Zdi se, da v svetu kibernetske varnosti nič več ni povsem nedolžno – niti računalniška miška. Nova raziskava z univerze v Kaliforniji (UC Irvine) je pokazala, da lahko nekatere miške, zlasti tiste z zelo občutljivimi senzorji, zaznavajo mikroskopske vibracije na površini mize in jih uporabijo za rekonstrukcijo govora v prostoru. Napad, poimenovan Mic-E-Mouse, predstavlja povsem novo obliko bočnega kanala (ang. side-channel attack), ki spreminja način, kako razumemo fizično varnost računalniških periferij.
Zvočni valovi, vibracije in presenetljiv senzor
Temeljni princip raziskave je presenetljivo preprost, a učinkovit. Ko človek govori, glasovni valovi povzročajo drobne vibracije na površinah v prostoru – tudi na mizi, na kateri stoji miška.
Senzorji sodobnih mišk, posebej tistih z visoko ločljivostjo (npr. nad 20.000 DPI) in visokim polling rateom, so sposobni zaznati premike reda nekaj mikrometrov. Če je površina dovolj občutljiva in okolje mirno, lahko miška dejansko “zazna” vibracije, ki jih povzroča govor.
Raziskovalci so pokazali, da se surovi podatki gibanja, ki jih miška pošilja računalniku, lahko pretvorijo v zvočni signal. Z napredno obdelavo signalov in uporabo nevronskih mrež so bili sposobni rekonstruirati razumljive dele govora – v nekaterih primerih celo do 60 % uspešnosti.
Od gibanja kazalca do rekonstrukcije besed
Pri klasični uporabi miške so podatki o premiku mišljeni le za nadzor kazalca. Toda ti podatki vsebujejo še nekaj več: subtilne spremembe, ki jih povzroča tresljaj površine.
Raziskovalna ekipa je zasnovala eksperiment, v katerem je miška počivala na stabilni mizi, v bližini katere je zvočnik predvajal govor.
Iz dobljenih podatkov gibanja (os X in Y) so nato s filtri odstranili šum, prilagodili frekvenco vzorčenja in signal obdelali s transformacijskimi modeli strojnega učenja, podobnimi tistim, ki se uporabljajo pri prepoznavanju govora (ang. speech recognition).
Rezultat je bil presenetljiv: čeprav signal ni popoln in vsebuje veliko šuma, je mogoče iz njega razbrati fonetične vzorce, s katerimi sistem nato prepozna posamezne besede.
Nova zvrst bočnih kanalov
V svetu informacijske varnosti poznamo več vrst bočnih kanalov – od elektromagnetnega sevanja procesorjev, do vibracij, svetlobnih sprememb ali celo akustičnih motenj v ventilatorjih.
Mic-E-Mouse pa predstavlja novo kategorijo: akustično-vibracijski kanal, ki uporablja že obstoječe strojne senzorje, namenjene popolnoma neškodnim opravilom.
V preteklosti so bile podobne raziskave usmerjene v:
- “Visual Microphone” – rekonstrukcijo zvoka iz vibracij predmeta, posnetega s kamero visoke hitrosti,
- “Laser Microphone” – zaznavanje vibracij na steklu s pomočjo laserskega žarka,
- ter akustično analizo trdih diskov ali tipkovnic, kjer so raziskovalci iz zvočnih razlik prepoznali, katere tipke uporabnik pritiska.
Mic-E-Mouse se od teh razlikuje po tem, da uporablja standardno, množično dostopno računalniško periferijo, brez kakršnekoli dodatne opreme.
Kje so meje in realne grožnje?
Kljub atraktivnosti ideje raziskovalci poudarjajo, da gre predvsem za dokaz koncepta.
Metoda zahteva izjemno občutljivo miško, mirno površino, minimalno gibanje uporabnika in popoln nadzor nad programsko opremo, ki bere surove podatke senzorja.
Poleg tega bi moral napadalec že imeti dostop do sistema – bodisi preko okuženega gonilnika ali programske opreme, ki zbira podatke miške.
V realnem okolju so rezultati veliko bolj nepredvidljivi. Vibracije mize zaradi tipkanja, klimatske naprave ali gibanja miške povzročajo motnje, ki hitro uničijo uporabnost signala.
Zato gre pri tej raziskavi manj za neposredno grožnjo in bolj za opozorilo, kako nenavadni kanali lahko v prihodnosti ogrozijo zasebnost uporabnikov.
Kako se lahko zaščitimo
Za povprečnega uporabnika je tveganje trenutno zanemarljivo, vseeno pa raziskava razkriva nekaj zanimivih praks:
- Fizična izolacija senzorjev in uporaba mehkih podlog zmanjšuje prenos vibracij.
- Znižanje DPI-občutljivosti in polling ratea miške lahko omeji količino podatkov, ki bi jih napadalec izkoristil.
- Ključno pa je, da imajo operacijski sistemi in proizvajalci ustrezno politiko dostopa – aplikacije ne bi smele imeti pravic za branje surovih podatkov miške.
Raziskovalci so odkritje posredovali proizvajalcem, kar je del t. i. “responsible disclosure” pristopa.
To pomeni, da bodo prihodnje posodobitve gonilnikov verjetno vsebovale zaščite, ki preprečujejo nepooblaščeno analizo vibracijskih podatkov.
Zaključek: meja med fizičnim in digitalnim se tanjša
Raziskava Mic-E-Mouse razkriva, kako tanka postaja meja med fizičnim svetom in digitalno varnostjo.
Kar je bilo nekoč le orodje za premikanje kazalca po zaslonu, se je izkazalo kot potencialen senzor za zajem zvočnih informacij.
Čeprav je tehnologija še daleč od praktične uporabe v vohunskih scenarijih, jasno kaže, da bo prihodnost kibernetske varnosti zahtevala več kot zgolj zaščito programske kode — zahtevala bo razumevanje fizikalnih lastnosti vsake naprave, ki jo povežemo z računalnikom.
Rene P 
Slovenian