Tu teclado te delata

Un micrófono o pequeños grabadores pueden robarte documentos y datos sensibles de tu computadora

Investigadores de la Universidad de California en Berkeley encontraron que una grabación de diez minutos de una persona tipeando en el teclado revela a un analista información suficiente para recuperar alrededor del 90% de las palabras escritas.
La grabación puede ser de baja calidad y el sistema no necesita muestras previas del tipeo del usuario para realizar el análisis. La técnica puede adivinar la contraseña de una persona en sólo 20 intentos.
Esta investigación es el último estudio en subrayar el potencial disponible para robar información analizando las emanaciones de la máquina (el sonido, la luz y la energía magnética entregada por un sistema). Muchos "ataques" se basan en la intercepción y decodificación de comunicaciones encriptadas, tales como las señales usadas por la norma Bluetooth o la tecnología inalámbrica.
Sin embargo, las emanaciones de la máquina pueden filtrar inadvertidamente la información mostrada en la pantalla de la computadora o revelar detalles acerca de los cálculos actuales del sistema.
El trabajo se basa en la investigación realizada por científicos que mostraron que el software entrenado para reconocer los diferentes clicks en el teclado (¡ruidos!) podía identificar la tecla correcta alrededor del 80% de las veces. Los investigadores, Dmitri Asonov y Rakesh Agrawal, encontraron también que las teclas del teléfono podían ser reconocidas por este software, conocido como red neuronal, más del 90% de las veces.
Doug Tygar, profesor de ciencias de la computación en la Universidad de California en Berkeley, mejoró el reconocimiento hasta una exactitud de casi el 96% usando un algoritmo de proceso diferente, un algoritmo de red no neuronal y la suposición de que se estaban tipeando palabras en Inglés.
Su equipo extrajo caracterizaciones de audio de los sonidos del tipeo del usuario y agrupó los sonidos que sonaban similares en distintas categorías.Usando propiedades estadísticas del inglés -por ejemplo, 'e', 't' y 'o' ocurren más frecuentemente y 'j' nunca sigue a 'b'- asignó letras a cada categoría.
El agregado de control de separación en sílabas y gramática hizo que el reconocimiento de palabras fuera dramáticamente mejor -más del 50% de las palabras fueron "leídas" correctamente-. El uso de los resultados previos para realimentar el algoritmo mejoró aún más la exactitud. Tres rondas de realimentación resultaron en más del 92% de los caracteres correctamente estimados en un escenario típico.
Los investigadores encontraron que se necesitaban al menos 5 minutos de grabación -unos 1.500 golpes de teclas- para reconocer caracteres con un alto grado de exactitud. Una grabación de cinco minutos resultó con un 80% de exactitud, mientras que una muestra de diez minutos incrementó la exactitud a más del 90%.
A la vez que los investigadores usaban separación en sílabas y gramática para mejorar la exactitud de reconocimiento del software, el sistema pudo reconocer los caracteres que componen una contraseña no formada por palabras. Ajustado para realizar 20 intentos, el sistema reconoció correctamente el 90% de todas la contraseñas de cinco caracteres, el 77% de todas las contraseñas de 8 caracteres y el 69% de todas las contraseñas de 10 caracteres.

(c) Robert Lemos, SecurityFocus 2005-09-15
(c) Luis Muñoz, de la traducción 2005-09-16

Original en inglés: http://www.securityfocus.com/news/11318