Dissertacao GersondeSouzaFaria Free

7/23/2019 Dissertacao GersondeSouzaFaria Free

1/60

GERSON DE SOUZA FARIA

IDENTIFICAO DAS TECLAS DIGITADAS A PARTIRDA VIBRAOMECNICA

Dissertao apresentada Escola

Politcnica da Universidade de

So Paulo para obteno do

ttulo de Mestre em Engenharia

So Paulo

2012


2/60

GERSON DE SOUZA FARIA

IDENTIFICAO DAS TECLAS DIGITADAS A PARTIRDA VIBRAOMECNICA

Dissertao apresentada EscolaPolitcnica da Universidade deSo Paulo para obteno dottulo de Mestre em Engenharia

rea de Concentrao:Sistemas Eletrnicos

Orientador:Prof. Dr. Hae Yong Kim

So Paulo2012


3/60

Este exemplar fo i revisado e alterado em relao verso original, sobresponsabilidade nica do autor e com a anuncia de seu orientador.

So Paulo, de dezembro de 2012.

Assinatura do autor ____________________________

Assinatura do or ientador _______________________

FICHA CATALOGRFICA

Faria, Gerson de SouzaIdentificao das teclas dig itadas a partir da vibrao mec-

nica / G.S. Faria. -- ed.rev . -- So Paulo, 2012.42 p.

Dissertao (Mestrado) - Escola Politcnica da Universidadede So Paulo. Departamento de Engenharia de Sistemas Eletr-nicos.

1. Redes de computadores (Segurana) 2. Processamentodigital de sinais 3. Reconhecimento de padres I. Universidade

de So Paulo. Escola Politcnica. Departamento de Engenhariade Sistemas Eletrnicos II. t.


4/60

Agradecimentos

Ao professor Hae Yong Kim pela seriedade e exigncia no processo de orientao,

pelo constante estmulo e pela parceria real de trabalho.

Aos professores Reynaldo Daniel Pinto e Miguel Arjona Ramirez pelas valorosas

contribuies na banca de qualificao.Ao Departamento de Engenharia de Sistemas Eletrnicos da Escola Politcnica

pela aprovao da apresentao dos resultados em congresso nacional.

Capes, pela concesso de bolsa de estudo, no perodo de outubro de 2011 a

outubro de 2012 totalizando R$16.050,00.

Aos meus irmos Laercio e Alexandre, e ao Ivan Pagnossin pela pacincia nas

enfadonhas sesses de tomadas de pressionamentos de teclas. Ao Ivan tambm pelas

valiosas dicas de uso do LATEX.

Aos meus pais, que, pais que so, raramente sabem ao certo o que seus filhos fazem

(e dificilmente conseguimos explicar o que fazemos...) mas torcem para que tudo d

certo.

Ao professor Emilio Del Moral Hernandez, cuja disciplina Aplicao de Inteli-

gncia Computacional e Tcnicas de Processamento de Sinais a Sistemas Sensores e

Biossensores ensejou a realizao do experimento ATM, e ao Fernando Ginez, colega

de pesquisa no mesmo.

Ao Cludio Bordin pela disponibilizao do modelo de dissertao em LATEX.

Ao CCE pela assistncia e suporte operacionais.

Mimi Carolina (em memria), Ninoca Maria, Tita Tereza (em memria) e JolieMarie, que sempre estiveram presentes, em todos os momentos.

E last but not least, Ana, pelo apoio constante, dedicao e carinho, sem os quais

nada disso teria sido realizado.


5/60

They constantly try to escape

From the darkness outside and within

By dreaming of systems so perfect that no one will need to be good

TS Eliot, citado por R. Anderson


6/60

Sumrio

Introduo 1

1 Descrio das Vulnerabilidades Exploradas 6

1.1 Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2 Teclados Mecnicos Genricos . . . . . . . . . . . . . . . . . . . . . 6

1.3 Terminais de Ponto de Venda (POS ou PIN-pad) . . . . . . . . . . . . 8

2 Classificao de Sinais Unidimensionais - Abordagem Adotada 10

2.1 Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.2 Notaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.3 Caractersticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2.4 Algoritmos de Aprendizagem de Mquina . . . . . . . . . . . . . . . 16

3 Experimentos Realizados com Teclado Genrico (ATM) 18

3.1 Montagem Experimental . . . . . . . . . . . . . . . . . . . . . . . . 18

3.2 Acelermetros e Sistema de Aquisio . . . . . . . . . . . . . . . . . 18

3.3 Obteno das Amostras . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.4 Caractersticas Utilizadas . . . . . . . . . . . . . . . . . . . . . . . . 20

3.5 Resultados Experimentais . . . . . . . . . . . . . . . . . . . . . . . . 21

4 Experimentos Realizados com Terminal POS (PIN-pad) 224.1 Montagem Experimental . . . . . . . . . . . . . . . . . . . . . . . . 22

4.2 Experimento PIN-pad I . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.3 Experimento PIN-pad II . . . . . . . . . . . . . . . . . . . . . . . . 26

Concluso 35

i


7/60

Lista de Figuras

1.1 Teclado genrico de automao comercial utilizado em um dos ataques

efetuados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.2 Gerao atual de teclados mecnicos utilizados na maioria dos termi-

nais bancrios de auto atendimento. . . . . . . . . . . . . . . . . . . 7

1.3 Modelo genrico de PIN-pad, ou terminal POS. . . . . . . . . . . . . 8

1.4 Exemplo de selo de deteco de violao utilizado para evidenciar a

abertura de equipamentos. . . . . . . . . . . . . . . . . . . . . . . . 9

2.1 Dois pressionamentos da mesma tecla pela mesma pessoa podem ser

bem diferentes. No grfico, a acelerao da componente zde um ace-

lermetro para a tecla 0. . . . . . . . . . . . . . . . . . . . . . . . 11

3.1 Montagem do teclado e disposio e posicionamento dos acelerme-

tros. A base uma placa acrlica com 5mm de espessura. . . . . . . . 19

3.2 Exemplo de amostra da aquisio da tecla 1. Apenas o eixoz foi

utilizado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.3 O momento de inrcia do sistema ao redor de x menor do que ao

redor dey, facilitando o reconhecimento de linhas. . . . . . . . . . . 21

4.1 Layout do teclado do terminal POS utilizado. . . . . . . . . . . . . . 22

4.2 Vista da parte inferior do terminal, sem a tampa de acesso aos conec-

tores SAM, com a disposio dos acelermetros utilizados. . . . . . . 23

4.3 Uma placa da plataforma aberta Arduino foi utilizada como sistema de

aquisio. Para acomodar circuitos auxiliares e conectores para os ace-

lermetros, uma placa suplementar foi montada sobre o Arduino. Para

a converso de nveis (5V3.3V) do barramento I2C, dois transistores

MOSFET foram utilizados . . . . . . . . . . . . . . . . . . . . . . . 24

ii


8/60

4.4 Uma placa da plataforma aberta Arduino foi utilizada como sistema

de aquisio. Para acomodar circuitos auxiliares e conectores para os

acelermetros, uma placa suplementar foi montada sobre o Arduino.

Um circuito de converses de nvel (5V3.3V) com maiorthroughput

(MAX3391) foi utilizado para o barramento SPI . . . . . . . . . . . . 26

4.5 Os intervalos de amostragem dos dois sensores para a aquisio de um

pressionamento bastante irregular e somente na mdia proxima ao

valor nominal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.6 Distribuio das ocorrncias de intervalos de aquisio de um dos sen-

sores. A maior ocorrncia se d em 332s (aproximadamente 3012

amostras/s) quando a frequncia nominal de trabalho de 3200 amos-

tras/s (312s.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294.7 Estimativas de Densidade Espectral de Potncia Mdia (PSD) para os

modos mesa e mo para o eixoz. . . . . . . . . . . . . . . . . . 32

4.8 Eixos principais dos momentos de inrcia do PIN-pad. mais fcil

identificar colunas do que linhas porque o momento de inrcia no eixo

Iy menor do que no eixo Ix. Nota: Este esboo no corresponde ao

equipamento analisado. . . . . . . . . . . . . . . . . . . . . . . . . . 34

iii


9/60

Lista de Tabelas

3.1 Taxas de reconhecimento em % obtidas no experimento ATM. . . . . 21

4.1 Taxas de reconhecimento em % obtidas no experimento PIN-pad I,

modo mesa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.2 Taxas de reconhecimento em % obtidas no experimento PIN-pad II,

modo mesa sem alinhamento temporal. . . . . . . . . . . . . . . . 30

4.3 Taxas de reconhecimento em % obtidas no experimento PIN-pad II,

modo mesa com alinhamento temporal. . . . . . . . . . . . . . . . 30


modo mo sem alinhamento temporal. . . . . . . . . . . . . . . . . 31


modo mo com alinhamento temporal. . . . . . . . . . . . . . . . . 31

iv


10/60

Lista de Smbolos

Correlao cruzada (CC)

Correlao cruzada normalizada (NCC)

M Nmero de amostras deslocadas em uma operao de correlao

N Tamanho de um vetor de amostras

T Perodo de amostragem

v


11/60

Lista de Abreviaturas e Siglas

ATM (Automatic Teller Machineou Automated Teller Machine)

Caixa eletrnico de auto atendimento

CC (Cross Correlation) Correlao cruzada

EMSEC (Emission Security) Segurana de emisses

MLP (Multilayer Perceptron) Perceptron multicamadas

NCC (Normalized Cross Correlation) Correlao cruzada norma-

lizada

NSA (National Security Agency) Agncia Nacional de Segurana

dos Estados Unidos da Amrica

Open-CV (Open Computer Vision) Biblioteca de cdigo aberto com

rotinas para processamento de imagens, viso computacio-

nal e aprendizado de mquina

PIN (Personal Identification Number) Nmero de identificao

pessoal

PIN-pad Terminal de ponto de venda em que o PIN inserido

POS (Point of Sale) Terminal de ponto de venda

PSD (Power Spectral Density) Densidade Espectral de Potncia

RBF (Radial Basis Function) Funo de base radial

RT (Random Trees) rvores Aleatrias

SVM (Support Vector Machine) Mquina de vetores de suporte

vi


12/60

Resumo

Este trabalho descreve um ataque que detecta as teclas pressionadas em teclados me-

cnicos pela anlise das vibraes geradas quando as mesmas so pressionadas. Dois

equipamentos foram experimentados no ataque: um teclado genrico de automao

comercial e um terminal de ponto de venda (POS / PIN-pad). Acelermetros so uti-

lizados como sensores de vibrao. Propositalmente, o equipamento necessrio para a

execuo do ataque de baixssimo custo, de modo a ressaltar o risco das vulnerabili-

dades encontradas. Obtivemos taxas de sucesso mdio de 69% no reconhecimento das

teclas pressionadas para o terminal PIN-pad em repouso e 75% para o mesmo sendo

segurado na mo. No caso de teclado de automao comercial, as taxas mdias de

acerto ficaram em torno de 99%.

Palavras-chave: Processamento de sinais. Segurana da informao. Ataque a

Canais Secundrios. Tempest. PIN-pad. ATM. Acelermetros. Teclados. Arduino.

vii


13/60

Abstract

This work describes an attack that identifies the sequence of keystrokes analyzing me-

chanical vibrations generated by the act of pressing keys. We use accelerometers as

vibration sensors. The apparatus necessary for this attack is inexpensive and can be

unobtrusively embedded within the target equipment. We tested the proposed attack on

an ATM keypad and a PIN-pad. We achieved the key recognition rates of 99% in ATM

keypad, 69% in PIN-pad resting on a hard surface and 75% in PIN-pad hold in hand.

Keywords: Signal Processing. Information Security. Side channel attack. Tempest.

PIN-pad. ATM. Accelerometers. Keyboards. Arduino.

viii


14/60

Introduo

Consideraes Iniciais

Atualmente, teclados mecnicos so a principal interface homem-mquina devido

sua facilidade de operao, eficincia e baixo custo. No mercado de meios de pa-

gamento eletrnico, teclados so a escolha natural para a entrada de dados sigilosos,

como senhas em terminais de ponto de venda,1 caixas eletrnicos etc. Na esfera gover-

namental, os teclados mecnicos so utilizados para inserir os nmeros de candidatos

em urnas eletrnicas. Deste modo, a possibilidade de que algum descubra a sequn-

cia de teclas digitadas (sem que o usurio perceba) uma sria ameaa segurana de

sistemas. Dois tipos de teclado so analisados neste trabalho teclados de terminais

de ponto de venda e teclados originalmente utilizados para entrada de dados em esta-

belecimentos bancrios. Utilizamos o termo terminal POS ou PIN-pad de forma

indistinta, como sendo um equipamento porttil, que recebe o carto magntico ou

smart carddo cliente e que possui um teclado embutido em seu corpo para entrada de

PIN ou senha.

Reviso da Literatura

No encontramos na literatura ataques a teclados mecnicos pela anlise de vibraes

capturadas por meio de acelermetros. Estudos correlatos apresentam apenas ataques

que analisam os sons gerados ao pressionar teclas de teclados de computador [2, 3, 4],

teclas de terminais de caixas eletrnicos [2] e ataques acsticos em outros dispositivos,

1Segundo dados da Associao Brasileira das Empresas de Cartes de Crdito e Servios (ABECS),

as duas maiores credenciadoras operam no Brasil com mais de 4 milhes de terminais, tendo efetuado

3 bilhes de operaes no ano de 2010 [1].

1


15/60

tais como impressoras matriciais [5]. Tromer apresenta em [6] uma criptanlise em que

afirma ser possvel identificar as operaes matemticas de uma assinatura RSA sendo

executadas pela CPU, por meio da captura de emanaes acsticas de um capacitoreletroltico da fonte de alimentao, na faixa de 20kHz. Cai e Chen descrevem um ata-

que que permite inferir os dgitos pressionados no teclado virtual de celulares baseados

no sistema Android analisando o movimento do aparelho capturado pelo acelerme-

tro interno do mesmo [7]. Uma anlise geral sobre a vulnerabilidade de sensores de

telefones celulares apresentada em [8].

Objetivos

O principal objetivo deste trabalho descrever um ataque fsico no invasivo a teclados

mecnicos. A tcnica aqui empregada foi testada em dois experimentos: um teclado

genrico de automao comercial e um terminal de ponto de vendaPoint Of Sale(POS)

nos quais foi possvel detectar as teclas digitadas a partir das vibraes mecnicas

geradas nos equipamentos pelo ato de pression-las. Tais vibraes so capturadas por

acelermetros instalados na base do teclado para o caso de terminais de automao e

no interior do terminal, para o caso dos equipamentos POS. A possibilidade de um

ataque similar foi sugerida por Kuhn [9]:

Information theft through unconventional side-channels is unlikely to re-

main restricted to the electromagnetic, optical, and acoustic domain. For

example, a mechanical side-channel could be exploited by installing pres-

sure sensors underneath the feet of a keyboard, or the table on which it

rests. How the force vector of each keystroke will be split up among these

anchor points will depend on the location of the respective key. Two or

three attached transducers should suffice to distinguish and record keys-

troke sequences, an attack that may be of particular concern with trusted

PIN-entry devices.2

2Traduo livre: improvvel que roubo de informao atravs de canais secundrios no con-vencionais permanea restrito aos domnios eletromagntico, ptico e acstico. Por exemplo, um canal

secundrio mecnico poderia ser explorado instalando-se sensores de presso sob os ps de um teclado,ou a mesa em que ele se encontra. O modo como os vetores das foras de cada pressionamento se-

2


16/60

O autor sugere a possibilidade de identificao das teclas pressionadas pela anlise

vetorial das foras resultantes em determinados pontos do equipamento, como, por

exemplo, nos suportes da base (ps). Kuhn afirma ser improvvel que o roubo de

informao por meio de canais secundrios (side channels) fique restrito aos domnios

eletromagntico, ptico e acstico. Porm, segundo o nosso conhecimento, este ataque

nunca foi testado experimentalmente. Diferentemente da proposta de Kuhn, nosso

ataque no analisa as foras nas bases, mas sim as vibraes mecnicas geradas pelo

ato de pressionar as teclas.

Motivao e Justificativa

Com a crescente generalizao do uso de equipamentos eletrnicos em transaes co-

merciais, surge concomitantemente uma nova gama de crimes eletrnicos, evoluindo

conjuntamente tecnologia empregada nos equipamentos. Como forma de conter o

avano de tais delitos, criam-se instituies, normas e padres de certificao de se-

gurana, baseados em um primeiro momento nos paradigmas, nas doutrinas e nas ex-

perincias de campo dos rgos de segurana nacionais, no mbito de inteligncia e

contra-inteligncia do perodo posterior II Guerra Mundial. Tal cenrio de carter

militar tinha em vista essencialmente equipamentos eletromecnicos, em que efeitos

de emisso eletromagntica so comuns devido ao chaveamento de motores de dis-

positivos de cifrao, equipamentos de fac-smile, copiadoras, terminais de teletipo

(teleimpressoras) etc. Tais emisses carregam informao que pode eventualmente ser

utilizada, seja por seu contedo sigiloso de interesse, seja por expor indevidamente a

operao e caractersticas do equipamento utilizado [10]. A rea militar de EMSEC

(Emission Security) [11, captulo 17] especificamente dedicada preveno de ata-

ques pelo uso de emanaes comprometedoras, do inglscompromising emanations.

O escopo do EMSEC relativo s ondas eletromagnticas, principalmente emisso no

espectro de RF. At o momento, tais especificaes so de uso estritamente militar e

confidencial, sendo que umas poucas partes dos documentos originais so de domnio

ro compostos ir depender da localizao da respectiva tecla. Dois ou trs transdutores devero ser

suficientes para distinguir e armazenar a sequncia de pressionamentos, um ataque que pode ser depreocupao especial em equipamentos de insero do PIN

3


17/60

pblico graas ao Freedom of Information Act (FOIA) vigente na legislao norte-

americana [11, p. 546],[12, 13].

Embora os processos de certificao de equipamentos para uso comercial no te-

nham que possuir o mesmo rigor no tocante emanaes, muito de seu perfil parece ter

sido emprestado das especificaes de carter militar. Como exemplo, interessante

ressaltar que o principal consrcio responsvel pelo desenvolvimento de padres em

segurana de pagamentos com carto, o Payment Card Industry - Security Standards

Council(PCI) cite nominalmente emisses de carter do EMSEC, mas no considere

explicitamente as vibraes mecnicas como fonte potencial de ameaa segurana de

informao.3

Abordagem Proposta

A abordagem de ataque aqui desenvolvida a de anlise de vibrao mecnica de te-

clados, originada pelo ato de teclar. Consideramos tal ataque como um side-channel

attack, situao em que a informao vaza por um canal distinto do projetado inten-

cionalmente para comunicao [11]. Side-channel attack normalmente um ataque

baseado na informao ganha da implementao fsica de um criptossistema [15, 16].

Outros exemplos desse tipo de ataque compreendem o uso de informao temporal

(timing analysis), consumo de energia (power analysis), vazamento de emisso eletro-

magntica ou sonora, que podem prover informao adicional a ser explorada de forma

a quebrar o sigilo do sistema. Ataques invasivos4 no so abordados ou considerados

neste trabalho.

3There is no feasible way to determine any entered and internally transmitted PIN digit by mo-

nitoring sound, electro-magnetic emissions, power consumption or any other external characteristic

available for monitoring even with the cooperation of the device operator or sales clerk without

requiring an attack potential of at least 26 for identification and initial exploitation with a minimum

of 13 for exploitation. [14, p. 9]. Traduo livre: No deve haver um modo vivel de determinar

qualquer dgito do PIN inserido e transmitido internamente pela monitorao de som, emisses eletro-

magnticas, consumo de energia ou qualquer outra caracterstica externa disponvel para monitorao

mesmo com a cooperao do lojista sem que o mesmo requeira um potencial de ataque de ao menos

26 para identificao e explorao inicial e um mnimo de 13 para o uso final.4Ataques em que h algum tipo de dano ou modificao do equipamaneto alvo.

4


18/60

Principais Contribuies

A principal contribuio deste trabalho expor uma vulnerabilidade inerente ao uso

de teclados mecnicos, sejam independentes ou sejam embutidos em terminais POS.

Apresentamos elementos suficientes mostrando que ataques no invasivos a ambos

para acesso indevido informao so possveis e podem ser efetuados a um baixs-

simo custo.

Organizao do texto

O contedo deste trabalho est organizado da seguinte maneira:

O Captulo 1 apresenta os principais pontos de vulnerabilidade dos equipamen-

tos explorados pelo ataque;

O Captulo 2 aborda as tcnicas aplicadas na classificao dos sinais;

O Captulo 3 apresenta o experimento utilizando o teclado ATM, os resultados

obtidos e as discusses;

O Captulo 4 apresenta dois experimentos utilizando um terminal PIN-pad, os re-

sultados obtidos e as discusses comparativas entre estes e o experimento ATM;

Por fim, apresentamos as concluses finais sobre os resultados.

Publicaes

O contedo desta dissertao deu origem s seguintes publicaes:

O artigoIdentificao das teclas digitadas a partir da vibrao mecnica [17],

publicado nos Anais do 30o Simpsio Brasileiro de Telecomunicaes, (anexado

ao final deste trabalho) que consiste em parte do experimento PIN-pad I.

O artigo Identification of Pressed Keys From Mechanical Vibrations, subme-

tido ao peridico IEEE Transactions on Information Forensics and Security, que

consiste do contedo dos experimentos ATM, PIN-pad I e PIN-pad II desta dis-

sertao.

5


19/60

Captulo 1

Descrio das Vulnerabilidades

Exploradas

1.1 Introduo

Sistemas mecnicos possuem frequncias de operao resultantes de vrias caracters-

ticas intrnsecas a estes, como o material utilizado em sua construo, peso, geometria,

composio das partes, dinmica de movimentao, interao com o meio etc. Tais

propriedades fazem com que o sistema apresente caractersticas prprias quanto sua

resposta a algum estmulo externo. Essas caractersticas constituem uma espcie de

assinatura fsica do mesmo para determinado fenmeno. De forma anloga, os ins-

trumentos musicais e suas notas so reconhecveis pelo som que produzem quando

tocados, ainda que por msicos diversos. Sua assinatura composta pelos mesmos

elementos citados acima: material, peso, geometria etc. Com base nessa intuio, nos

perguntamos sobre a possibilidade de identificar as teclas pressionadas em teclados

pela vibrao originada pelo pressionamento das mesmas.

1.2 Teclados Mecnicos Genricos

Caixas eletrnicos de auto atendimento so vtimas constantes de ataques por motivos

bvios. Uma galeria bastante elucidativa de ataques pode ser vista em [18]. Teclados

como o da Figura 1.1 foram utilizados em terminais de auto atendimento de bancos por

6


20/60

Figura 1.1: Teclado genrico de automao comercial utilizado em um dos ataquesefetuados.

Figura 1.2: Gerao atual de teclados mecnicos utilizados na maioria dos terminais

bancrios de auto atendimento.

longo perodo de tempo. Aparentemente tal modelo tem sido substitudo, no sendo

mais utilizado ao menos para este segmento. Hoje, observam-se teclados metlicos de

menor curso de tecla, e estas, de altura menor, como o exemplo da Figura 1.2, deno-

minados genericamente de teclados ATM antivandalismo. Tal alterao pode ter a

capacidade de mitigar ataques de tipo acstico [2], dentre outras qualidades. Os tecla-

dos de gerao anterior emitem um som bastante caracterstico e de intensidade audvel

a metros de distncia, quando pressionados com intensidade razovel, constatado no

experimento aqui realizado com esse modelo de teclado.

7


21/60

Figura 1.3: Modelo genrico de PIN-pad, ou terminal POS.

1.3 Terminais de Ponto de Venda (POS ou PIN-pad)

Assim como ATMs, terminais POS tambm so alvos constantes de ataques. Equi-

pamentos como os terminais POS (Figura 1.3) possuem mecanismos de deteco de

violao fsica (tampering), de modo a destruir informao sensvel, como chaves crip-

togrficas, contidas em seu permetro de segurana. Saar Drimmeret. al. [19] eviden-

ciaram de forma contundente que em determinadas circunstncias esse mecanismo

pode ser completamente burlado.

Uma inspeo visual mostrou que terminais POS possuem em sua parte inferior

uma tampa removvel de servio e manuteno de modo a oferecer acesso legtimo

aos conectores de cartes SAM (Security Authentication Module), responsveis pela

segurana da comunicao do sistema bem como pela autenticao com as redes de

servios. De forma a ampliar as opes dos lojistas, fabricantes de terminais POS

disponibilizam equipamentos com at quatro conectores, possibilitando a operao de

vrias prestadoras de servios de meios de pagamento em um mesmo terminal.

Se por um lado ampliam-se as opes de operao para vrias prestadoras, por

outro aumenta-se o risco na segurana, pois tal espao possibilita a implantao de

dispositivos de coleta ilegal de informao (bugs, que em nosso caso so os aceler-

metros). Um mecanismo de deteco de abertura comumente utilizado o da aplicao

de selos do tipovoid seal(Figura 1.4), no encontro da tampa com o corpo do terminal,

indicando visualmente a prvia abertura do compartimento. Mas nos casos de compar-

timento de acesso legtimo, tais selos so dificilmente encontrados. Porm, ainda que

8


22/60

existam, por vrias razes, o consumidor no costuma prestar ateno a tal item no mo-

mento anterior ao ato de digitar a sua senha. Alm do acesso ao compartimento, outra

condio que beneficiaria ainda mais um ataque a alimentao eltrica disponvel nos

terminais dos conectores SAM, que poderia ser utilizada para alimentar cartes SAM

falsos contendo acelermetros e possveis circuitos auxiliares de comunicao. Como

consequncia, o ataque poderia se tornar no invasivo e no detectvel no terminal,

sem uso de fios e baterias aparentes.

Figura 1.4: Exemplo de selo de deteco de violao utilizado para evidenciar a aber-

tura de equipamentos.

9


23/60

Captulo 2

Classificao de Sinais

Unidimensionais - Abordagem

Adotada

2.1 Introduo

Uma mesma pessoa pode apertar uma tecla de vrias formas diversas, com maior ou

menor intensidade, maior ou menor permanncia da presso na tecla, variao nas

componentes de fora dadas pelo ngulo do dedo relativo ao teclado etc. Por outro

lado, mesmo que ela se esforce para pressionar uma tecla de modo semelhante, a vi-

brao gerada no equipamento pode ainda ser bem variada, como podemos observar

na Figura 2.1.

Um outro elemento complicador de uma possvel modelagem o fato de o sistemaser perturbado em posies fsicas distintas, correspondentes s diferentes teclas. Ob-

servamos ainda que vibraes aparentemente esprias ocorrem no teclar de algumas

teclas especficas, devido oscilao de partes internas do terminal, que ressonam na

presena de energia naquela vizinhana. Este fenmeno no ocorre em todos os pres-

sionamentos, mas em situaes em que a presso exercida ultrapassa algum limiar.

Dada a extensa variabilidade de fenmenos existentes no sistema, optamos por

no adotar a abordagem de identificao paramtrica, mas sim, abordamos o problema

como um caso de classificao de padres via aprendizagem de mquina.

10


24/60

(a)

(b)

Figura 2.1: Dois pressionamentos da mesma tecla pela mesma pessoa podem ser bemdiferentes. No grfico, a acelerao da componente zde um acelermetro para a tecla

0.

Deste modo, em lugar de uma identificao paramtrica, foram extradas carac-

tersticas do sistema, ou seja, caractersticas consideradas relevantes em um processo

de aprendizado/discriminao. As caractersticas aqui escolhidas no caracterizam va-

riveis do sistema como um todo, conforme observado em [2] que utiliza espectro de

frequncia da emisso audvel de pressionamentos, ou alguma representao deste,

como cepstrum. Tampouco consideramos o uso de coeficientes de autoregresso, coe-

ficientes de decomposio wavelet etc., pois assim estaramos no mbito da represen-

tao paramtrica (1o caso) ou espectral (2o caso), e no entendemos a capacidade de

discriminao das teclas, pela vibrao gerada. Isto , entendemos ser uma suposio

demasiado forte incorrendo em possvel perda de generalizao a de que as teclas

possuam respostas em frequncia distintas a ponto de poderem ser caracterizadas por

isso. Ademais, bastaria uma alterao em algum componente comum ao sistema (a

borracha das teclas, a espessura da placa de circuitos, por exemplo) para que todo o

espectro de frequncias de vibrao mecnica se deslocasse completamente.

Dadas tais suposies, o que se procurou aqui foi tentar obter caractersticas que

explorassem dependncias mtuas entre os sinais de acelerao, como o atraso relativo

na propagao destes, muito mais dependente das posies das teclas e acelermetros

do que da frequncia de resposta do sistema, de carter geral. Para isso, as caracte-

rsticas foram computadas utilizando-se correlaes cruzadas e correlaes cruzadas

11


25/60

normalizadas pelas varincias, projetadas de forma a descrever dependncias mtuas

entre os sinais, estes analisados sempre aos pares.

importante frisar que, embora consideremos a adoo de caractersticas superiorneste caso em termos de generalizao comparado anlise espectral e paramtrica, os

experimentos no foram testados em vrios dispositivos, i.e., o equipamento em que o

sistema foi treinado o mesmo em que foi testado.

2.2 Notaes

Seja v o vetor representando a srie temporal deNvalores de acelerao adquiridos deum eixo de um acelermetro, com um perodo de amostragem fixo T, cujos elementos

so vi, 0 i < N. O valor mdio de v denotado por v. O vetor de mdia nula v

possui elementos vi = vi v. Utilizamos apenas valores de acelerao com extrao

da mdia pois nessa anlise no nos interessa a contribuio da acelerao esttica da

gravidade.

O produto escalar entre os vetores de mdia nula ve w:

v w=N1

i=0

viwi (2.1)

O produto escalar est diretamente relacionado ao cosseno do ngulo entre ambos

vetores e pode ser utilizado como medida de similaridade dos dois sinais. Ele

invariante a bias(porque ambos os vetores so de mdia nula) mas no invariante

amplitude (ele diretamente proporcional magnitude dos dois vetores).

Suponhamos que os valores de acelerao obtidos quando uma pessoa pressiona

a mesma tecla com diferente presso difiram apenas em amplitude. Neste caso, seria

muito desejvel o uso de caractersticas invariantes amplitude. O produto escalar

torna-se invariante biase amplitude se o dividirmos pelas normas dos dois vetores,

obtendo o coeficiente de correlao:

corr(v, w) = v w

v

w

(2.2)

Tal suposio (a energia de um pressionamento altera apenas a amplitude da vi-

12


26/60

brao) somente parcialmente verdadeira, como pode ser visto na Figura 2.1. Desta

forma, utilizamos ambos, produto escalar e coeficiente de correlao na tentativa de

criar caractersticas relevantes para a identificao das teclas.

Suponha que a vibrao gerada por um pressionamento demore n1 perodos de

amostragem at alcanar o acelermetro A1 e demore n2 perodos para alcanar o

acelermetro A2. Neste caso, observaremos um pico no produto escalar (ou correlao)

entre os valores de acelerao obtidos por A1e aqueles obtidos por A2, quando o ltimo

for deslocado para a direita den1n2posies, caracterizando a tecla pressionada. As

caractersticas abaixo foram projetadas para detectar correlaes sobre deslocamentos

dos sinais.

A correlao cruzada (CC) entre ve w um vetor cujos elementos so os produ-

tos escalares calculados entre vetores deslocados, ignorando-se os elementos que no

possuem o par correspondente:

(v w)n=

Nn1i=0

viwn+i, 0 n < N (2.3)

(w v)n, N < n


27/60

Denotemos o vetor coluna com2M+ 1 elementos centrais de CC como:

(v w)M =

(v w)M

(v w)M+1

. . .

(v w)M1

(v w)M

(2.7)

Similarmente, denotemos o vetor coluna com2M+ 1 elementos centrais de NCC

como:

(v w)M =

(v w)M

(v w)M+1

. . .

(v w)M1

(v w)M

. (2.8)

Como ser descrito nas sees relativas aos experimentos, no caso ATM, utilizamos

trs acelermetros e tomamos apenas amostras do eixozde cada sensor, obtendo trs

sinais. Deste modo, um pressionamento representado por trs vetores coluna, cada

um contendo 300 valores de acelerao:

VATM= (z1, z2, z3) (2.9)

Nos experimentos com PIN-pad, utilizamos dois acelermetros e tomamos amos-

tras dos trs eixos de cada sensor. Assim, um pressionamento representado por seis

vetores coluna, cada um contendo 300 amostras de acelerao:

VPIN= (x1,y1, z1,x2,y2, z2) (2.10)

onde x1corresponde aos valores de acelerao do eixo x do sensor 1 e assim por diante.

14


28/60

2.3 Caractersticas

Algumas das caractersticas (ou features) listadas abaixo so aplicveis a todos os ex-

perimentos, algumas a um experimento especfico.

2.3.1 ccsame

O vetor de caractersticasccsame formado pelo conjunto de2M + 1 elementos cen-

trais das correlaes cruzadas de pares de vetores de acelerao de mesma coordenada

fsica, tendo a mdia subtrada, para algum M 0, isto :

ccATMsame

=

(z1 z2)M

(z2 z3)M

(z1 z3)M

(2.11)

ccPINsame

=

(x1 x2)M

(y1 y2)M

(z1 z2)M

(2.12)

A motivao do uso de produtos escalares de vetores de mesma coordenada fsica

a de que sensores distintos iriam adquirir vibraes similares mas com atrasos distintos.

Essa distino de atrasos iria auxiliar na discriminao da tecla pressionada.

2.3.2 cccomb

O vetor de caractersticas cccomb o conjunto de 2M + 1 elementos centrais das

correlaes cruzadas de todas as combinaes 2 a 2 dos vetores de mdia extrada. Ele

possui15 (2M + 1) elementos nos experimentos com PIN-pad. Esta caracterstica

no utilizada nos experimentos com ATM porque ccATMcomb

=ccATMsame

. Aqui utilizamos

correlaes entre eixos de diferentes coordenadas fsicas, inclusive, esperando que, ao

prover mais informao ao sistema, o aprendizagem de mquina possa aproveitar e

generalizar as relaes de tridimensionalidade presentes no movimento. Assim como

ccsame, esta caracterstica no normalizada, ou seja, a informao de amplitude dos

pressionamentos aqui considerada.

15


29/60

2.3.3 nccsame

O vetor de caractersticas nccsame obtido substituindo-se as correlaes cruzadas

em ccsamepor correlaes normalizadas . Correlaes cruzadas normalizadas so

invariantes biase amplitude, desconsiderando a amplitude das vibraes.

2.3.4 ncccomb

O vetor de caractersticas ncccomb obtido substituindo-se as correlaes cruzadas

em cccomb por correlaes normalizadas . Esta caracterstica no utilizada no

experimento ATM porque nccATM

comb =

ncc

ATM

same .

2.3.5 Esquemas de Classificao

Em todos os experimentos, os mesmos dados foram utilizados em trs esquemas dis-

tintos. O primeiro esquema consiste em agrupar o pressionamento pela linha da tecla,

o segundo pela sua coluna e o terceiro esquema em identificar a tecla diretamente por

seu rtulo. Por exemplo, a tecla 6 recebeu o rtulo 2 no esquema linhas pois est

localizada na segunda linha; 3 no esquema colunas pois est localizada na terceira

coluna, e 6 no esquema teclas. No experimento ATM, 9 teclas so distribudas em 3

linhas e 3 colunas (Figura 3.1) e nos experimentos PIN-pad, 12 teclas distribudas em

4 linhas e 3 colunas foram utilizadas (Figura 4.1). A separao em esquemas linha e

coluna se mostrou bastante til pois possibilita a identificao de um dos aspectos limi-

tantes no reconhecimento das teclas. Dado que a mdia de acerto no reconhecimento

de uma tecla aproximadamente o produto entre as mdias de acertos de linhas e de

colunas, tal decomposio indica a deficincia no reconhecimento, se na identificao

de linhas ou de colunas.

2.4 Algoritmos de Aprendizagem de Mquina

Utilizamos trs algoritmos de aprendizagem de mquina: Perceptron Multicamadas

(MLP), rvores Aleatrias (RT) e Mquina de Vetores de Suporte (SVM). Nos trs

casos, usamos implementaes providas pela biblioteca C++ OpenCV [21, 22]. Ne-

16


30/60

nhuma tcnica de reduo de dimenso de caractersticas foi adotada, i.e., no foi

utilizado nenhum algoritmo de seleo de variveis do conjunto de caractersticas con-

siderados mais relevantes segundo algum critrio.

2.4.1 Perceptron Multicamadas (Multilayer Perceptron)

A configurao do MLP [23] foi composta de uma camada de entrada (as prprias

caractersticas), duas camadas ocultas de 30 neurnios cada e uma camada de sada. O

nmero de neurnios da camada de sada varia de acordo com o esquema/experimento.

Para o esquema de colunas, igual a 3 para ATM e PIN-pad; para linhas, igual

a 3 para ATM ou 4 para PIN-pad. Para o esquema de teclas, 9 para ATM ou 12

para PIN-pad. O algoritmo de aprendizado utilizado foi o error back propagation.

Nenhuma otimizao de arquitetura foi efetuada, sendo que a quantidade de neurnios

e camadas ocultas foram escolhidasad-hoc.

2.4.2 rvores Aleatrias (Random Trees)

rvores aleatrias (algoritmo tambm conhecido como florestas aleatrias) um al-goritmo baseado em uma floresta de rvores de deciso [24]. Uma de suas caractersti-

cas interessantes a de poder operar com caractersticas de faixas dinmicas bastante

distintas sem a necessidade de normalizao.

2.4.3 Mquina de Vetores de Suporte (Support Vector Machine)

Utilizamos SVM com funo de base radial (RBF) [25, 26]. Optamos por deixar a

implementao OpenCV escolher automaticamente os parmetros timos. Antes de

efetuar o treino e teste, as caractersticas foram normalizadas na faixa [1,+1].

17


31/60

Captulo 3

Experimentos Realizados com Teclado

Genrico (ATM)

3.1 Montagem Experimental

Para a abordagem proposta, trs acelermetros foram posicionados em uma placa acr-

lica em que o teclado tambm fixado (Figura 3.1). A fixao feita mediante o uso de

quatro postes metlicos, mantendo o teclado elevado e tendo como contato mecnico

com a base apenas estes quatro pontos, por meio dos quais a vibrao gerada pelo ato

de teclar transmitida placa acrlica, na qual quatro ps de borracha foram aplicados

nos vrtices.

3.2 Acelermetros e Sistema de Aquisio

Os acelermetros utilizados so Freescale MMA7260QT, analgicos, do tipo MEMS

(Microelectromechanical Systems) [27], com sensibilidade ajustvel eletronicamente

para 1,5g, 2g, 4g e 6g. Experimentalmente verificamos que a sensibilidade de

1,5g (800mV/g) suficiente e a mais adequada para a intensidade de vibraes que

sero medidas.

O hardware utilizado para a aquisio e converso analgico-digital dos sinais dos

sensores um kit de desenvolvimento de software bsico, equipado com um micro-controlador LPC2148 de arquitetura ARM7, cujos conversores A/D internos possuem

18


32/60

Figura 3.1: Montagem do teclado e disposio e posicionamento dos acelermetros. A

base uma placa acrlica com 5mm de espessura.

resoluo de 10bits.

O software de aquisio foi desenvolvido para trabalhar na frequncia de amostra-

gem de 6700Hz. Alm dos conversores A/D internos, foi utilizada a UART (Uni-

versal Asynchronous Receiver/Transmitter) do microcontrolador para enviar os dados

das amostras pela interface serial no padro RS232 uma taxa de 115.200 bits por

segundo.

Por questes de simplificao do modelo e limitao do canal de comunicao

serial, somente o eixo z, normal ao pressionamento das teclas, foi amostrado. Foi

desenvolvido um software que, ao detectar um evento de pressionamento de tecla,

coleta uma janela de 300 amostras de cada sensor, sendo que so armazenadas 50

amostras anteriores ao evento e outras 250 aps. Na frequncia de trabalho definida,

essa janela de amostragem corresponde a aproximadamente 45ms (Figura 3.2).

A deteco do evento de pressionamento feita pela anlise da magnitude do si-

nal medido por cada um dos sensores. Uma variao, em mdulo, superior a 10% do

valor mdio calculado durante o repouso do teclado (momento sem nenhum pressio-

namento de tecla), em qualquer um dos trs sensores, corresponde ao evento de incio

de pressionamento.

19


33/60

Figura 3.2: Exemplo de amostra da aquisio da tecla 1. Apenas o eixozfoi utili-zado.

3.3 Obteno das Amostras

De modo a capturar diferentes formas de teclar cada uma das teclas, o processo de

amostragem envolveu cinco pessoas, cada uma pressionando 10 vezes cada uma das

teclas da matriz 33 que corresponde s teclas de 1 a 9 do teclado utilizado no ex-

perimento (Figura 3.1). Notou-se durante o processo de coleta das amostras que cadapessoa possui uma maneira diferente de teclar, que envolve variaes na intensidade

e na posio de toque na tecla. Dos aproximadamente 450 pressionamentos, 80% foi

reservado para treino e 20% para teste.

3.4 Caractersticas Utilizadas

As caractersticas utilizadas para o experimento ATM foram cc

same e ncc

same, comvalores de M variveis.

20


34/60

Esquema Linhas Esquema Colunas Esquema Teclas

Caracterstica Dim MLP RT SVM MLP RT SVM MLP RT SVM

ccsame 45 100,0 96,7 100,0 97,9 90,4 97,7 95,0 86,1 96,163 100,0 97,9 100,0 97,9 91,7 94,1 95,1 89,3 97,2

nccsame

45 100,0 97,8 100,0 97,9 89,2 97,0 96,9 86,2 97,0

63 100,0 98,9 100,0 98,3 90,3 97,0 97,3 88,7 99,3

Tabela 3.1: Taxas de reconhecimento em % obtidas no experimento ATM.

3.5 Resultados Experimentais

A Tabela 3.1 apresenta as taxas de acerto de reconhecimento para o experimento ATM

para os trs esquemas, linhas, colunas e teclas. Os melhores resultados encontram-se

destacados. Para o reconhecimento de linhas, todas as caractersticas utilizadas forne-

ceram taxas de acerto de 100% para os classificadores MLP e SVM. J para colunas,

a caracterstica nccsamesuperou as demais, embora na mdia as outras tambm forne-

ceram valores bastante elevados. Note que o esquema linhas atinge melhores taxas

de reconhecimento do que o esquema colunas. O oposto ser observado nos expe-

rimentos com PIN-pad. Este fato pode ser explicado considerando-se que a base do

experimento ATM maior na largura (x) do que na profundidade (y), como pode ser

visto na Figura 3.3. Deste modo, o momento de inrcia com relao ao eixox menor

que o momento com relao ao eixo y. Consequentemente, mais fcil balanar ou

girar o equipamento ao redor dexdo quey.

Figura 3.3: O momento de inrcia do sistema ao redor de x menor do que ao redor

dey, facilitando o reconhecimento de linhas.

21


35/60

Captulo 4

Experimentos Realizados com

Terminal POS (PIN-pad)

4.1 Montagem Experimental

A abordagem aqui adotada poderia ser aplicada a praticamente qualquer terminal POS

que possua teclado mecnico em seu corpo. A matriz de teclas do equipamento utili-

zado padro, como pode ser observada na Figura 4.1. As placas dos acelermetros

foram envolvidas em um pedao de espaguete termo retrtil e coladas nas posies da

Figura 4.2.

Figura 4.1: Layout do teclado do terminal POS utilizado.

Os acelermetros no possuem qualquer conexo eltrica com o terminal, sendo

que no prottipo foram utilizados cabos de conexo ligando os sensores ao sistema de

aquisio. Aps acondicionados os sensores e os cabos, a tampa original foi recolocada

no terminal.

22


36/60

Dois experimentos foram realizados com o terminal PIN-pad, aqui denominados

de PIN-pad I e PIN-pad II. Os acelermetros utilizados em ambos os experimentos so

distintos, dentre outras caractersticas que sero descritas nas sees correspondentes.

Figura 4.2: Vista da parte inferior do terminal, sem a tampa de acesso aos conectores

SAM, com a disposio dos acelermetros utilizados.

4.2 Experimento PIN-pad I

4.2.1 Acelermetros e Sistema de Aquisio

Os acelermetros utilizados so MMA8452, digitais, de 12 bits e trs eixos, da famlia

Freescale Xtrinsic [28]. O sistema de aquisio foi desenvolvido na plataforma Ar-

duino Mega 2560 [29], como mostra a Figura 4.3. A comunicao entre o sensor e o

Arduino feita via barramento I2C [30], utilizando-se conversores de nvel. A escala

de acelerao adequada foi 2g e a taxa de amostragem adotada foi a mxima para o

acelermetro, 800 amostras/s. Utilizamos as informaes de acelerao nos trs eixos.

Para cada pressionamento de tecla, foram coletadas 300 amostras, para os trs eixos

dos dois sensores, totalizando 1800 elementos por pressionamento.

23


37/60

Figura 4.3: Uma placa da plataforma aberta Arduino foi utilizada como sistema de

aquisio. Para acomodar circuitos auxiliares e conectores para os acelermetros,

uma placa suplementar foi montada sobre o Arduino. Para a converso de nveis

(5V3.3V) do barramento I2C, dois transistores MOSFET foram utilizados

4.2.2 Obteno das Amostras

De modo a capturar diferentes formas de teclar cada uma das teclas, o processo de

obteno das amostras envolveu duas pessoas em cinco sesses de tomada de pressio-

namentos. Cada sesso foi composta pelo pressionamento de 40 vezes cada uma das

12 teclas da matriz 43 da Figura 4.1.

Um dos testadores executou trs sesses e o outro duas sesses. No total, foram ad-

quiridos 2400 pressionamentos, 200 para cada tecla. Durante o processo de coleta das

amostras, notamos que cada pessoa possui uma maneira distinta de teclar, envolvendo

variaes na intensidade, na posio e na permanncia do dedo sobre a tecla. Um pro-

grama MATLAB foi desenvolvido para a leitura das amostras do sistema de aquisio.

Em todas as sesses, o terminal ficou em repouso sobre uma mesa. As amostras fo-

ram tomadas sempre com o terminal desligado, pois o fator em anlise a vibrao

mecnica do mesmo, sendo indiferente o equipamento estar ou no energizado.

Utilizamos os dados de 4 sesses das 5 para treino. Os dados da sesso excluda

do treinamento foram utilizados para teste. O procedimento repetido excluindo-se

uma sesso de cada vez e treinando com as 4 restantes. Os resultados apresentados na

24


38/60



ccsame 45 34,7 35,8 35,4 64,1 68,4 55,2 24,3 25,5 21,263 35,3 36,7 30,3 64,4 69,2 56,9 25,3 25,7 21,9

cccomb

45 40,3 42,3 36,8 78,9 79,6 78,1 36,0 35,5 36,1

75 39,5 42,4 36,8 79,9 80,9 81,1 36,6 37,0 39,0

nccsame

45 33,8 34,7 37,2 64,3 66,8 70,5 24,4 25,1 30,1

63 32,1 36,4 37,8 64,1 66,9 72,5 24,5 26,5 30,2

ncccomb

45 38,4 42,7 44,5 78,6 80,9 81,6 34,3 36,6 38,5

75 40,0 44,4 46,5 80,7 83,1 84,2 37,2 38,5 42,1

Tabela 4.1: Taxas de reconhecimento em % obtidas no experimento PIN-pad I, modo

mesa.

tabela correspondem s mdias dos 5 resultados de teste.

4.2.3 Caractersticas Utilizadas

Para o experimento PIN-pad I, foram utilizadas as caractersticas ccsame, nccsame,

cccombe ncccomb, com valores de M variveis.

4.2.4 Resultados Experimentais

A Tabela 4.1 apresenta as taxas de acerto de reconhecimento para o experimento. Neste

caso, diferentemente do experimento ATM, as taxas de reconhecimento de colunas

muito maior do que a de linhas. Em todos os esquemas, a combinao da caracters-

tica ncccomb de dimenso 75 com o classificador SVM produziu as melhores taxas de

acerto, com 46,5%, 84,2% e 42,1% para os esquemas linhas, colunas e teclas, respec-

tivamente. A taxa de acerto de 42,1% extremamente baixa comparada com 99,3%

obtida no experimento ATM. Assim, um novo experimento foi conduzido, o Experi-

mento PIN-pad II, descrito na prxima seo, de modo a tentar obter maiores taxas

de reconhecimento.

25


39/60

4.3 Experimento PIN-pad II

4.3.1 Acelermetros e Sistema de Aquisio

A montagem do experimento PIN-pad II muito similar montagem do experimento

PIN-pad I. No entanto, utilizamos um modelo distinto de acelermetros: Analog De-

vices ADXL345, com 10 bits de resoluo, trs eixos e taxas de amostragem mxima

de 3200 amostras/s [31]. Tal acelermetro possui um barramento de dados com maior

throughput, o Serial Peripheral Output(SPI), exigindo um esquema de converso de

nveis adicional, como pode ser visto na Figura 4.4. Escolhemos esse modelo pois

consideramos que a baixa taxa de amostragem do experimento anterior (800 amos-

tras/s em comparao a 6700 amostra/s no experimento ATM) poderia ser responsvel

pelas baixas taxas de acerto daquele experimento. Deste modo, utilizamos a maior

taxa disponvel pelos novos acelermetros, 3200 amostras/s, quatro vezes maior que a

do experimento PIN-pad I. Como no experimento anterior, utilizamos as informaes

de acelerao nos trs eixos.

Figura 4.4: Uma placa da plataforma aberta Arduino foi utilizada como sistema de

aquisio. Para acomodar circuitos auxiliares e conectores para os acelermetros, uma

placa suplementar foi montada sobre o Arduino. Um circuito de converses de nvel

(5V3.3V) com maiorthroughput(MAX3391) foi utilizado para o barramento SPI

26


40/60

4.3.2 Obteno das Amostras

Foram adquiridos pressionamentos de 5 pessoas, cada uma participando de duas ses-

ses. Na primeira sesso, a pessoa pressiona as teclas com o PIN-pad em repouso em

uma superfcie rgida (modo mesa). Na segunda sesso, a pessoa pressiona as teclas

segurando o terminal com uma das mos (modo mo).

Cada sesso foi composta de 40 pressionamentos para cada uma das 12 teclas do

terminal cujo teclado esboado na Figura 4.1. Um total de 4800 presionamentos

foi adquirido (5 pessoas 2 sesses 12 teclas 40 pressionamentos). Para cada

pressionamento, 300 valores de acelerao dos trs eixos de ambos os sensores fo-

ram adquiridos, totalizando 1800 amostras. Utilizamos os dados da sesso 1 (modo

mesa) independentemente dos dados da sesso 2 (modo mo).

Utilizamos os dados de 4 pessoas das 5 para treino. Os dados da pessoa que fo-

ram excludos do treinamento so utilizados para teste. O procedimento repetido

separando-se para teste os dados de uma pessoa de cada vez e treinando-se com os

dados das 4 restantes. Os resultados apresentados nas tabelas correspondem s mdias

dos 5 resultados de teste.

4.3.3 Caractersticas Utilizadas

Para o experimento PIN-pad II, foram utilizadas as caractersticas ccsame, nccsame,

cccombe ncccomb, com valores deM variveis.

4.3.4 Alinhamento das Amostras

Observamos que as taxas de amostragem dos dois acelermetros eram ligeiramente

distintas, dado que os acelermetros digitais possuem relgios internos independentes.

Outro problema observado que o sistema de aquisio alterna sequencialmente as

leituras das amostras entre os sensores, isto , amostras dos dois sensores no so

adquiridas simultaneamente (com atraso negligencivel comparando-se ao perodo

de amostragem), causando um desalinhamento temporal nos dados adquiridos.

A Figura 4.5 apresenta os intervalos de amostragem dos dois sensores para a aqui-

sio de um pressionamento (300 amostras). A mdia para o sensor 1 312s (equi-

27


41/60

valente a uma taxa de 3208 amostras/s) e para o sensor 2 310s (equivalente a

uma taxa de 3228 amostras/s).

Figura 4.5: Os intervalos de amostragem dos dois sensores para a aquisio de um

pressionamento bastante irregular e somente na mdia proxima ao valor nominal.

A Figura 4.6 apresenta o histograma dos intervalos de amostragem para um con-

junto inteiro de aquisies. Observamos que o intervalo entre amostragens do sistema

torna-se bastante irregular, variando de 200s a 400s.

Assim, de forma a minimizar estes problemas de sincronizao, armazenamos jun-

tamente s amostras de acelerao o timestamp do momento em que a amostra foi

adquirida, com a preciso permitida pelo sistema de aquisio de 4s. Utilizando-se a

informao do instante das amostras, uma interpolao splinecbica foi efetuada nos

dados de modo a obter uma aproximao dos valores de amostras para uma sequncia

de intervalos regulares de tempo. Os valores de reconhecimento foram comparados

para os casos sem alinhamento temporal e com alinhamento temporal.

28


42/60

Figura 4.6: Distribuio das ocorrncias de intervalos de aquisio de um dos sensores.

A maior ocorrncia se d em 332s (aproximadamente 3012 amostras/s) quando a

frequncia nominal de trabalho de 3200 amostras/s (312s.)

4.3.5 Resultados Experimentais

Modo MESA

A Tabela 4.2 apresenta as taxas de reconhecimento com o PIN-pad em repouso sobre

uma superfcie rgida (modo mesa), sem alinhamento temporal das amostras. As

taxas de reconhecimento so significativamente maiores do que aquelas obtidas no

experimento PIN-pad I (Tabela 4.1), provavelmente devido ao aumento da taxa de

amostragem (3200 amostras/s em vez de 800 amostra/s). A melhor taxa de acertos

de teclas aumentou de 42,1% (Tabela 4.1) para 63,4% (Tabela 4.2). Assim como no

experimento PIN-pad I, a caracterstica ncccomb com dimenso 75 combinada com o

classificador SVM atingiu as melhores taxas de acerto em todos os trs esquemas.

A Tabela 4.3 apresenta as taxas de acerto para os mesmos dados submetido ao

processo de alinhamento temporal das amostras. As taxas de acerto aumentaram ainda

mais. Com alinhamento, a melhor taxa de reconhecimento de teclas foi 68,8%.

A caracterstica ncccomb com dimenso 75 combinada ao classificador SVM ob-

29


43/60



ccsame 45 53,6 44,5 48,2 79,4 77,5 77,0 51,1 37,7 48,863 56,2 46,4 51,6 80,8 78,7 80,1 50,3 38,7 51,9

cccomb

45 55,8 48,5 51,2 84,5 80,3 80,0 51,8 39,9 52,2

75 58,7 51,9 56,6 87,8 82,6 83,8 59,2 43,7 57,0

nccsame

45 55,4 50,6 58,0 78,6 75,9 81,9 50,6 44,2 53,5

63 57,7 52,2 60,8 81,1 78,5 84,1 56,1 45,5 56,7

ncccomb

45 55,4 53,5 59,9 83,7 79,3 85,0 56,1 46,2 55,7

75 61,4 56,6 63,4 88,0 83,1 88,2 61,0 49,9 63,4

Tabela 4.2: Taxas de reconhecimento em % obtidas no experimento PIN-pad II, modo

mesa sem alinhamento temporal.



ccsame

45 61,0 51,0 59,4 84,1 80,2 81,0 61,5 44,0 62,8

63 65,6 53,0 63,9 85,9 80,2 83,4 66,4 45,1 66,1

cccomb

45 62,7 50,6 57,0 86,3 81,2 82,1 59,4 43,3 53,2

75 65,4 53,4 60,4 89,1 83,6 83,8 64,8 46,9 62,7

nccsame

45 63,4 59,7 66,0 81,7 78,9 85,8 64,2 53,9 65,3

63 67,0 60,3 68,2 83,7 81,6 87,1 66,5 57,4 66,4

ncccomb 45 62,0 57,5 62,6 83,3 80,9 86,6 61,1 50,3 62,675 66,0 60,5 67,3 89,5 84,8 89,9 68,6 57,5 68,8

Tabela 4.3: Taxas de reconhecimento em % obtidas no experimento PIN-pad II, modo

mesa com alinhamento temporal.

teve uma das mais altas taxas de acerto em todos os trs esquemas.

ModoMO

As Tabelas 4.4 e 4.5 apresentam as taxas de acerto com o PIN-pad no modo mo,

sem alinhamento temporal e com alinhamento temporal, respectivamente.

Em geral, as taxas de acerto para o modo mo so maiores do que os correspon-

dentes do modo mesa. Novamente as taxas de acerto com alinhamento de tempo

(Tabela 4.5) so maiores do que as correspondentes sem alinhamento (Tabela 4.4).

Como era de se esperar, o alinhamento temporal melhora a qualidade dos dados obti-

dos, sendo assim uma etapa de pr-processamento essencial neste cenrio.

A melhor taxa de reconhecimento de todos os experimentos com PIN-pad foi de

30


44/60

75,2%, obtida no modo mo com alinhamento temporal, utilizando-se as caracters-

ticas nccsamecom dimenso 63 combinada ao classificador MLP (Tabela 4.5).

Levantamos algumas hipteses para explicar a maior facilidade de reconhecimentono modo mo. A Figura 4.7 ilustra a estimativa de potncia dos sinais de acelerao

para os modos mesa e mo para o eixo z.

Os grficos correspondem ao periodograma mdio de todos os pressionamentos,

para fins de anlise qualitativa. possvel observar que para o modo mo, as mai-

ores energias esto concentradas em regies de frequncia baixa (100Hz) ao passo

que para o modo mesa, os picos principais ocorrem na vizinhana de 100Hz. Obser-

vamos tambm que o pico de energia da principal componente (z) aproximadamente3 vezes maior para o modo mo. Com base nessa observao, possvel concluir



ccsame

45 73,2 61,8 69,5 74,0 72,0 65,3 60,7 43,8 53,563 74,8 61,3 70,8 76,7 75,6 75,4 64,6 46,5 60,0

cccomb

45 61,1 45,3 59,4 87,9 87,8 87,9 58,4 42,4 55,775 67,0 50,9 62,7 86,8 89,0 88,0 65,4 47,0 59,2

nccsame

45 73,9 65,4 73,8 73,3 71,3 74,6 61,6 45,4 59,663 74,9 65,6 72,4 78,8 74,0 77,5 66,0 50,5 63,8

ncccomb

45 60,6 54,7 59,0 88,4 86,6 88,8 60,2 48,6 61,475 69,3 57,9 70,9 88,2 87,5 90,0 66,9 51,9 65,9

Tabela 4.4: Taxas de reconhecimento em % obtidas no experimento PIN-pad II, modomo sem alinhamento temporal.



ccsame

45 82,6 66,6 79,9 75,8 73,2 70,5 69,6 49,2 61,963 82,0 67,0 76,6 81,6 75,1 75,4 72,8 52,3 64,4

cccomb

45 68,3 49,0 63,0 88,3 89,2 89,0 63,1 45,4 58,875 74,7 54,4 69,2 88,6 89,4 88,8 70,8 50,0 66,2

nccsame

45 81,8 71,1 77,6 76,5 72,0 78,0 70,4 51,4 67,263 82,0 71,7 81,1 80,1 75,2 81,1 75,2 55,1 70,5

ncccomb

45 68,1 57,7 65,2 88,8 86,6 89,0 67,9 53,1 65,375 74,8 62,7 75,5 90,4 87,4 91,1 74,3 57,8 70,5

Tabela 4.5: Taxas de reconhecimento em % obtidas no experimento PIN-pad II, modomo com alinhamento temporal.

31


45/60

Figura 4.7: Estimativas de Densidade Espectral de Potncia Mdia (PSD) para os mo-

dos mesa e mo para o eixo z.

que tal faixa de frequncias (100Hz) traz mais informao sobre o evento de pres-

sionamento. Isto significa que alm da vibrao de frequncia mais alta devida ao

pressionamento da tecla, a informao de movimento tridimensional devida s oscila-

es das mos pode ter colaborado significativamente com o processo de classificao.

Contrariamente, no modo mesa, a atividade nessa faixa de frequncias inexistente.

4.3.6 Discusso

Os resultados do experimento PIN-pad II foram superiores aos do experimento PIN-

pad I pelos seguintes motivos:

1. A taxa de amostragem foi quadruplicada, o que aumenta a capacidade de distin-

guir atrasos e torna mais preciso o cculo das caractersticas.

2. A interpolao numrica produz caractersticas mais robustas.

No entanto, as taxas de reconhecimento do experimento ATM so ainda maiores

do que do experimento PIN-pad II. Isso pode ser devido aos fatores:

1. No experimento ATM, trs acelermetros permitem a triangulao do campo de

vibrao.

32


46/60

2. No experimento ATM, o sistema l os trs valores de acelerao simultanea-

mente, com atraso irrelevante. A taxa de amostragem mantida constante e

fornecida por um relgio nico. Em comparao, nos experimentos PIN-pad,cada sensor possui seu relgio, com taxas de amostragem ligeiramente distin-

tas. Alm disso, o instante de cada amostragem depende da disponibilidade do

barramento de dados, compartilhado por ambos os sensores (Figuras 4.5 e 4.6).

3. A interpolao numrica melhorou substancialmente os resultados mas ainda

assim uma aproximao.

4. O experimento ATM utilizou taxa de amostragem de aproximadamente 6700amostras/s, duas vezes a do experimento PIN-pad II e 8 vezes a de PIN-pad I.

5. No experimento ATM, no foram utilizados testadores independentes. Embora

os dados de treino e teste sejam segregados, ambos partem dos mesmos treina-

dores, o que eleva naturalmente as taxas de reconhecimento. Isto no ocorre nos

experimentos PIN-pad, em que os dados dos treinadores so utilizados apenas

para treino.

4.3.7 Reconhecimento de Linhas e Colunas

Em todos os experimentos com o terminal PIN-pad, as colunas foram sempre mais

fceis de serem identificadas do que as linhas. Este fato pode se explicado utilizando-

se a mesma argumentao utilizada na Seo 3.5. O terminal PIN-pad alongado

(Figura 4.8), isto , ele maior em profundidade (y) do que em largura (x). Deste

modo, o momento de inrcia relativo ao eixo Iy menor do que o relativo ao eixo

Ix, onde Iye Ixso os eixos centrais dos momentos de inrcia nas direes ye x.

possvel estimar aproximadamente1 os momentos de inrcia centrais relativos ao eixos

xeyutilizando-se as equaes:

Ix =M(b2 +c2)

12 (4.1)

1As equaes 4.1 e 4.2 so exatas apenas para paraleleppedos simtricos de massa uniforme [32].

33


47/60

Iy =M(a2 +c2)

12 (4.2)

Utilizando-se as dimenses reais do equipamento analisado, a 70 mm, b 180

mm e c 30 mm, observamos que Iy aproximadamente 6 vezes menor do Ix. Isso

significa que muito mais fcil girar ou vibrar o equipamento sobre Iy que Ix, re-

sultando em maiores variaes de amplitude naquela orientao e, por conseguinte,

tornando maior a capacidade de identificao de colunas do que de linhas, ou seja, o

sistema responde mais variaes na direo das colunas do que das linhas. Outro as-

pecto relevante na capacidade de discrimar linhas e colunas o de as linhas serem mais

prximas entre si do que as colunas, como pode ser visto na Figura 4.1. A proporo

entre as distncias entre linhas e entre colunas 1:2.

Figura 4.8: Eixos principais dos momentos de inrcia do PIN-pad. mais fcil iden-tificar colunas do que linhas porque o momento de inrcia no eixo Iy menor do queno eixo Ix. Nota: Este esboo no corresponde ao equipamento analisado.

34


48/60

Concluso

Este trabalho abordou o problema de identificao de teclas pressionadas em um te-

clado ATM e em um terminal POS, pela anlise das vibraes mecnicas produzidas

pelo ato de teclar. Obtivemos taxas de acerto de 99,3% no experimento ATM. Esta

taxa extremamente elevada, mesmo considerando-se que o resultado foi obtido em

ambiente de laboratrio. Ele mostra quo correlacionados so os pressionamentos e as

vibraes, vazando quase que completamente toda a informao.

Tambm obtivemos taxas de acerto de 68,8% e 75,2% no experimento com termi-

nal POS em repouso em uma superfcie rgida e sendo segurado na mo, respectiva-

mente. Estas taxas so igualmente muito elevadas e certamente configuram brechas de

segurana. Em segurana da informao, a descoberta de qualquer dado que aumente

o conhecimento da informao sigilosa considerada uma brecha de segurana.

Consideramos tambm que o fcil acesso ao compartimento de conectores SAM

agrava a vulnerabilidade do terminal POS, permitindo uma instalao no detectvel

de acelermetros e sistemas de comunicao, ocultando totalmente o dispositivo ilegal.

Vale ressaltar que microcontroladores e dispositivos de comunicao sem fio esto dis-

ponveis com dimenses extremamente reduzidas, com capacidade de processamento

cada vez maior e na faixa de preo de poucas dezenas de dlares2.

A sugesto de Kuhn [9] afirmando ser improvvel que o roubo de informao por

meio de canais secundrios (side channels) fique apenas restrito aos domnios eletro-

magntico, ptico e acstico totalmente procedente, e a sua viabilidade corroborada

pelos resultados aqui obtidos. No seria, de forma alguma, absurda a hiptese do sur-

2Apenas como exemplo, a Texas Instruments lanou em setembro de 2012 uma plataforma de desen-

volvimento equipada com processador ARM Cortex M4F de 80MHz com 12 canais de converso A/D

de 12 bits e uma grande variedade de interfaces de comunicao pelo preo promocional de US$4.99(limitado a duas unidades). [33]

35


49/60

gimento de uma nova gama de ataques com o uso de sensores, dada a massificao

dessa tecnologia em dispositivos mveis ser hoje uma realidade. A crescente facili-

dade com a qual implementaes de software e hardware so efetuadas e o crescente

barateamento destes torna ainda mais importante um aprofundamento no estudo das

possibilidades dessas tecnologias na elaborao de ataques cada vez mais inusitados.

Para comprovar tal possibilidade, todos os experimentos aqui desenvolvidos foram

executados com equipamentos de custo extremamente baixo, utilizando tcnicas sim-

ples e hardware de conhecimento pblico.

Na realidade, a relao de dependncia entre os avanos tecnolgicos e suas con-

sequncias, tanto gerais como no tocante ao sigilo da informao no constituem novi-

dade terica. O trecho seguinte sobre o TEMPEST3, escrito em 1981 de autoria de um

oficial daNational Security Agency, fornece um panorama abrangente do problema:

We are being faced with more and more types of sophisticated informa-

tion processors - including computer-based systems - and these are pro-

liferating at a greater rate we can track. This fact, coupled with more

widespread knowledge of the phenomenon, the decline in the availability

of trained technical personnel for testing and corrective action in the field

(. . . ), and the advent of more potent exploitation devices and techniques

place us in a less than satisfactory posture.[34, p. 39] 4

Embora o autor deste trecho o tenha elaborado tendo o mbito militar como pre-

ocupao, dcadas de informaes abundantes sobre a escalada de fraudes efetuadas

por meios eletrnicos em todos os domnios da sociedade demonstram que o trecho

citado extrapola a esfera para o qual foi originalmente imaginado, tanto no aspecto da

evoluo tecnolgica como no da capacidade de formao de pessoal.

Ainda que o escopo dessa dissertao seja delimitado a apenas um aspecto da segu-

rana de dispositivos, acredito ter demonstrado o potencial de falha de segurana que

3Codinome dado pela NSA ao problema de segurana da informao devido s emanaes eletro-

magnticas (e, em menor escala, acsticas) [10]4Traduo livre: Estamos sendo confrontados com mais e mais tipos de processadores de infor-

mao incluindo sistemas computacionais e estes esto se proliferando a uma velocidade maior do

que podemos acompanhar. Este fato, juntamente a uma ampla difuso de conhecimento do fenmeno,

o declnio na disponibilidade de pessoal tcnico treinado para teste e ao corretiva na rea (. . . ) e oadvento de mais dispositivos e tcnicas poderosas de explorao nos coloca em uma posio menos que

satisfatria.

36


50/60

acomete projetos de sistemas fsicos, que em princpio deveriam possuir excelncia em

nveis de segurana.

Uma linha argumentativa de defesa recorrente por parte de fabricantes de sistemas

quando confrontados com ataques originados de pesquisas acadmicas, a de que tal

ataque seria invivel nas ruas, por tratar-se de pesquisa de elevado grau de complexi-

dade ou alto custo. Na realidade, tal argumento no se sustenta de forma geral, sendo

o trabalho aqui apresentado apenas mais um contraexemplo. Ademais, considerar que

recursos sejam fatores limitantes equivalente a ignorar a existncia de grupos cri-

minosos profissionais, estabelecimentos comerciais controlados por mfias etc. cuja

disponibilidade de recursos (tempo, dinheiro, acesso informao privilegiada etc.)

no pode ser negligenciada de forma alguma.

Desta forma, foroso compreender a segurana como algo alm da mera adequa-

o normas de certificao, que so procedimentos baseados em fatos ocorridos, ou

seja, possui os olhos dirigidos ao passado. O conselho de Sun Tzu permanece atual,

aps 2.500 anos [35, cap. III]:

Sobressai-se em resolver as dificuldades quem as resolve antes que apa-ream.

Em outras palavras, ataques que outrora poderiam ser considerados tecnologica-

mente inviveis, com o tempo passam naturalmente a fazer parte da realidade. A

postura psicolgica de negao da possibilidade de existncia de ataques at ento

inauditos no deve fazer parte da conduta do profissional de segurana.

Um outro aspecto de risco, que vai alm do aqui tratado, reside na adeso apenas

tecnolgica como a soluo para a segurana em sentido amplo, postura analisada de

forma extensiva principalmente em [11]. Utilizando nosso caso como exemplo, de

pouco vale o algoritmo ou nmero de bits utilizados na chave de cifrao da comu-

nicao do equipamento orgulhosamente divulgados pelos fabricantes se a maior

parte da informao torna-se disponvel externamente.

Durante o processo de realizao deste trabalho, observamos muitos estabeleci-

mentos comerciais operando equipamentos com as exatas deficincias aqui expostas.

No obstante, tais equipamentos carregam o rtulo de Equipamento certificado de

37


51/60

acordo com os padres PCI, fato que, aps os resultados aqui obtidos, merece uma

sria reflexo.

Com respeito a contramedidas, importante considerar que cada novo projeto de

equipamento traz em si vulnerabilidades peculiares, bem como mitigao destas, sendo

normalmente inaplicvel uma nica metodologia soluo do problema.

Concluindo, acredito ter contribudo para a ampliao do espao de possibilidades

de ataques, cuja dimenso problemtica e qui imensurvel.

38


52/60

Referncias Bibliogrficas

[1] Associao Brasileira das Empresas de Cartes de Crdito e Servios (ABECS),

Evoluo Mquinas POS. Disponvel em: http://www.abecs.org.br/site2012/

admin/arquivos/estudos/%7BA3E4D2A7-337E-4E88-B180-B40167EC37F5%

7D_2249-A-Maquinas_POS_14_04_10.pdf, Acesso em ago., 2011.

[2] D. Asonov and R. Agrawal, Keyboard acoustic emanations, in Proc. IEEE

Symp. Security and Privacy, pp. 3, 2004.

[3] L. Zhuang, F. Zhou, and J. D. Tygar, Keyboard acoustic emanations revisited,

ACM T. Information and System Security, vol. 13, no. 1, pp. 3:13:26, Oct. 2009.

[4] Y. Berger, A. Wool, and A. Yeredor, Dictionary attacks using keyboard acoustic

emanations, inProc. 13th ACM Conf. Computer and Communications Security,

pp. 245254, 2006.

[5] M. Backes, M. Drmuth, S. Gerling, M. Pinkal, and C. Sporleder, Acoustic side-

channel attacks on printers. in Proc. USENIX Security Symposium, pp. 307322,

2010.

[6] E. Tromer, Hardware-based Cryptanalysis, Weizmann Institute of Science,

Tese de Doutorado, 2007. Disponvel em: http://tau.ac.il/~tromer/papers/

tromer-phd.pdf, Acesso em set., 2011.

[7] L. Cai and H. Chen, Touchlogger: inferring keystrokes on touch screen from

smartphone motion, inProc. 6th USENIX Conf. Hot Topics in Security, 2011.

39


53/60

[8] L. Cai, S. Machiraju, and H. Chen, Defending against sensor-sniffing attacks

on mobile phones, in Proc. 1st ACM Workshop on Networking, Systems, and

Applications for Mobile Handhelds, pp. 3136, 2009.

[9] M. G. Kuhn, Compromising emanations: eavesdropping risks of computer dis-

plays, University of Cambridge, Computer Laboratory, Tech. Rep. UCAM-CL-

TR-577, 2003.

[10] J. Friedman, TEMPEST: A Signal Problem, NSA Cryptologic Spectrum, 1972.

Disponvel em: http://www.nsa.gov/public_info/_files/cryptologic_spectrum/

tempest.pdf, Acesso em jul., 2012.

[11] R. Anderson,Security Engineering: A Guide to Building Dependable Distributed

Systems, Wiley Publishing, 2008.

[12] NSA - Declassification and Transparency, Disponvel em: http://www.nsa.gov/

public_info/declass/index.shtml, Acesso em out., 2012.

[13] NSA Response to FOIA for Tempest-related Documents. Disponvel em: http:

//cryptome.org/nsa-foia-app2.htm, Acesso em set., 2012.

[14] Payment Card Industry - Security Standards Council LLC,PIN Transaction Se-

curity (PTS) Point of Interaction (POI) Derived Test Requirements v3.1, Dispon-

vel em: https://www.pcisecuritystandards.org/documents/PCI_PTS_POI_DTRs_

v3_1.pdf, Acesso em jul., 2011.

[15] D. Agrawal, B. Archambeault, J. R. Rao, and P. Rohatgi, The EM side-

channel(s), in Cryptographic Hardware and Embedded Systems, LNCS, vol.

2523, pp. 2945, 2003.

[16] F. X. Standaert, T. Malkin, and M. Yung, A unified framework for the analysis of

side-channel key recovery attacks, in Advances in Cryptology - EUROCRYPT,

LNCS, vol. 5479, pp. 443461, 2009.

[17] G. S. Faria, H. Y. Kim, Identificao das teclas digitadas a partir da vibrao

mecnica, inAnais do XXX Simpsio Brasileiro de Telecomunicaes, 2012.

40


54/60

[18] Krebs on Security - All About Skimmers. Disponvel em: http://

krebsonsecurity.com/all-about-skimmers/ Acesso em ago., 2011.

[19] S. Drimer, S. J. Murdoch and R. Anderson, Thinking inside the box: system-

level failures of tamper proofing, in IEEE Symp. on Security and Privacy

(Oakland), pp. 281295, May, 2008. Disponvel em: http://www.cl.cam.ac.uk/

~sd410/papers/ped_attacks.pdf Acesso em set., 2012.

[20] J. P. Lewis, Fast template matching, in Proc. Vision Interface, pp. 120123,

1995.

[21] G. Bradski and A. Kaehler, Learning OpenCV: Computer Vision with the

OpenCV Library, OReilly, 2008.

[22] The OpenCV website. Disponvel em: http://opencv.willowgarage.com/wiki,

Acesso em fev., 2011.

[23] R. P. Lippmann, An introduction to computing with neural nets, IEEE ASSP

Magazine, vol. 4, no. 2, pp. 4 22, Apr. 1987.

[24] L. Breiman, Random forests,Machine Learning, vol. 45, no. 1, pp. 532, 2001.

[25] J. A. K. Suykens and J. Vandewalle, Least squares support vector machine clas-

sifiers,Neural Processing Letters, vol. 9, pp. 293300, 1999.

[26] C. J. C. Burges, A Tutorial on Support Vector Machines for Pattern Recogni-

tion,Data Min. Knowl. Discov., vol. 2, no. 2, pp. 121167 June, 1998.

[27] Freescale Semiconductor - MMA7260QT: 3-Axis Acceleration Sensor. Dispo-

nvel em: http://www.freescale.com/webapp/sps/site/prod_summary.jsp?code=

MMA7260QT, Acesso em jul., 2011.

[28] Freescale Semiconductor - MMA8452: Xtrinsic 3-Axis, 12 Bit Accelerome-

ter. Disponvel em: http://www.freescale.com/webapp/sps/site/prod_summary.

jsp?code=MMA8452Q&fr=g, Acesso em set., 2011.

[29] Arduino Board Mega 2560. Disponvel em: http://arduino.cc/en/Main/

ArduinoBoardMega2560, Acesso em fev., 2011.

41


55/60

[30] NXP Interface Solutions I2C Bus. Disponvel em: http://ics.nxp.com/literature/

presentations/interface/pdf/interface.solutions.pdf, Acesso em out., 2011.

[31] Analog Devices - ADXL345 3-Axis, 2g, 4g, 8g, 16g Digital Accelero-

meter. Disponvel em: http://www.analog.com/static/imported-files/data_sheets/

ADXL345.pdf, Acesso em dez., 2011.

[32] R. P. Feynman, R. B. Leighton and M. Sands,The Feynman Lectures On Physics,

Addison-Wesley Publishing Company, vol. I, ch. 19, 1963.

[33] The Stellaris ARM R CortexTM

- M4F LaunchPad Evaluation Platform. Dis-

ponvel em: http://www.ti.com/ww/en/launchpad_site/stellaris.html?DCMP=

stellaris-launchpad&HQS=stellaris-launchpad, Acesso em out., 2011.

[34] A History of U.S. Communications Security (U), The David G. Boak Lectu-

res - Vol. II, July, 1981. Disponvel em: http://www.nsa.gov/public_info/_files/

cryptologic_histories/history_comsec_ii.pdf, Acesso em set., 2012.

[35] S. Tzu,A Arte da Guerra, L&PM, 2003.

42


56/60

XXX SIMPSIO BRASILEIRO DE TELECOMUNICAES SBrT12, 13-16 DE SETEMBRO DE 2012, BRASLIA, DF

Identificao das teclas digitadas a partir da vibraomecnica

Gerson de Souza Faria e Hae Yong Kim

Resumo Este artigo descreve um ataque que detecta as

teclas pressionadas em um terminal de ponto de venda atravsda anlise das vibraes mecnicas geradas quando as teclas sopressionadas. Usamos acelermetros como sensores de vibrao.O aparelho necessrio para este ataque de baixo custo e podeser incorporado discretamente dentro do terminal. Obtivemosuma taxa de sucesso que varia de 58% a 82% em reconhecer asteclas pressionadas.

Palavras-Chaveataque no invasivo, segurana da

informao, acelermetros, vibrao, senha, ponto de venda.

Abstract This paper describes an attack that detects thesequence of keystrokes on a point of sale terminal through the

analysis of mechanical vibrations generated when the keys arepressed. We use accelerometers as vibration sensors. The

apparatus necessary for this attack is inexpensive and can beunobtrusively embedded within the terminal. We achieved asuccess rate ranging from 58% to 82% to recognize the keys.

Keywordsside-channel attack, information security,

accelerometer, vibration, password, POS.

I. INTRODUO

Atualmente, teclados mecnicos so a principalinterface homem-mquina devido sua facilidade deoperao, eficincia e baixo custo. No mercado demeios de pagamento eletrnico, teclados so aescolha natural para a entrada de dados sigilosos,como senhas em terminais de ponto de venda, caixaseletrnicos etc. Na esfera governamental, os tecladosmecnicos so usados para inserir os nmeros decandidatos em urnas eletrnicas. Assim, a

possibilidade de que algum descubra a sequncia

de teclas digitadas (sem que o usurio perceba) uma sria ameaa segurana de sistemas.

O objetivo deste artigo descrever um ataquefsico no invasivo a terminais de ponto de venda(POS - Point Of Sale) que permite detectar as teclasdigitadas a partir das vibraes mecnicas geradasno equipamento pelo ato de pression-las. Taisvibraes so capturadas por acelermetrosinstalados no interior do terminal.

A possibilidade de um ataque similar foi sugeridapor Kuhn [1], em que o autor sugere a possibilidadede identificar as teclas pressionadas pela anlise

vetorial das foras resultantes em determinadospontos do equipamento, por exemplo, nos suportesda base (ps). O autor afirma ser improvvel que oroubo de informao por meio de canais secundrios(side-channels) fique restrito aos domnioseletromagntico, ptico e acstico. Porm, segundo

o nosso conhecimento, este ataque nunca foi testadoexperimentalmente. Nosso ataque no analisa asforas nas bases, mas sim as vibraes mecnicasgeradas pelo ato de pressionar as teclas.

A. Trabalhos relacionados

No encontramos na literatura ataques a tecladosmecnicos pela anlise de vibraes capturadas pormeio de acelermetros. Encontramos apenas ataquesque analisam os sons gerados ao pressionar teclas deteclados de computador [2, 3, 4], teclas de terminaisde caixas eletrnicos [2] e ataques acsticos em

outros dispositivos, tais como impressoras matriciais[5]. Shamir e Tromer apresentam em [14] uma provade conceito de criptanlise baseada em emanaesacsticas de computadores pessoais. Cai e Chenapresentam um ataque que permite inferir os dgitos

pressionados no teclado virtual de celularesbaseados no sistema Android analisando omovimento do aparelho capturado pelo acelermetrointerno do mesmo [11]. Uma anlise geral sobre avulnerabilidade de sensores de celulares apresentada em [16].

B.

ContribuioA principal contribuio deste artigo expor uma

vulnerabilidade na arquitetura de terminais POS.Apresentamos elementos suficientes que mostramque ataques no invasivos a terminais POS pararoubo de senha so possveis e podem ser efetuadosa um baixssimo custo.

II. DESCRIO DAS VULNERABILIDADESIDENTIFICADAS

Equipamentos como os terminais POS possuem

mecanismos de deteco de violao fsica


57/60

XXX SIMPSIO BRASILEIRO DE TELECOMUNICAES SBrT12, 13-16 DE SETEMBRO DE 2012, BRASLIA, DF

(tampering), de modo a auto-destruir informaosensvel, como chaves criptogrficas contidas emseu permetro de segurana em caso de deteco deviolao. No entanto, uma inspeo visual mostrou

que vrios terminais POS possuem em sua parteinferior uma tampa removvel de servio emanuteno de modo a oferecer acesso legtimo aosconectores de cartes SAM (SecurityAuthentication

Module), responsveis pela segurana dacomunicao do sistema bem como pelaautenticao com as redes de servios. Tal espao

possibilita a implantao de dispositivos de coletailegal de informao (bugs, que em nosso caso soos acelermetros). Um mecanismo de deteco deviolao comumente utilizado so selos do tipo

void seal (Figura 1), aplicados no encontro datampa com o corpo do terminal, indicandovisualmente a prvia abertura do compartimento.Obviamente, o consumidor no costuma prestarateno a tal item no momento de digitar a suasenha.

Fig. 1. Exemplo de selo de deteco de violao utilizado para evidenciara abertura de equipamentos.

Alm do acesso ao compartimento, outracondio que beneficiaria ainda mais um ataque aalimentao eltrica disponvel nos terminais dosconectores SAM, que poderia ser utilizada paraalimentar cartes SAM falsos contendoacelermetros e possveis circuitos auxiliares decomunicao. Como consequncia, o ataque poderiase tornar no invasivo e no detectvel no terminal,

sem uso de fios e baterias aparentes.

III. MONTAGEM DO ATAQUE

A. Posicionamento dos sensores

A abordagem aqui adotada pode ser aplicada empraticamente qualquer terminal POS que possuateclado mecnico em seu corpo. A matriz de teclasdo equipamento utilizado padro, como pode ser

observada na Figura 2.

Fig. 2. Formato da matriz de teclas do equipamento utilizado no ataque.

Dois acelermetros so utilizados no ataque. Asplacas dos mesmos foram envolvidas em um pedaode espaguete termo-retrtil e coladas nas posies daFigura 3. Os acelermetros no possuem qualquerconexo el