Адрес для входа в РФ: exler.world
Похищение данных по звуку клавиш
Любопытная заметка в Bleeping Computer о технологиях распознавания данных по звуку клавиш.
Коротко. Группа исследователей из британских университетов создала приложение, способное с точностью до 95% считывать данные из нажатий клавиш клавиатуры, записанных с помощью микрофона. Когда же для обучения алгоритма приложения был использован Zoom, то точность предсказания снизилась до 93%, что по-прежнему составляет очень высокий процент.
В статье подробно пишется о том, как это все делалось. Исследователи собирали данные, нажимая 36 клавиш на современном MacBook Pro по 25 раз и записывая звук, издаваемый при каждом нажатии. Затем из записей были получены осциллограммы и спектрограммы, на которых визуализировались различия для каждой клавиши.
Полученные изображения спектрограмм были использованы для обучения классификатора изображений CoAtNet, при этом им пришлось экспериментировать с параметрами скорости обучения и разбиения данных до достижения наилучшей точности предсказания.
Ну и в результате они добились - для данной конкретной изученной клавиатуры, подчеркиваю - высочайшей точности определения нажатой клавиши.
О чем нам это говорит, кроме понимания того, что подобные технологии не только возможны, но и уже существуют? Да, в общем, ни о чем. Нужно ли нам теперь бояться того, что какие-то злоумышленники по записанным звукам наших клавиш получат доступ к конфиденциальным данным? Очень вряд ли. Ведь для создания алгоритма ученые исследовали конкретную клавиатуру макбука.
Да, клавиатура такого типа используется во всех современных макбуках. Но означает ли это, что все клавиатуры всех макбуков издают одинаковые звуки каждой из клавиш? Не думаю. Издают ли совершенно одинаковые звуки клавиши всех клавиатур, например, Logitech Ergo K860, которую использую я? Не думаю.
Ну и еще один важный момент. Хорошо, кто-то точно знает, как звучит каждая клавиша моей клавиатуры и даже может записывать звуки этих клавиш. И что он в результате получит? Текст, который я набираю на клавиатуре и который появляется на моем сайте, в моем ТГ и так далее? И что злоумышленник будет делать с этим сокровенным знанием?
Потому что никакие пароли я на клавиатуре не ввожу уже как минимум лет десять. Все хранится в менеджере паролей, а доступ к самому менеджеру - биоидентификация. Или ввод пароля путем нажимания мышкой на экранную клавиатуру (для той же безопасности). Вот и все.
Поэтому еще раз - я не думаю, что это представляет хоть какую-то угрозу безопасности.
2. Описанная технология вполне найдет себя в программах-логгерах рабочего времени. Халява с "безнаказанной" работой из дома кончается, сейчас уже многие компании требуют установки подобного софта, который активно учится анализировать действия пользователя на осмысленность - так что бесполезно дрессировать кошку ходить по клавиатуре или привязывать мышь к двигающемуся туда-сюда вентилятору.
Кстати, да, пароли почти не вводятся с обычной клавиатуры. плюс почти везде двухфакторная аутентикация - самая разная, у меня сходу это Гугль Аутентикатор, DUO (которое Cisco перекупила), текст на отдельный номер мобильного, код на емейл.
Чтобы не платить все деньги за фирменный майкрософт, но и не перебирать 10 разных дешевых вариантов с Али у которых каждый со своими косяками.
Спасибо!
Попробую какой-то выбрать по внешнему виду, потом как раз отпишусь в рубрике о покупках на Али 😄
Если эти технологии позволят получать тексты, набранные в корпоративной почте или при составлении конфиденциальная договоров и других документов... вот тут уже будет не до смеха
Оригинал здесь. По словам жены, конференция не ахти какая, и методология не новая, как уже отметили внизу.
arxiv.org
Во-вторых, конфиденциальных данных можно собрать сколько угодно. Для чего - для самых разных целей, вплоть до похищения идентичности (т.е. "выдавать себя за этого человека"). Может это в комплексе с другими инструментами...
В-третьих, в статье самое смешное предположение - "посмотрите какой я умный, у меня и менеджер паролей, и пароли мышкой ввожу, поэтому это неопасно вообще". Ну-ну, скорее так делает один человек на сотни тысяч, я даже знаю технически подкованных людей, которые не пользуются менеджерами паролей и электронной клавиатурой, а кто попроще - так вообще никакие предосторожности не используют.
Пусть мучаются.
Люблю загадки...
На Оклисмпйиих играх ссяоислтоь жскиене коныандме срнноваовеия по сооипвртнй гмксинатие Зутолою медлаь Игр золвавеаа сранобя США соеабощт оалцьифниый сйат Оалпимиды Втооре мтесо зяални птеьртлиадисцнвеы роскосисйй кдаомны котраоя вриыгала для ннаьиоцонлай сбнроой вротое срербео среребо сонобрй Риосси пнслриеа теактлотжлеяа Свлтнаеа Цавакреуа Брвооунзю нарадгу пиучолли ринскымуе гксаминти.
У себя на работе Энтер и Пробел я на слух воспринимаю.
Осталось каких-то сорок клавиш запомнить на слух.
Редкоиспользуемые можно будет потом по смыслу подобрать.
Ну или вместо механических внедрить сенсорные клавиатуры, благо, тачи стоят недорого, а подложку можно и самому распечатать или даже нарисовать.
Ъсли так пъръмъшать всъ клавиши - хакъры получат бардак в каналъ.
Ъсли пъръставлять колпачки почащъ - им прощъ будът купить простой совътский паяльник на мъстной барахолкъ.
Как-то при первых же тактах песни я её узнал и возопил: "О, моя любимая!" Так и остался, как дурак, с невнятным далёким воплем на записи.
Что не так?
И, конечно, рассказывали и о методах добычи этих самых данных.
Не только от стекла, но и от любой мембраны в помещении можно получить отраженный сигнал, усилить его и услышать разговоры.
Говорили, что даже от мембраны телефонной трубки, лежащей на аппарате.
Что не так?
То что видел я, имело автономное электропитание, виброразвязку и шлюз, систему вч подавления микрофонов, вот реально нельзя было ничего записать ни на аналоговый ни на цифровой диктофон.
А матовые окна очень желательны т.к. считывать можно не только со стекла, но и с предметов в комнате.
Вот схема репродуктора. Динамик работает и как микрофон тоже. Т.е. вообще никаких проблем считать сигнал с него.
В телефоне микрофонный эффект имел сам микрофон 😉, звонок, наушник, но не номеронабиратель.
Ничего в кармане удаленно нельзя прослушать в общем случае. А в специальном, можно конечно, но уже поздняк таиться.
Также микрофонный эффект есть у кабелей, репродукторов и т.д.
В СССР почти у каждого на кухне было радио (репродуктор). Он также отлично работал и как микрофон. Номеронабиратель тоже хорошо работал, как микрофон.
Но это все в прошлом. Сейчас каждый сознательный гражданин носит с собой в кармане микрофон, который может быть прослушан с минимальными усилиями.
Три дня бился... пока не прочитал в relcom.games, что мышь можно инвертировать - и уровень прошёл сразу!
Были же игры, а...
Кстати, первый хак, который я увидел в кино, был как раз про набор номера:
И как это всё устроено?
Пароли в LastPass зашифрованы алгоритмом AES-256, хранятся в «облаке» и могут быть синхронизированы между устройствами. ru.wikipedia.org
Если нужен полностью автономный софт - внимательно читайте
Какими должны быть пароли и как их запоминать.
Как запоминать и хранить логины-пароли для сайтов и сервисов.
- Верно. Но у нас есть записанные на пленку ваши донесения; мы можем легко обучить вашему почерку нашего человека. И он будет работать вместо вас.
Отмечу только, что среди эмигрировавших военов принято вытирать ноги об оставшихся в России, дескать тряпки, трусы, пресловутое "у меня лапки". И вот тот инцидент (я теперь о "Гоги Абрамович Чингачгук из Казахстана"). Десятки баллов, свидетельствующие об однозначном к нему отношении, и только пара комментаторов позволила себе вякнуть текстом. И это, когда речь идёт лишь о бане, а не о тюрьме. Такие вот несгибаемые.
Я уж не говорю о периодически проливаемом на клавиатуру кофе.
1. Научно доказана возможность считывания клавиш по звуку 95%
2. Предлагаем целевой аудитории фирменные подушки, чтобы класть на клавиатуру
3. Шапочка из фольги в подарок
4. PROFIT!!!
Или сбоку.
Так что если просто чистил от пыли - то не добрался.
Предложили как-то раз ноут. Формально - БУ, но им почти не пользовались. Кроме того, что БУ, в нем была неисправность: с самого начала не работали колонки, так что стоил он копейки.
Я сразу сказал, что нерабочие колонки - это не неисправность, а офигенное достоинство, так что беру. Через годик использования ноут пришлось вскрыть, чтобы почистить пропеллер, и оказалось, что все это время, пользуясь наушниками и внешним микрофоном, я понятия не имел, что ни колонок, ни встроенного микрофона в нем попросту нет.
Насчет микрофона, правда, не совсем уверен, но я его нигде не увидел.
Там ещё из подобного интересная технология была восстановления изображения на экране по дистанционно считываемому освещению комнаты.
и по вероятностям: по конкретной клавиатуре попадание в 95%, по зуму в 93% а вообще по макам попадут в 70 - и это уже огого какая помощь при брутфорсах. уже даже просто правильная оценка длины пароля - это существенное уменьшение количество переборов, а если еще и половину символов изначально знать - вообще подарок 😄
так что спасибо за ссылку 😄
но этот способ может дать ту самую информацию, что пароль 6 символов и примерно каких символов 😄
да и если из 16 мы точно идентифицируем 10 (63%) то в результате остается найти 6, что делает задачу перебора реальной.
Но вот, что приходит в голову. как правило, каждая клавиша нажимается своим пальцем под своим углом. Может быть (я не знаю) именно это влияет на звуковую картину, тогда сходство между клавиатурами может стать значительно выше.
Ну и когти точно влияют, их надо стричь.
Так что как штучный товар может быть применено.