Shoulder Surfing 2.0 Old school techniques made easy ekoparty 2013

Shoulder Surfing 2.0

Old school techniques made easy

ekoparty 2013

¿Y este quién es?

SeguriNerd

Vegetariano

Montañista

Maratonista Fede Pacheco

@FedeQuark

Passwords, passwords everywhere

• Primer factor de autenticación

• Repetidos entre servicios

• Poco cambiados

• Débiles

Password Guessing

• Network Sniffing• SW/HW Keylogging• Login Bruteforcing• Rainbow Tables• Fake Login• Ingeniería Social• Shoulder Surfing

Shoulder Surfing

• aka “Mirar por encima del hombro”

• aka “Pispear”

• aka “Asomar el cogote”

• aka “¿Qué mirás, gil?”

Ojito

• Angulo de lectura– 90° +/- 30° Vertical– 90° +/- 40° Horizontal

• Distancia focal de lectura– 38 - 63 cm– Max: 1 m (Arial 12)

Tipeando soy de madera

• Promedio de tipeo– 33 ppm (transcripción)– 19 ppm (composición)

• Velocidades– Profesional: 50-80 ppm– 2-dedos: 27-37 ppm

Los años pasaron, pero…

• La gente aun tipea sus pwds delante de otros

• Si nadie los mira directamente, no sospechan

Shoulder Surfing 2.0

iPhone de un amigo

Espejito pedorroUña comida

Camarita

Si sos moooy top

Veo veo…

Nada raro¿Que onda esto?

Era el espejito, bitches!

SS2.0 in a nutshell

1. Pararse cerca del que esté escribiendo su pwd

2. Apuntar con un espejito apoyado en la camara

3. Grabar un video mientras tipea

4. Procesarlo y analizarlo Aca ocurre la magia

5. Deducir el password

3 aproximaciones 3

1. Procesar imágenes independientes

2. Procesar video directamente

3. Procesamiento automatizado

1: Procesamiento independiente

• Extracción de cuadros– ffmpeg

• Batch Processing– IrfanView

• Análisis– A ojímetro

Extracción de cuadros

Rotación y espejado

Rotado

Espejado

Original

Batch Processing

Análisis básico

• Identificar imágenes de cada tecleo

• Separarlas

• Identificar caracter

• Repetir hasta el final

Case Study

• iPhone 5 (HD 1080)

• Tipeo normal

• Luz interior

Q W E R T Y U I O P

A S D F G H J K L Ñ

Z X C V B N M , . -

Q W E R T Y U I O P

A S D F G H J K L Ñ

Z X C V B N M , . -

Tips

• Superponer un teclado transparente

• Detenerse en 2 momentos clave– El anterior– El siguiente

• Considerar los Shift/Alt

¿Solo sacaste algunas?

No Prob! ==> El cerebro se arregla con el 70%

AG_ANT_ L_ EK_P_ _TY 2__3

L_RG_ V_ _A _L SH_U_DE_S_RFI_G _.0

VI_A L_ P_PA

2: Procesar video directamente

• Software de análisis de videos– Kinovea (Open Source)

3: Procesamiento automatizado 3D Modeling

• Mano• Teclado

Motion estimation• 3D over 2D

Physics Engine• Movimientos definidos• Detección de colisiones

Un script en Python que solucione todo…

En fin…

• Viejas Técnicas + Nuevas Tecnologías = Cool

• Practicar Shouldersurfing Clásico y 2.0

• Más aplicaciones– Celulares, cerraduras electrónicas, etc.

¡Gracias!

Fede Pacheco (@FedeQuark)