ضمیمه دانش امروز روزنامه اطلاعات نوشت: حمله حرارتی یا گرمایی(Thermal attack) روشی برای دستیابی به رمز عبور و اطلاعات ورودی به وسایل ارتباطی و دیجیتالی مثل تلفنهای هوشمند است.
این نوع حمله با استفاده از اثرات گرمای بدن به ویژه دست انجام میشود و بر اساس پدیده انتقال گرما از یک شیء به شیء دیگر به اجرا در میآید.
وقتی کاربر تصدیق هویت میکند، گرما از دستهای او به سطحی که با آن تعامل دارد منتقل میشود و رد گرمای دست و انگشتهای او روی سطح به جا میماند.
این اثر به جا مانده با استفاده از دوربینهای حرارتی که در طیف فروسرخ دور عمل میکنند تجزیه و تحلیل میشود.
هکرها با بازیابی این اثرات میتوانند کلمه عبور هدف خود را بازسازی کنند. در برخی موارد آنها حتی ۳۰ ثانیه پس از تصدیق هویت کاربر یک حمله حرارتی موفق انجام دهند.
دلیل اینکه حملههای حرارتی متناسب با لحظه ورود انجام میشوند این است که دکمهها و کلیدهایی که کاربر در ابتدا لمس میکند، با گذشت زمان گرمای خود را از دست میدهند، در حالی که دکمههایی که آخر لمس میشوند اثر گرمای دست را مدت بیشتری حفظ میکنند. بدین ترتیب، مهاجم از روی الگوهای گرمایی تشخیص میدهد چه اجزایی از کلمات عبور و چه رمزهایی اول وارد شدهاند .
حملات حرارتی از روی اثر گرمای به جا مانده روی صفحه کلید نیز رمزهای عبور را تشخیص میدهند. مهاجمهایی که از روشهای هوش مصنوعی استفاده میکنند این حملات را مؤثرتر انجام میدهند.
راههای مقابله با حملات حرارتی
در حملات حرارتی مهاجم برای دستیابی به رمز عبور و اطلاعات کاربریِ هدف خود، از اثر گرمای دست او روی صفحه لمسی یا صفحه کلید استفاده میکند. چند راه حل برای مقابله با این حملات پیشنهاد شدهاست :
یک راه مؤثر در کاهش احتمال این که هدف یک حمله حرارتی قرار بگیریم دست زدن به نقاط مختلف صفحه به طور تصادفی به منظور بر هم زدن رد گرمای به جا مانده روی مسیر یا دکمههای شمارهها و حروف است .
میتوانیم به عمد روی سطح تماس که شامل صفحه لمسی تلفن هوشمند یا صفحه کلید وسیله دیجیتالی است نویز حرارتی ایجاد کنیم. کافی است پس از استفاده از وسیله مان کف دست را به مدت چند ثانیه روی سطح تماس لمسی قرار دهیم تا الگوی حرارتی به جا مانده از انگشتهایمان را بر هم بزنیم. بدین ترتیب کاربر غیرمجاز نمیتواند رمز را ردیابی کند. گرم کردن صفحه مانع از این میشود که دوربینهای حرارتی الگوی رمز لمسی را ثبت کنند.
استفاده از تصدیق هویت بیومتریک به جای وارد کردن پین کُد یا کلمه عبور به روش سنتی راهکار پیشنهادی دیگری است. همچنین میتوانیم برای چند ثانیهCPU را تا بیشترین حد ممکن وادار به کار کنیم.
راه مقابله دیگر با حملات حرارتی رفع مشکل به شیوهای اساسی از مبدأ است. سازندگان دوربینهای حرارتی باید طوری آنهارا بسازند که بتوانند به طور اتوماتیک سطوح تماس را شناسایی کنند. وقتی سطوح لمس کاربر در میدان دید دوربین شناسایی میشوند، به دوربین طوری برنامه داده میشود که از ثبت تصاویر رمز لمسی توسط کاربر جلوگیری کند.
جلوگیری از حملات حرارتی
کارشناسهای امنیت رایانه از «دانشگاه گلاسگو» در اسکاتلند نخستین مقاله جامع از راهبردهای امنیت رایانهای کنونی را گردآوری کرده و یک نظرسنجی از کاربرها به عمل آوردهاند که شامل راهبردهای ترجیحی آنهابرای جلوگیری از حملات حرارتی در دستگاههای خودپرداز(ATM) یا دستگاههای خودکار فروش بلیط است. برای مثال، برخی از کاربرها پیشنهاد میکنند در نزدیکی دستگاه خودپرداز منتظر بمانیم و پس از اطمینان از امنیت محیط اطراف کارت بانکی را وارد کرده و رمز عبور بزنیم.
آنها پژوهش خود را در قالب یک مقاله در کنفرانسUSENIX Securityدر شهر«آناهایم»، ایالت کالیفرنیا ارائه دادند. این مقاله همچنین شامل توصیههایی به سازندگان وسیلهها برای بالا بردن امنیت آنهااست. این کنفرانس یکی از معتبرترین نشستها در زمینههای امنیت رایانه و امنیت سایبری است.
این تیم پژوهشی ۱۵ رویکرد را که مقالههای پژوهشی پیشین در ارتباط با امنیت رایانهای به آنهاپرداخته بودند را شناسایی کردند. یکی از این رویکردها پوشیدن دستکش یا انگشتانه لاستیکی هنگام کار کردن با تلفن همراه است. رویکرد دیگر لمس کردن یک جسم سرد قبل از وارد کردن رمز عبور است.
اقدام مهم دیگر آنهاساخت ابزاری جدیدی به نامThermoSecureاست که میتواند با دقت متوسط ۵۵ تا ۹۲ درصد به رمزهای عبور حمله کند. میزان دقت بستگی به طول کلمه عبور دارد. این سیستم از هوش مصنوعی استفاده میکند تا تصاویر اثرات گرما را اسکن کند و در عرض چند ثانیه رمز عبور را به درستی حدس بزند. هدف از ساخت آن هشدار دادن به کاربرها درباره تهدید حملات حرارتی است.