A quale livello potrebbe essere applicato? Qualcuno potrebbe registrare le battute sulla tastiera e in combinazione con le abitudini di digitazione iniziare a mettere insieme un'immagine di ciò che l'utente sta digitando?
Se questo è vero, quali passi potrebbero fare gli utenti per aiutare a mitigare questo?
So che questi attacchi sono stati dimostrati nelle stampanti, ma mi chiedo in che misura potrebbero essere utilizzati?
Secondo me la crittoanalisi acustica è più una prova di concetto che poi deve essere utilizzata in applicazioni reali.
Che cosa è possibile fare?
Alcuni anni fa i ragazzi del MIT (se non sbaglio) sono riusciti a registrare tutti i tasti su una tastiera meccanica utilizzando un'applicazione per telefono Android / IOS e semplicemente posizionando quel telefono specifico vicino alla tastiera.
Cose che puoi fare per mitigare:
Ad esempio, potresti ottenere che la persona utilizzi tali programmi come app per la lingua per ottenere un'impronta acustica delle serie di lettere. Immagina solo la permutazione di "una volpe marrone veloce che salta sul cane pigro". Un'analisi di frequenza sulle frequenze potrebbe fornire una mappatura del suono da lettera a chiave. In tal caso, puoi attenuare questo passaggio passando da dvorak, qwerty o qualsiasi altra cosa si adatti alla tua fantasia. Anche questo richiede la possibilità di leggere i dati dall'app per iniziare.
Tuttavia, stai osservando le minime differenze tra i suoni chiave, le metriche basate sulla distanza e il microfono per fornire i dati grezzi. Se si sposta la distanza della tastiera o si modifica una delle variabili, i dati dell'allenamento non sono più validi.
La metodologia di stampa 3D non è difficile da ottenere. Poiché è possibile dire che le stampanti non vanno casualmente in posizione per la stampa, il metodo raster di stampa e la velocità di movimento della testina rende facile determinare dove si trova la testa.
L'idea di generazione del rumore casuale non è una tecnica di mitigazione così grande. L'audio è sovrapposto e i picchi da una sequenza di tasti di un popolare tasto dell'interruttore meccanico spingeranno l'ampiezza e il picco e i transienti del tratto. Da un punto di vista di Foley dovresti semplicemente registrare un flusso di digitazione in alta fedeltà audio e intrecciarlo nell'uso quotidiano.
In ogni caso, questo particolare metodo sembra meno efficace anche se decisamente meno invasivo di altri.
Tutte puramente congetturali, ma sono abbastanza convinto che questo metodo di fingerprinting dell'analisi audio non funzioni nella vita reale. Nell'oceano per i sottotitoli sì, ma probabilmente le chiavi no.
L'attacco iniziale del segnale audio da una tastiera meccanica è piuttosto strong, quindi sarebbe abbastanza difficile da mascherare. I sistemi che mascherano SPD da 40db a SPL da 80dB per i suoni ambientali non farebbero un buon lavoro di blocco di quel picco improvviso . Ma i keybutton in gomma potrebbero offrire una migliore mitigazione.
Se la tecnica di misurazione è attraverso le cadute di volume su tutta la distanza, semplicemente spostando la distanza o piuttosto la posizione dei tasti in modo da non ottenere un audio clusterable della tastiera rovinerebbe la fase di campionamento per i dati di allenamento.
L'idea qui è di incasinare la fase iniziale di raccolta dei dati, quindi non c'è una verità di fondo su cui basare ulteriori analisi. Ovviamente i cappellai più di carta stagnola hanno più tastiere con cui digitare casualmente le stringhe proprio per questo scopo.
Inoltre, se utilizzano particolari caratteristiche dei tasti stessi, allora ciò che ho precedentemente indicato con il cambio di keymap non funziona. Quindi il pre-campionamento dei tasti funzionerebbe.
L'altro modo, e probabilmente è fattibile, sarebbe quello di utilizzare il rilevamento del campo magnetico, forse la bussola del telefono funziona in questo modo, per rilevare i segnali del codice chiave mentre scende sul filo della tastiera.
In ogni caso è molto più facile installare una telecamera nascosta per registrare le sequenze di tasti piuttosto che eseguire questa analisi audio.
Leggi altre domande sui tag cryptanalysis keyloggers