تواصل معنا عبر الرسائل أو عبر الهاتف.

whatsapp telegram viber phone email
+79214188555

Identification of electronic devices for interception of acoustic speech information.

Демитрий

Private access level
إنضم
12 ديسمبر 2017
المشاركات
422
مستوى التفاعل
451
النقاط
193
الإقامة
г.Ейск, ул.Коммунистическая, 12/1, офис 308
Identification of electronic devices for interception of acoustic speech information, built on the basis of wireless communications.

No one doubts that in our time information is exceptional. The receipt of information by people for whom it is not intended can lead to various negative consequences: from the loss of the company by the company to the outbreak of war - the scale can be different. Storage media have completely different incarnations: a paper document with classified information, a USB drive with the company's annual plan, and a film with a video of the crime. But, probably, the very first and one of the most valuable carriers is a person, in particular his speech. Many important issues are resolved verbally. Therefore, often the efforts of attackers are aimed precisely at obtaining acoustic speech information. Interception of voice information through a direct acoustic channel in particular is carried out using embedded devices (memory) or bookmarks. Bookmarks are electronic devices that are covertly installed in the intended place for a confidential conversation, in order to transfer the intercepted conversation to the attacker, moreover, regardless of whether the intercepted information is transmitted “live”, or only after it has been recorded to the internal memory of the memory, or from other factors, the key feature of such embedded devices is precisely the method of transmitting information [1].

Against the backdrop of rapidly evolving wireless communication standards, an attacker has a wide choice of methods for transmitting information, and the main problem for a person who does not want to be tapped is that these devices for secretly intercepting conversations work according to the widespread standards used in everyday life. Thus, the identification of such bookmarks can be compared with the search for “needles in a stack of needles” - their search is reduced to solving the problem of extracting a signal from an illegally installed memory on the background of numerous signals from legal devices that have exactly the same form. Another problem is added to this problem, also caused by the widespread adoption of wireless data transfer standards. Getting and setting up such a bookmark will not be difficult - there is a wide range of various embedded devices on the market and their setting is no different from setting up other devices working according to the same standards. General approaches to identifying bookmarking devices built on the basis of wireless communications. Detection of filling devices, like any other objects, is carried out according to their unmasking signs. The unmasking signs of embedded devices are objectively existing and steadily repeating signs of the functioning or physical presence of an object that allows it to detect, recognize an object and obtain other necessary information about it. The probability of detecting an object is the higher, the more unmasking signs and the more informative they are in the sign structure. One of the types of unmasking signs are signal signs. Signal signs of memory is the type, moments of appearance and parameters of the signal emitted by them. Such signs, for example, can be the type of modulation, the method of spreading the spectrum, the carrier frequency, signal strength, random voltage changes in the telephone line, etc. The search for signal signs is carried out using special technical means that can visualize or present the signal radiated by the bookmark in another form convenient for analysis. For example, such devices can be spectrum analyzers, selective voltmeters, field indicators. Spectrum analyzer is a device for observing and measuring the relative distribution of energy of electrical (electromagnetic) vibrations in a certain frequency band. To hide the information transfer channel, bookmark developers use many methods and algorithms, among which the use of standard communication channels stands out. This means that illegally installed bookmarking devices transmit intercepted information in the frequency ranges of legal standards, use their information transfer protocols, have the same frequency response - they are essentially the same legal devices and differ from them only in the fact of illegal installation for secretly receiving information. By standard communication channels are understood the widespread, everyday used by a large number of devices standards, which include Wi-Fi, Bluetooth, ZigBee [2].

Methodology for identifying electronic devices for interception of acoustic speech information, built on the basis of wireless communications. Deployment of the complex for detection of embedded devices, determination of the zone of reliable reception of the complex, exclusion from the zone of reliable reception of all functioning wireless communications. In order to identify EUNPIs built on the basis of wireless access means, in addition to direct measures to identify memory devices (technical measures), a number of preparatory (organizational) measures should be taken. Organizational measures are aimed at simplifying the task for the operator to identify embedded devices, namely, to exclude from the antenna reception area of the device used to detect EISI legal devices operating in the frequency range under consideration. All wireless signal sources are removed or disabled from the coverage area. Such signals “clog” the spectrograms obtained by the search complexes, which in turn complicates the work of the search complex operator, which is forced to filter and filter them. If this is possible, all devices operating in the 2.4 GHz band are deleted or turned off within the coverage area. Otherwise, a time maneuver is made, which consists in conducting search activities after hours, in particular night time [3].

The operator switching on various legal devices in polling mode in turn. Technical search methods begin with turning on Wi-Fi, Bluetooth, ZigBee devices that the operator has in the polling mode to identify devices that do not work in stealth mode and will provide an answer to the polling signal. If it is safe to say that in the real zone of reliable reception there are no functioning devices operating in the 2.4 GHz band, and an unknown device was found during the survey, then it is concluded that there is an illegally installed device working in the search zone using the device’s technology, with with the help of which a survey was made, and a decision was made on further actions to localize the ENRI. Search EUNPI, built on the basis of Wi-Fi wireless technology, the polling method can be carried out using devices that have a built-in Wi-Fi-module. The survey is carried out using special software, for example, MACAddressScanner, which generates polling packets (proberequest) and analyzes the received answers by comparing the list of requested network addresses with MAC addresses, thus allowing you to get a list of physical addresses of devices within range of the built-in Wi-Fi -module. If there is no other devices operating in the 2.4 GHz band in the confident reception zone, the physical address of the embedded device operating in non-stealth mode will be obtained in this way, which means confirmation of the fact of its presence [4].

The search for EUNPIs built on the basis of Bluetooth can be performed using the polling method using devices that have a built-in Bluetooth module. Almost all modern mobile phones, tablets and laptops have such modules. Therefore, this stage of technical measures consists in the banal inclusion of the “Search for devices” function and the subsequent observation of the list of found Bluetooth devices. The survey is carried out using special ID packets that contain only the access code to the survey search channel, which does not depend on the device addresses. In the case when organizational measures were taken and the embedded device is not in hidden mode, the device conducting the survey is listed of found devices, the network name or MAC address of the embedded device will appear [5].

Interrogation of ZigBee embedded devices should be carried out using a ZigBee device operating in coordinator mode. The coordinator device must execute a command to search for devices on the network, in which a broadcast packet is sent to the network with the host definition command. The bookmark, having received this command, will send in response a packet containing its own symbolic identifier, a 16-bit network address and a 64-bit physical address (in XBeeSeries 2 modules) [6].

Inclusion of a search complex for scanning the 2.4 GHz frequency range. Most likely, the attacker, setting up and installing the bookmark, understands that working not in stealth mode, she risks being quickly and without the use of specialized equipment detected. Therefore, the probability of its functioning in stealth mode is much greater and simple devices with Wi-Fi, Bluetooth and ZigBee modules can no longer do. For these cases, it is advisable to use special search devices, such as a spectrum analyzer. If the bookmark was not found using the polling procedure, the search system is turned on and a range of selected frequencies is scanned in order to accumulate thresholds (obtain the maximum noise level) and obtain the initial spectrogram for further analysis. But if no signals were detected at this stage (which is very likely, given that the probability of accidentally detecting a mortgage device is extremely small), then one of the following two steps is taken (or one by one, if nothing is detected during the first It was). Turning off the power to all electronic devices in the zone of reliable reception and their subsequent alternating switching on. At this stage, we proceed from the assumption that the bookmark is powered by various electronic devices. Based on the analysis of the Wi-Fi, Bluetooth, and ZigBee protocols, it follows that a device built on the basis of these standards will broadcast signals of a certain type at the time of their inclusion, conducting a self-test procedure, by which it can be established the fact of their presence. Before turning on the devices, the noise level is recorded again. After each inclusion of the next device in the network, the readings of the search complex are recorded by the operator. When a signal appears on the search device, the device, at the moment of switching on which the signal was detected, is turned off and on again to confirm the systematic appearance of the signal. In the event of a repeated occurrence of the signal, a conclusion is made about the presence of the embedded device, and further measures are taken to localize the memory [7].

Turn on the test acoustic signal. Activation of the embedded device by dubbing the object with a test acoustic signal - it is based on the assumption that the bookmark is controlled by a VAS-type system and is transmitted if there is an audio signal in the range of its microphone. During this stage, silence must be respected. After silence is established, the noise level is recorded again. Then the test acoustic signal is turned on, and the operator records the readings of the search complex. In the event of a signal appearing in the scanned range, as well as when the power supply of electrical appliances is turned off / on, the test signal is turned on again. After detecting the signal for the second time, it is concluded that there is a reliable reception of the embedded device in the zone and a decision is made to take measures to determine the specific location of the embedded device [7].

Localization of the location of the embedded device. It follows from the fact that the methods described above only determine the fact of the presence of a memory in the area of reliable reception of the search antenna, and to determine the specific location of the memory, you will need to search using other methods and means, for example, using non-linear locators, field indicators and thermal imagers. The algorithm for detecting unmasking features of acoustic speech information interception devices based on wireless communications is illustrated using the flowchart in Figure 1. Fig. 1.
рис. 1.png

Algorithm for the detection method for EISEs built on the basis of wireless communications. Thus, based on the analysis of wireless communication protocols, as well as the unmasking features of devices built on their basis, technical measures have been developed to identify devices for intercepting acoustic speech information built on the basis of wireless communications, including measures to identify Wi-Fi, Bluetooth, and ZigBee devices. Technical measures are aimed at forcing the memory device to send a signal to the radio, by which the operator can identify it in the search complex. The developed technique is not universal and applicable for all cases. Depending on the boundaries of the controlled area, as well as on the type of EISI, the methodology revealed limitations that made it inapplicable in some cases or applicable, but with some reservations. So embedded devices operating from an autonomous power source and transmitting only at predetermined times by an attacker can be detected only by coincidence, and legal devices operating in the reliable reception zone, which cannot be turned off, can interfere with the detection of an activated bookmark.

Identification of electronic devices for interception of acoustic speech information, built on the basis of wireless communications
 
Original message
Выявление электронных устройств перехвата акустической речевой информации, построенных на базе средств беспроводной связи.

Ни у кого не возникает сомнений, что в наше время информация носит исключительный характер. Получение информации лицами, для которых она не предназначается, может привести к различным негативным последствиям: от потери компанией клиентов, до развязывания войны — масштабы могут быть разными. Носители информации имеют совершенно различные воплощения: бумажный документ с секретными сведениями, USB-накопитель с годовым планом компании, пленка с видеозаписью преступления. Но, наверное, самым первым и одним из самых ценных носителей является человек, в частности его речь. Очень многие важные вопросы решаются именно в устной форме. Поэтому зачастую усилия злоумышленников направлены как раз на получение акустической речевой информации. Перехват речевой информации по прямому акустическому каналу в частности осуществляется при помощи закладных устройств (ЗУ) или закладок. Закладки — это электронные устройства, скрытно устанавливаемые в предполагаемое место проведения конфиденциального разговора, с целью передачи перехваченного разговора злоумышленнику, причём, независимо от того, передаётся ли перехватываемая информация «в прямом эфире», или только после её предварительной записи на внутреннюю память ЗУ, либо от других факторов, ключевой особенностью таких закладных устройств является именно способ передачи информации [1].

На фоне бурно развивающихся стандартов беспроводной связи перед злоумышленником открывается большой выбор способов передачи информации, причём основной проблемой для человека, нежелающего быть прослушанным, является то, что эти устройства негласного перехвата разговоров, работают по широко распространённым, используемым в повседневной жизни, стандартам. Таким образом, выявление таких закладок можно сравнить с поиском «иголки в стогу иголок» — их поиск сводится к решению задачи выделения сигнала от нелегально установленного ЗУ на фоне многочисленных сигналов от легальных устройств, имеющих абсолютно такой же вид. К этой проблеме добавляется ещё одна проблема, также вызванная широкой распространённостью стандартов беспроводной передачи данных. Раздобыть и настроить такую закладку не составит большого труда — на рынке представлен широкий ассортимент различных закладных устройств и их настройка ничем не отличается от настройки других устройств, работающих по таким же стандартам. Общие подходы к выявлению закладочных устройств, построенных на базе средств беспроводной связи. Обнаружение закладочных устройств, как и любых других объектов, осуществляется по их демаскирующим признакам. Демаскирующие признаки закладных устройств — объективно существующие и устойчиво повторяющиеся признаки функционирования или физического присутствия объекта позволяющие обнаружить, распознать объект и получить другую необходимую информацию о нём. Вероятность обнаружения объекта тем выше, чем больше демаскирующих признаков и чем они информативнее в признаковой структуре. Одним из видов демаскирующих признаков являются сигнальные признаки. Сигнальными признаками ЗУ является вид, моменты появления и параметры излучаемого ими сигнала. Такими признаками, например, могут быть вид модуляции, метод расширения спектра, несущая частота, мощность сигнала, случайные изменения напряжения в телефонной линии и т. п. Поиск по сигнальным признакам осуществляется с помощью специальных технических средств, способных визуализировать или представить излучаемый закладкой сигнал в другом, удобном для анализа, виде. Например, такими устройствами могут быть анализаторы спектра, селективные вольтметры, индикаторы поля. Анализатор спектра — прибор для наблюдения и измерения относительного распределения энергии электрических (электромагнитных) колебаний в определённой полосе частот. Для скрытия канала передачи информации разработчики закладок используют множество методов и алгоритмов, среди которых выделяется использование стандартных каналов связи. Это значит, что нелегально установленные закладочные устройства передают перехваченную информацию в частотных диапазонах легальных стандартов, используют их протоколы передачи информации, имеют ту же самую частотную характеристику — являются по сути такими же легальными устройствами и отличаются от них только фактом нелегальной установки для негласного получения информации. Под стандартными каналами передачи информации понимаются широко распространённые, повседневно используемые большим количеством устройств стандарты, к которым можно отнести Wi-Fi, Bluetooth, ZigBee [2].

Методика по выявлению электронных устройств перехвата акустической речевой информации, построенных на базе средств беспроводной связи. Развертывание комплекса по обнаружению закладных устройств, определение зоны уверенного приема комплекса, исключение из зоны уверенного приема всех функционирующих средств беспроводной связи. Для выявления ЭУНПИ, построенных на базе средств беспроводного доступа, помимо непосредственно мер по выявления ЗУ (технических мер), нужно провести ряд подготовительных (организационных) мероприятий. Организационные меры направлены на упрощение оператору задачи по выявлению закладных устройств, а именно на исключение из зоны приёма антенны устройства, используемого для выявления ЭУНПИ, легальных устройств, работающих в рассматриваемом диапазоне частот. Производится удаление или отключение всех источников сигналов беспроводной связи из зоны уверенного приёма. Такие сигналы “засоряют” спектрограммы, полученные поисковыми комплексами, что в свою очередь затрудняет работу оператора поискового комплекса, который вынужден их фильтровать и отсеивать. Если такая возможность имеется, в пределах зоны уверенного приёма удаляются или выключаются все устройства, работающие в диапазоне 2,4 ГГц. В противном случае делается манёвр временем, заключающийся в проведении поисковых мероприятий в нерабочее, в частности ночное время [3].

Поочерёдное включение оператором различных легальных устройств в режим опроса. Технические методы поиска начинаются с включения устройств стандартов Wi-Fi, Bluetooth, ZigBee, находящихся у оператора в режим опроса, для выявления устройств, которые работают не в скрытом режиме и дадут ответ на опросный сигнал. Если можно с уверенностью сказать, что в реальной зоне уверенного приёма нет функционирующих устройств, работающих в диапазоне 2,4 ГГц, и при опросе было обнаружено неизвестное устройство, то делается вывод о наличии в зоне поиска нелегально установленного устройства, работающего по технологии устройства, с помощью которого делался опрос, и принимается решение о дальнейших действиях по локализации ЭУНПИ. Поиск ЭУНПИ, построенных на базе технологии беспроводной связи Wi-Fi, методом опроса можно осуществить с помощью устройств, в которые встроен Wi-Fi-модуль. Опрос проводиться с помощью специального программного обеспечения, например MACAddressScanner, которое формирует опросные пакеты (proberequest) и анализирует полученные ответы, сопоставляя список запрошенных сетевых адресов с MAC-адресами, позволяя таким образом получить список физических адресов устройств, находящихся в зоне досягаемости встроенного Wi-Fi-модуля. При условии отсутствия в зоне уверенного приёма других устройств, работающих в диапазоне 2,4 ГГц, таким образом будет получен физический адрес закладного устройства, работающего не в скрытом режиме, а значит и подтверждение факта его наличия [4].

Поиск ЭУНПИ, построенных на базе Bluetooth, методом опроса можно осуществить с помощью устройств, в которые встроен Bluetooth-модуль. Почти все современные мобильные телефоны, планшетные компьютеры и ноутбуки имеют такие модули. Поэтому этот этап технических мер заключается в банальном включении функции «Поиск устройств» и последующем наблюдении списка найденных Bluetooth-устройств. Опрос осуществляется с помощью специальных ID-пакетов, которые содержат только код доступа к каналу поиска опроса, который не зависит от адресов устройств В случае, когда были проведены организационные меры и закладное устройство не находится в скрытом режиме, на устройстве, проводящем опрос, в списке найденных устройств появится сетевое имя или MAC-адрес закладного устройства [5].

Опрос закладных устройств ZigBee следует проводить с помощью ZigBee устройства, работающего в режиме координатора. Устройство координатор должно выполнить команду поиска устройств в сети, при которой в сеть отправляется широковещательный пакет с командой определения узла. Закладка, получив эту команду, отправит в ответ пакет, содержащий в себе свой символьный идентификатор, 16-битный сетевой адрес и 64-битный физический адрес (в модулях XBeeSeries 2) [6].

Включение поискового комплекса на сканирование диапазона частот 2,4 ГГц. Скорее всего, злоумышленник, настраивая и устанавливая закладку, понимает, что работая не в скрытом режиме, она рискует быть быстро и без применения специализированной аппаратуры обнаруженной. Поэтому вероятность функционирования её в скрытом режиме намного больше и простыми устройствами с Wi-Fi, Bluetooth и ZigBee модулями уже не обойтись. Для этих случаев целесообразно применять специальные поисковые устройства, наподобие анализатора спектра. Если с помощью процедуры опроса закладка не была обнаружена, включается поисковый комплекс и проводится сканирование диапазона выбранных частот, с целью накопления порогов (получения максимального уровня шума) и получения первоначальной спектрограммы, для дальнейшего анализа. Но если на этом этапе не было обнаружено сигналов (что крайне вероятно, учитывая, что вероятность случайного обнаружения закладного устройства крайне мала), то делается один из следующих двух шагов (или один за другим, в случае, если во время осуществления первого ничего обнаружено не было). Отключение электропитания всех электронных устройств в зоне уверенного приёма и их последующее поочерёдное включение. На данном этапе исходим из предположения о том, что закладка питается от различных электронных приборов. Исходя из анализа протоколов Wi-Fi, Bluetooth и ZigBee, следует, что устройство, построенное на базе этих стандартов, выдаст в эфир сигналы определённого вида в момент их включения, проводя процедуру самотестирования, по которым можно установить факт их присутствия. До начала включения устройств снова фиксируется уровень шумов. После каждого включения очередного устройства в сеть показания поискового комплекса фиксируются оператором. При появлении на поисковом устройстве сигнала, устройство, в момент включения которого был обнаружен сигнал, выключается и заново включается для подтверждения систематичности появления сигнала. В случае повторного появления сигнала делается вывод о присутствии закладного устройства, и проводятся дальнейшие мероприятия по локализации ЗУ [7].

Включение тестового акустического сигнала. Активация закладного устройства озвучкой объекта тестовым акустическим сигналом — исходит из предположения о том, что закладка управляется системой типа VAS и выходит на передачу при наличии звукового сигнала в зоне действия её микрофона. Во время проведения данного этапа должна соблюдаться тишина. После установления тишины заново проводится фиксация уровня шумов. Затем включается тестовый акустический сигнал, и оператором фиксируются показания поискового комплекса. В случае появления сигнала в сканируемом диапазоне, как и при отключении/включении электропитания электрических приборов, включение тестового сигнала проводится повторно. После обнаружения сигнала во второй раз делается вывод о наличии в зоне уверенного приёма закладного устройства и принимается решение о проведении мероприятий по определению конкретного местоположения закладного устройства [7].

Локализация местоположения закладного устройства. Следует из того факта, что описанные выше методы позволяют определить только факт наличия ЗУ в зоне уверенного приёма поисковой антенны, и для определения конкретного местоположения ЗУ, потребуется провести поиск с помощью других методов и средств, например с помощью нелинейных локаторов, индикаторов поля и тепловизоров. Алгоритм методики выявления демаскирующих признаков устройств перехвата акустической речевой информации, построенных на базе средств беспроводной связи, проиллюстрирована при помощи блок-схемы на рисунке 1. Рис.1.
рис. 1.png

Алгоритм методики выявления ЭУНПИ построенных на базе средств беспроводной связи Таким образом, основываясь на анализе протоколов беспроводной связи, а также демаскирующих признаках устройств, построенных на их базе, были разработаны технические меры по выявлению устройств перехвата акустической речевой информации, построенных на базе средств беспроводной связи, среди которых меры по выявлению Wi-Fi, Bluetooth и ZigBee устройств. Технические меры направлены на то, чтобы заставить ЗУ отправить в радиоэфир сигнал, по которому оператор сможет выявить его на поисковом комплексе. Разработанная методика не является универсальной и применимой для всех случаев. В зависимости от границ контролируемой зоны, а также от типа ЭУНПИ, у методики были выявлены ограничения, делающие её неприменимой в некоторых случаях или применимой, но с некоторыми оговорками. Так закладные устройства, работающие от автономного источника питания и выходящие на передачу только в заранее настроенные злоумышленником моменты времени могут быть обнаружены только по совпадению, а функционирующие в зоне уверенного приёма легальные устройства, выключить которые не представляется возможным, могут помешать обнаружению активированной закладки.

Выявление электронных устройств перехвата акустической речевой информации, построенных на базе средств беспроводной связи

Матушкин Андрей Николаевич

Президент IAPD
طاقم الإدارة
Private access level
Full members of NP "MOD"
إنضم
1 يناير 1970
المشاركات
21,931
مستوى التفاعل
3,755
النقاط
113
العمر
53
الإقامة
Россия,
الموقع الالكتروني
o-d-b.ru
THANK!
 
Original message
СПАСИБО!

Плотников Юрий Михайлович

Private access level
Full members of NP "MOD"
إنضم
21 يوليو 2010
المشاركات
3,699
مستوى التفاعل
563
النقاط
113
العمر
71
الإقامة
Россия, Хабаровск. +7 914 544 16 90.
الموقع الالكتروني
www.sysk-dv.ru
Thank!
 
Original message
Спасибо!

Андрей Захаров

Вице-Президент IAPD
طاقم الإدارة
Private access level
Full members of NP "MOD"
إنضم
16 أغسطس 2012
المشاركات
3,653
مستوى التفاعل
571
النقاط
113
العمر
63
الإقامة
Россия, Саранск. Частный детектив 89271807574
الموقع الالكتروني
iapd.info
Thank you) Very informative and useful to know ....
 
Original message
Спасибо) Очень познавательно и полезно знать....

Люков

Вице-Президент IAPD
Private access level
Full members of NP "MOD"
إنضم
26 مايو 2013
المشاركات
153
مستوى التفاعل
76
النقاط
28
العمر
73
الإقامة
Крым. Ялта. +7 978 983 10 42 +7 978 138 96 55
الموقع الالكتروني
iapd.info
thank you - interesting
 
Original message
благодарю - интересно