Pētnieku komanda no Padujas Universitātes (Itālija) un Delftas Universitātes (Nīderlande) ir publicējusi metodi mašīnmācības izmantošanai, lai rekonstruētu ievadīto PIN kodu no videoieraksta, kurā redzama bankomāta ar roku aizsegta ievades zona. . Ievadot 4 ciparu PIN kodu, iespēja paredzēt pareizo kodu tiek lēsta uz 41%, ņemot vērā iespēju pirms bloķēšanas veikt trīs mēģinājumus. 5 ciparu PIN kodiem prognozēšanas varbūtība bija 30%. Tika veikts atsevišķs eksperiments, kurā 78 brīvprātīgie mēģināja paredzēt PIN kodu no līdzīgiem ierakstītiem video. Šajā gadījumā veiksmīgas prognozēšanas iespējamība pēc trim mēģinājumiem bija 7.92%.
Aizsedzot bankomāta digitālo paneli ar plaukstu, rokas daļa, ar kuru tiek veikta ievade, paliek neaizsegta, ar ko pietiek, lai prognozētu klikšķus, mainot rokas stāvokli un pārbīdot līdz galam nenosegtos pirkstus. Analizējot katra cipara ievadi, sistēma izslēdz taustiņus, kurus nevar nospiest, ņemot vērā aizsedzošās rokas stāvokli, kā arī aprēķina visticamākās nospiešanas iespējas, pamatojoties uz nospiežamās rokas pozīciju attiecībā pret taustiņu atrašanās vietu. . Lai palielinātu ievades noteikšanas iespējamību, papildus var ierakstīt taustiņu nospiešanas skaņu, kas katram taustiņam nedaudz atšķiras.
Eksperimentā tika izmantota mašīnmācīšanās sistēma, kuras pamatā ir konvolucionālā neironu tīkla (CNN) un atkārtota neironu tīkla izmantošana, kuras pamatā ir LSTM (Long Short Term Memory) arhitektūra. CNN tīkls bija atbildīgs par telpisko datu ieguvi katram kadram, un LSTM tīkls izmantoja šos datus, lai iegūtu laika mainīgos modeļus. Modelis tika apmācīts video, kurā 58 dažādi cilvēki ievadīja PIN kodus, izmantojot dalībnieka izvēlētās ievades vāka metodes (katrs dalībnieks ievadīja 100 dažādus kodus, t.i., apmācībai tika izmantoti 5800 ievades piemēri). Apmācību laikā atklājās, ka lielākā daļa lietotāju izmanto vienu no trim galvenajām ievades segšanas metodēm.
Lai apmācītu mašīnmācīšanās modeli, tika izmantots serveris, kura pamatā ir Xeon E5-2670 procesors ar 128 GB operatīvo atmiņu un trīs Tesla K20m kartes ar 5 GB atmiņu katrā. Programmatūras daļa ir uzrakstīta Python, izmantojot Keras bibliotēku un Tensorflow platformu. Tā kā ATM ievades paneļi ir atšķirīgi un prognozēšanas rezultāts ir atkarīgs no tādiem parametriem kā atslēgas izmērs un topoloģija, katram paneļa veidam ir nepieciešama atsevišķa apmācība.
Lai aizsargātu pret piedāvāto uzbrukuma metodi, ieteicams, ja iespējams, 5 ciparu vietā izmantot 4 ciparu PIN kodus, kā arī mēģināt pēc iespējas vairāk ievades vietas nosegt ar roku (metode joprojām ir efektīva, ja apmēram 75% no ievades laukuma ir pārklāti ar roku). Bankomātu ražotājiem ieteicams izmantot speciālus aizsargekrānus, kas slēpj ievadi, kā arī nevis mehāniskos, bet skārienvada ievades paneļus, uz kuriem nejauši mainās ciparu novietojums.
Avots: opennet.ru