I ricercatori della sicurezza informatica dell'Università Ben-Gurion del Negev (BGU) hanno sviluppato un nuovo attacco chiamato Malboard. Malboard elude diversi prodotti di rilevamento che hanno lo scopo di verificare continuamente l'identità dell'utente in base alle caratteristiche di battitura personalizzate.

La nuova carta, "Malboard:un nuovo attacco di rappresentazione dei tasti premuti dall'utente e un framework di rilevamento affidabile basato sull'analisi del canale laterale, " pubblicato in Computer e sicurezza rivista, rivela un attacco sofisticato in cui una tastiera USB compromessa genera e invia automaticamente sequenze di tasti dannose che imitano le caratteristiche comportamentali dell'utente attaccato.

Le sequenze di tasti generate in modo dannoso in genere non corrispondono alla digitazione umana e possono essere facilmente rilevate. Utilizzando l'intelligenza artificiale, però, l'attacco Malboard genera autonomamente comandi nello stile dell'utente, inietta i tasti premuti come software dannoso nella tastiera ed elude il rilevamento. Le tastiere utilizzate nella ricerca erano prodotti da Microsoft, Lenovo e Dell.

"Nello studio, 30 persone hanno eseguito tre diversi test di battitura contro tre meccanismi di rilevamento esistenti, tra cui KeyTrac, TypingDNA e DuckHunt. Il nostro attacco è sfuggito al rilevamento nell'83-100% dei casi, "dice il dottor Nir Nissim, capo del laboratorio malware della famiglia David e Janet Polak presso Cyber@BGU, e membro del Dipartimento BGU di Ingegneria Industriale e Management. "Malboard è stato efficace in due scenari:da un attaccante remoto che utilizzava la comunicazione wireless per comunicare, e da un utente malintenzionato o dipendente che opera fisicamente e utilizza Malboard."

Nuovi moduli di rilevamento proposti

Entrambi i meccanismi di attacco e rilevamento sono stati sviluppati come parte della tesi di master di Nitzan Farhi, uno studente BGU e membro del progetto USBEAT presso il Malware Lab di BGU.

"I nostri moduli di rilevamento proposti sono affidabili e protetti, sulla base di informazioni che possono essere misurate dalle risorse del canale laterale, oltre alla trasmissione dei dati, " Farhi dice. "Questi includono (1) il consumo energetico della tastiera; (2) il suono dei tasti; e (3) il comportamento dell'utente associato alla sua capacità di rispondere a errori tipografici."

Il dottor Nissim aggiunge, "Ciascuno dei moduli di rilevamento proposti è in grado di rilevare l'attacco Malboard nel 100% dei casi, senza errori e senza falsi positivi. Usarli insieme come un framework di rilevamento dell'ensemble assicurerà che un'organizzazione sia immune all'attacco Malboard e ad altri attacchi di battitura".

I ricercatori propongono di utilizzare questo framework di rilevamento per ogni tastiera quando viene acquistata inizialmente e quotidianamente all'inizio, poiché le tastiere dannose sofisticate possono ritardare la loro attività dannosa per un periodo di tempo successivo. Molti nuovi attacchi possono rilevare la presenza di meccanismi di sicurezza e quindi riuscire ad eluderli o disabilitarli.

I ricercatori BGU intendono espandere il lavoro su altri dispositivi USB popolari, compresi i movimenti dell'utente del mouse del computer, clic e durata di utilizzo. Hanno inoltre in programma di migliorare il modulo di rilevamento dell'inserimento di errori di battitura e combinarlo con altri meccanismi dinamici di battitura esistenti per l'autenticazione dell'utente poiché questo comportamento è difficile da replicare.