v správaní, vrátane aktívneho zakrývania ruky a zadávania PINu druhou rukou. Niektoré platobné terminály obsahujú aj vstavaný ochranný kryt na PIN kód. Niektoré bankomaty tiež pripomínajú používateľom, aby sa skontrolovali cez plece. Môžu tiež obsahovať malé zrkadlo, ktoré vám umožní skontrolovať cez rameno.

Poznámka: Zrkadlo bankomatu je často malé a trochu zahmlené. Toto je zámerné. Je to dosť dobré na to, aby ste sa mohli pozrieť cez rameno. Tiež nie je dosť dobré na to, aby umožnil dobre umiestnenému útočníkovi vidieť váš PIN.

Tieto protiopatrenia viedli k pokročilejším technikám v reálnom svete. Mnoho kriminálnych podnikov využívalo skryté kamery na špehovanie PIN bloku. Niektorí sa umiestnili ďalej a použili ďalekohľad alebo teleskop, aby videli PIN blok z bezpečnej vzdialenosti. Termokamery boli tiež použité na identifikáciu PIN kvôli zvyškovému teplu, ktoré zostalo na tlačidlách pri ich dotyku. V niektorých prípadoch boli skimmerové zariadenia umiestnené na prednej strane zariadenia a zakrývali skutočné tlačidlá. Aj keď tento posledný prípad stále vedie k odcudzeniu kódov PIN a údajov o karte, nepočítajú sa striktne ako surfovanie cez rameno, pretože nebolo potrebné žiadne skutočné pozorovanie.

Iné situácie

Samozrejme, surfovanie cez rameno môže byť rizikom aj v iných scenároch. Tomuto riziku je vystavený každý systém s krátkym tajomstvom – najmä na číselnom bloku PIN. Útočník by mohol sledovať kód zadaný do bezpečnostných dverí, vidieť polohu západiek pri otváraní trezoru alebo sledovať zadávanie hesla.

Poznámka: Keď sa na klávesnici dlhší čas používa jeden PIN, tlačidlá sa môžu opotrebovať alebo zašpiniť už pri používaní. Je to podobné – ak ide o extrémnejší variant – konceptu termálneho zobrazovania. Zvyčajne sa vzťahuje iba na bezpečnostné dvere, pretože majú tendenciu mať jeden PIN známy všetkým oprávneným, ktorý sa často nemenia.

V počítačovej bezpečnosti je zaujímavý najmä scenár, keď útočník spozoruje zadávané heslo. Aj keď heslo ľuďom dobrovoľne nepoviete, existujú aj iné spôsoby, ako ho získať. Phishing je pomerne známym a často nedoceneným rizikom. Ďalším rizikom je aj surfovanie cez rameno. Toto riziko platí najmä vo verejných prostrediach, kde nemáte kontrolu nad ľuďmi okolo vás. V domácom alebo pracovnom prostredí existuje skôr očakávanie dôveryhodnosti, aj keď to môže byť nesprávne.

Útočník môže napríklad vidieť váš prístupový kód cez vaše rameno, ak ste v kaviarni a prihlásite sa do telefónu. Útočník môže urobiť to isté, ak používate prenosný počítač. Je to jednoduchšie, pretože klávesy sú výraznejšie a ľahšie rozlíšiteľné, ak rýchlo zadáte heslo.

Iný obsah

Často je najväčším cieľom ramenných surferov niečo malé s vysokou hodnotou. PIN a heslá sú na to ideálne, pretože sú krátke, relatívne ľahko identifikovateľné a zapamätateľné a poskytujú napríklad ďalší prístup k finančným prostriedkom alebo účtu alebo zariadeniu. V iných prípadoch môže byť útok čisto oportunistický alebo môže byť výsledkom konkrétneho zamerania, ako je špionáž.

Oportunistický útok má tendenciu byť pozorovaním niečoho citlivého, ale nie niečoho užitočného pre útočníka. Niektorí podnikatelia napríklad pracujú vo verejnej doprave. Môžu pracovať na citlivých dokumentoch zahŕňajúcich finančné prognózy alebo akýkoľvek iný druh citlivých, interných a neverejných informácií. Niekto, kto sedí v blízkosti, môže vidieť svoju obrazovku a zhromažďovať informácie.

V tomto prípade útočník ani nemusí byť skutočným útočníkom. Môžu byť zvedaví, ale nemajú v úmysle nič robiť s tým, čo sa naučia. Nie je to však vždy tak a nie je to nijako poznať, takže pri zaobchádzaní s citlivými informáciami na verejných miestach by ste mali byť opatrní. Tento koncept sa vzťahuje aj na citlivý osobný obsah, najmä fotografie alebo videá. Opäť sa na vašu obrazovku môže pozerať niekto iný. Aj keď to ďalej nezdieľajú, stále to môže byť nechcené narušenie.

V kontexte špionáže a sociálneho inžinierstva môže útočník úmyselne zacieliť na obeť alebo miesto, aby na obrazovke videl citlivé informácie. To nemusí nevyhnutne poskytnúť útočníkovi priamy prístup ako heslo. Podobne ako v predchádzajúcom príklade môžu byť pre útočníka cenné aj iné citlivé informácie.

Záver

Surfovanie cez rameno je trieda útoku sociálneho inžinierstva. Zahŕňa útočníka, ktorý zbiera informácie tak, že sa pozerá na akcie alebo obrazovku obete. Ramenné surfovanie zahŕňa predovšetkým pokusy o identifikáciu hesiel alebo PINov. Zahŕňa aj pokusy o zobrazenie súkromných informácií na obrazovkách, ako sú firemné alebo vládne tajomstvá alebo kompromitujúce informácie. Surfovanie cez rameno je v podstate vizuálnym ekvivalentom odpočúvania alebo počúvania rozhovorov, ktoré ste nemali počuť.