Shoulder Surfing 2.0
Old school techniques made easy
ekoparty 2013
¿Y este quién es?
SeguriNerd
Vegetariano
Montañista
Maratonista Fede Pacheco
@FedeQuark
Passwords, passwords everywhere
• Primer factor de autenticación
• Repetidos entre servicios
• Poco cambiados
• Débiles
Password Guessing
• Network Sniffing• SW/HW Keylogging• Login Bruteforcing• Rainbow Tables• Fake Login• Ingeniería Social• Shoulder Surfing
Shoulder Surfing
• aka “Mirar por encima del hombro”
• aka “Pispear”
• aka “Asomar el cogote”
• aka “¿Qué mirás, gil?”
Ojito
• Angulo de lectura– 90° +/- 30° Vertical– 90° +/- 40° Horizontal
• Distancia focal de lectura– 38 - 63 cm– Max: 1 m (Arial 12)
Tipeando soy de madera
• Promedio de tipeo– 33 ppm (transcripción)– 19 ppm (composición)
• Velocidades– Profesional: 50-80 ppm– 2-dedos: 27-37 ppm
Los años pasaron, pero…
• La gente aun tipea sus pwds delante de otros
• Si nadie los mira directamente, no sospechan
Shoulder Surfing 2.0
iPhone de un amigo
Espejito pedorroUña comida
Camarita
Si sos moooy top
Veo veo…
Nada raro¿Que onda esto?
Era el espejito, bitches!
SS2.0 in a nutshell
1. Pararse cerca del que esté escribiendo su pwd
2. Apuntar con un espejito apoyado en la camara
3. Grabar un video mientras tipea
4. Procesarlo y analizarlo Aca ocurre la magia
5. Deducir el password
3 aproximaciones 3
1. Procesar imágenes independientes
2. Procesar video directamente
3. Procesamiento automatizado
1: Procesamiento independiente
• Extracción de cuadros– ffmpeg
• Batch Processing– IrfanView
• Análisis– A ojímetro
Extracción de cuadros
Rotación y espejado
Rotado
Espejado
Original
Batch Processing
Análisis básico
• Identificar imágenes de cada tecleo
• Separarlas
• Identificar caracter
• Repetir hasta el final
Case Study
• iPhone 5 (HD 1080)
• Tipeo normal
• Luz interior
Q W E R T Y U I O P
A S D F G H J K L Ñ
Z X C V B N M , . -
Q W E R T Y U I O P
A S D F G H J K L Ñ
Z X C V B N M , . -
Tips
• Superponer un teclado transparente
• Detenerse en 2 momentos clave– El anterior– El siguiente
• Considerar los Shift/Alt
¿Solo sacaste algunas?
No Prob! ==> El cerebro se arregla con el 70%
AG_ANT_ L_ EK_P_ _TY 2__3
L_RG_ V_ _A _L SH_U_DE_S_RFI_G _.0
VI_A L_ P_PA
2: Procesar video directamente
• Software de análisis de videos– Kinovea (Open Source)
3: Procesamiento automatizado 3D Modeling
• Mano• Teclado
Motion estimation• 3D over 2D
Physics Engine• Movimientos definidos• Detección de colisiones
Un script en Python que solucione todo…
En fin…
• Viejas Técnicas + Nuevas Tecnologías = Cool
• Practicar Shouldersurfing Clásico y 2.0
• Más aplicaciones– Celulares, cerraduras electrónicas, etc.
¡Gracias!
Fede Pacheco (@FedeQuark)