Перейти к содержанию

Lamphone: новый метод «визуальной прослушки»


Рекомендуемые сообщения

Не так давно мы писали о ряде придуманных Мордехаем Гури и его коллегами из Университета Бен-Гуриона методов, с помощью которых можно извлекать информацию из изолированного от Сети устройства. На конференции Black Hat USA 2020 доклад на близкую тему представил другой исследователь из того же Университета Бен-Гуриона: Бен Насси рассказал о методике визуальной прослушки, которую он и его коллеги назвали Lamphone.

О том, как работает Lamphone, поговорим чуть ниже, а начнем с краткого экскурса в историю вопроса.

Как можно увидеть звук?

Одна из хорошо известных технологий удаленной записи звука, так сказать, визуальными методами — это лазерный микрофон. Данная технология устроена довольно незамысловато.

На какой-нибудь подходящий объект (чаще всего — оконное стекло) в помещении, в котором происходит интересующий организаторов прослушки разговор, направляется невидимый человеческому глазу лазерный луч (обычно работающий в ИК-диапазоне). Луч отражается от поверхности и попадает в приемник. Звуковые волны создают вибрации на поверхности объекта, которые, в свою очередь, изменяют поведение отраженного лазерного луча. Эти изменения регистрируются приемником и в итоге преобразуются в звукозапись разговора.

Эта технология используется на практике еще со времен холодной войны и успела засветиться во множестве шпионских фильмов — вы наверняка ее видели в одном из них. Несколько компаний производят готовые устройства для лазерной прослушки, причем заявленная дальность работы достигает 500 или даже 1000 метров. Две хорошие новости: во-первых, лазерные микрофоны стоят очень дорого; во-вторых, производители (по крайней мере, по их заявлениям) продают лазерные микрофоны только правительственным агентствам.

Так или иначе, по мнению Бена Насси, у лазерного микрофона есть один серьезный недостаток: это активный метод. Для того чтобы он работал, требуется «подсветить» объект лазерным лучом — а это можно обнаружить с помощью ИК-детектора.

Несколько лет назад группа исследователей из Массачусетского технологического института предложила альтернативный метод «визуальной звукозаписи», полностью пассивный. Идея в основе та же самая: звуковые волны создают колебания поверхности предмета, которые можно визуально зарегистрировать.

Для того чтобы записывать эти колебания, исследователи использовали высокоскоростную камеру, снимающую с частотой в несколько тысяч кадров в секунду. Сравнивая полученные ею кадры — естественно, не вручную, а с помощью компьютера, — они сумели восстановить из видеоряда звук.

Впрочем, у этого метода тоже есть минус, и еще какой: для того чтобы преобразовать в звук огромное количество визуальной информации, полученной с высокоскоростной камеры, требуется нечеловеческое количество вычислительных ресурсов. На анализ пятисекундной видеозаписи с использованием достаточно мощной рабочей станции у исследователей из МТИ уходило по 2-3 часа. Так что для распознавания разговора «на лету» этот метод не очень-то подходит.

Как работает Lamphone

Бен Насси и его коллеги из Университета имени Бен-Гуриона придумали новую методику «визуальной прослушки» и назвали ее Lamphone. Основная идея метода состоит в том, что в качестве объекта, с которого снимаются вызванные звуком вибрации, исследователи решили использовать лампочку — отсюда и название техники.

Лампочка — объект максимально простой и в то же время максимально яркий. Поэтому можно не тратить вычислительные ресурсы на анализ мельчайших деталей изображения. Достаточно направить на лампочку мощный телескоп, через который световой поток с лампочки поступает на фотоэлемент.

Лампочка не вполне равномерно излучает свет в разных направлениях (что интересно, эта неравномерность неодинакова: она довольно высока у ламп накаливания и диодных ламп, но гораздо ниже у флуоресцентных). Из-за этой неравномерности вызванные звуковыми волнами вибрации лампочки немного меняют интенсивность светового потока в направлении фотоэлемента. И данные изменения вполне достаточны, чтобы их можно было уверенно зарегистрировать. Записав эти изменения и проделав некоторое количество простейших преобразований, исследователи смогли восстановить из полученной «светозаписи» звук.

В качестве финальной проверки работоспособности метода исследователи установили прослушивающий прибор на пешеходном мостике в 25 метрах от окна тестового помещения, в котором через динамик проигрывался звук. Направив телескоп на лампочку в этом помещении, исследователи записали световые колебания и смогли конвертировать их в звукозапись.

Звукозапись получилась достаточно разборчивой: к примеру, Shazam успешно определил тестовые композиции Beatles «Let it be» и Coldplay «Clocks», а сервис распознавания речи Google правильно перевел в текст слова Дональда Трампа из его предвыборной речи.

Представляет ли Lamphone угрозу с практической точки зрения?

Бену Насси и его коллегам удалось разработать действительно работающий метод «визуальной прослушки». Что важно, этот метод является полностью пассивным, поэтому не может быть обнаружен с помощью какого-либо детектора.

Что также важно — в отличие от метода исследователей из МТИ, результаты измерений Lamphone крайне простые, так что для их перевода в звук не требуются какие-то немыслимые вычислительные ресурсы. Поэтому Lamphone может работать в режиме реального времени.

Как признает Бен Насси, в процессе эксперимента звук в тестовом помещении проигрывался на очень высокой громкости. Так что пока результаты эксперимента могут представлять скорее теоретический интерес. С другой стороны, методы преобразования «светозаписи» в звук были использованы максимально простые. Так что методика может быть дополнительно усовершенствована, например, с помощью алгоритмов машинного обучения — они неплохо решают подобные задачи.

В итоге сами исследователи оценивают целесообразность применения данной методики на практике как среднюю — но видят потенциал для повышения практичности метода при использовании более сложных методов преобразования показаний, регистрируемых фотоэлементом, в звукозапись.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
      Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
      Как распространяют стилер Arcane
      Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
      Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
      Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
      Внутри клиента — куча вариантов читов для Minecraft
       
      View the full article
    • Bercolitt
      Автор Bercolitt
      Захожу в браузер в режиме безопасных платежей.Вызываю экранную клавиатуру комбинацией клавиш
      Ctrl+Alt+Shift+P. После этого пытаюсь зайти в личный кабинет online.vtb. Нажимаю клавишу для получения смс-ки. Однако клавиша не срабатывает, смс не приходит.Повторное нажатие - тот же результат. Никаких диагностических сообщений не поступает.Как-будто семафорная блокировка по одному и тому же программному ресурсу. Выключаю виртуальную клавиатуру и клавиша запроса смс срабатывает. Bug появился сегодня.
    • AL_o
      Автор AL_o
      Добрый день.
      Моя цель рассказать о неприятной для меня ситуации чтобы предотвратить такую в будущем для других. Может кто то мне поможет донести информацию куда следует? А может Компанию полностью устраивают такие ситуации.
       
      Я сотрудник организации, помимо прочего отвечающий за мобильную связь в организации. Помимо прочих операторов мы сотрудничаем с мегафоном и часть корпоративных симок от него. На днях бухгалтерия внезапно получила по эдо счёт-фактуру согласно которой мегафон продал нам продукт лаборатории каперского. Начали выяснять... В общем либо это тонкая подстава призванная очернить доброе имя лаборатории (или просто им воспользоваться), либо лаборатория перешла на "нажми на кнопку на сайте - получи подписку со списанием со счёта мобильного оператора" способ распространения. Позиция мегафона типична для оператора, допускающего различные подписки и списания на внешних ресурсах - меня убеждают что это абонент сам согласился, расписался кровью и т.п., что услуга ему жизненно необходима, а мегафон просто предоставил удобнейший для распространения канал - тык и готово. Но искренне интересна позиция лаборатории. Допуская что этот кейс реален - человек со своего личного мобильного устройства, но пользуясь корпоративной сим-картой заходит на опасный (!) веб сайт где касперский услужливо предлагает ему купить антивирус для трёх устройств и оплатить случайным нажатием пальца со общего счёта компании..? Абонент клянётся что если и было что то - то мимолётом, с большой кнопкой да и мааааленьким крестиком в углу как всегда бывает у замечательных мобильных подписок. Каков кейс данного продукта если на секундочку предположить что это было осознанно. На состояние телефона компании плевать. На состояние счёта кампании должно быть плевать сотруднику. Мегафон+касперский - соединяя несоединяемое.
       
      Благодарю за ваше время. Надеюсь на вашу помощь в донесении информации до кого надо и предотвращения возвращения в нулевые со всеми этими мобильными подписками. Хотя бы не от лаборатории касперского блин!


    • KL FC Bot
      Автор KL FC Bot
      Представьте, каким был бы мир, если бы с помощью карт Таро можно было точно предсказать абсолютно любые события! Быть может, тогда бы мы пресекли «Операцию Триангуляция» в зародыше, а уязвимостей нулевого дня не возникало бы в принципе — разработчики ПО знали бы о них заранее благодаря предупреждающим раскладам.
      Звучит невероятно, но нечто подобное нашим экспертам удалось организовать в этот раз! Читайте этот материал, чтобы узнать, что за новый троян мы обнаружили и как именно это сделали.
      Что за троян
      Новый троян Trojan.Arcanum распространяется через сайты, посвященные гаданиям и эзотерике, маскируясь под «магическое» приложение для предсказания будущего. На первый взгляд — это безобидная программа, предлагающая пользователю разложить виртуальные карты Таро, рассчитать астрологическую совместимость или даже «зарядить амулет энергией Вселенной», что бы это ни значило. Но на самом деле за кулисами творится нечто по-настоящему мистическое — в худшем смысле этого слова. После внедрения на устройство пользователя Trojan.Arcanum обращается к облачному C2-серверу и устанавливает полезную нагрузку — стилер Autolycus.Hermes, майнер Karma.Miner и шифровальщик Lysander.Scytale.
      Собрав данные пользователя (логины, пароли, дату, время и место рождения, банковскую информацию и так далее), стилер также отправляет их в облако, а дальше начинается самое интересное: троян принимается манипулировать своей жертвой в реальной жизни с использованием методов социальной инженерии!
      С помощью всплывающих уведомлений Trojan.Arcanum отправляет пользователю псевдоэзотерические советы, побуждая его совершать те или иные действия. Так, получив доступ к банковским приложениям жертвы и обнаружив на счету крупную сумму, злоумышленники отправляют команду, и зловред выдает совет с раскладом о благоприятности крупных инвестиций — после чего жертве может прийти фишинговое письмо с предложением поучаствовать в «перспективном стартапе». А может и не прийти — смотря как лягут карты.
      Одновременно с этим встроенный майнер Karma.Miner начинает майнить токены KARMA, а троян активирует платную подписку на сомнительные «эзотерические практики» с ежемесячным списанием средств. Если майнинг кармы обнаруживается и завершается пользователем, шифровальщик перемешивает сегменты пользовательских файлов в случайном порядке без возможности восстановления.
       
      View the full article
    • Aleksey Maslov
      Автор Aleksey Maslov
      Добрый день! 
      KSC Версия: 15.1.1351 (EDR Optimun)

      Сейчас в KSC в разделе "Мониторинг и отчеты/Алерты" не появляются новые события.
      На защищенном ПК KES отрабатывает тестовый EICAR файл и вредоносные ссылки, фиксирует у себя в Отчетах. Но в Kaspersky Security Center Web Console эти Алерты не появляются.
      Места на диске достаточно.


×
×
  • Создать...