Tím výskumníkov z University of Padova (Taliansko) a University of Delft (Holandsko) zverejnil metódu využitia strojového učenia na rekonštrukciu zadaného PIN kódu z videozáznamu ručne pokrytej vstupnej oblasti bankomatu. . Pri zadávaní 4-miestneho PIN kódu sa pravdepodobnosť predpovedania správneho kódu odhaduje na 41 %, berúc do úvahy možnosť vykonania troch pokusov pred zablokovaním. Pre 5-miestne PIN kódy bola pravdepodobnosť predpovede 30 %. Uskutočnil sa samostatný experiment, v ktorom sa 78 dobrovoľníkov pokúsilo predpovedať PIN kód z podobných nahraných videí. V tomto prípade bola pravdepodobnosť úspešnej predpovede 7.92 % po troch pokusoch.
Pri zakrytí digitálneho panelu bankomatu dlaňou zostáva časť ruky, ktorou sa zadáva vstup, nezakrytá, čo stačí na predpovedanie kliknutí zmenou polohy ruky a posunutím nie úplne zakrytých prstov. Pri analýze zadania každej číslice systém eliminuje klávesy, ktoré nemožno stlačiť, berúc do úvahy polohu krycej ruky, a tiež vypočítava najpravdepodobnejšie možnosti stlačenia na základe polohy stláčacej ruky vzhľadom na umiestnenie kláves. . Pre zvýšenie pravdepodobnosti detekcie vstupu je možné dodatočne zaznamenať zvuk stlačenia kláves, ktorý je pre každú klávesu mierne odlišný.
Experiment využíval systém strojového učenia založený na použití konvolučnej neurónovej siete (CNN) a rekurentnej neurónovej siete založenej na architektúre LSTM (Long Short Term Memory). Sieť CNN bola zodpovedná za extrakciu priestorových údajov pre každý rámec a sieť LSTM použila tieto údaje na extrahovanie časovo premenných vzorov. Model bol trénovaný na videách 58 rôznych ľudí, ktorí zadávali kódy PIN pomocou metód krytia vstupu podľa výberu účastníka (každý účastník zadal 100 rôznych kódov, t. j. na školenie bolo použitých 5800 XNUMX príkladov vstupu). Počas školenia sa ukázalo, že väčšina používateľov používa jednu z troch hlavných metód pokrytia vstupov.
Na trénovanie modelu strojového učenia bol použitý server založený na procesore Xeon E5-2670 so 128 GB RAM a troch kartách Tesla K20m s 5 GB pamäte. Softvérová časť je napísaná v Pythone pomocou knižnice Keras a platformy Tensorflow. Keďže vstupné panely ATM sú rôzne a výsledok predikcie závisí od charakteristík, ako je veľkosť kľúča a topológia, pre každý typ panela je potrebné samostatné školenie.
Ako opatrenia na ochranu pred navrhovaným spôsobom útoku sa odporúča, ak je to možné, použiť kódy PIN s 5 číslicami namiesto 4 a tiež sa snažiť pokryť čo najväčšiu časť vstupného priestoru rukou (metóda zostáva účinná, ak asi 75 % vstupnej plochy je pokrytých rukou). Výrobcom bankomatov sa odporúča používať špeciálne ochranné obrazovky, ktoré skrývajú vstup, ako aj nie mechanické, ale dotykové vstupné panely, ktorých poloha čísel sa náhodne mení.
Zdroj: opennet.ru