06.12.2022 11:45
GlobalSign_admin 40 8700 Источник

Сравнение колебания частоты тока в целевом сигнале (target) и референсной базе данных (ref) относительно несущей частоты 50 Гц с помощью программы enf-matching, источник

В современную эпоху очень важно иметь инструменты, которые позволяют точно верифицировать аудио/видеозапись, выявить следы монтажа и поставить точную метку времени.

Рутинная цифровая криминалистика включает изучение метатегов, где указано время записи файла, но эти теги легко подделать. Но есть одна физическая характеристика, которую подделать практически невозможно без предварительных измерений частоты электрического напряжения в сети.

Речь о специфическом гудении энергосети в виде электрического шума, который всегда записывается на аудиодорожку.

Дело в том, что колебания частоты в электросети (electrical network frequency, ENF) складываются в уникальный неповторяемый паттерн. Он отличается для каждого времени суток и дня года. Историческая база данных с записью шума позволяет довольно точно датировать видео, выполнив банальный поиск и сверку звуковых характеристик, примерно как это делает Shazam.

Электрический шум


Электрический шум — широкое понятие, и источников его огромное количество. Шум может передаваться и улавливаться шнуром питания, действующим как антенна, или переноситься по линии электропередач. Помехи могут быть вызваны радиочастотными помехами, такими как радио, телевидение, сотовая связь и микроволновая передача, радары, сварка и далёкие разряды молнии и др. Шум также может быть вызван электромагнитными помехами, создаваемыми нагревателями, кондиционерами, бытовой техникой, термостатами, двигателями.


Отклонение от несущей частоты электрического тока

В случае с гулом электросети в Великобритании анализируются изменения частоты электрического тока от 49 до 51 Гц. Они в точности совпадают по всей территории страны, которая объединена одной энергосистемой.

В других странах мира энергосистемы могут работать на другой частоте тока, например, 60 Гц (США и Канада). Вот как выглядят основные синхронные сети в мире:



А это синхронные сети Европы и Северной Африки:



Каждая синхронная сеть характеризуется своим уникальным паттерном ENF.

Датировка видеозаписи


Для нашего случая принципиально, что шум может переноситься по линии электропередач. Вот почему в единой связанной электросети детектируются одинаковые паттерны, которые неизбежно попадают в звуковую дорожку.

Технику анализа ENF для датировки и валидации записей разработал д-р Каталан Григорас, ныне директор Национального центра цифровой медиакриминалистики в Колорадо (США). Научная работа с описанием метода опубликована в 2005 году. С тех пор техника широко используется правоохранительными органами.

По сути, сигнал электрического шума (гул энергосети) рассматривается как уникальный цифровой водяной знак, который помогает определить время создания записи, обнаружить изменения в записи или доказать фальсификацию. Например, исторические записи изменений частоты сети хранятся в полиции Баварии с 2010 года, а в полиции Великобритании с 2005 года.

В 2011 году исследователи продемонстрировали, что освещение в помещениях, такое как люминесцентные лампы и лампы накаливания, изменяет интенсивность света в зависимости от подаваемого напряжения, а оно тоже зависит от частоты питающего напряжения. В результате интенсивность света может передавать информацию о колебаниях частоты на записи визуальных датчиков подобно тому, как электромагнитные волны от линий электропередач передают информацию об ENF на механизмы аудиодатчиков. Основываясь на этом результате, визуальный след от видео, снятого в условиях внутреннего освещения, также содержит следы ENF.

В том же исследовании продемонстрировано, что сигнатуры ENF от визуального потока и аудио должны совпадать. В результате по совпадению этих двух сигналов можно определить, были ли звуковая и визуальная дорожки записаны вместе или наложены позже.

Правоохранительные органы Великобритании используют паттерны электрического шума в рамках полностью автоматизированного процесса более десяти лет.

Новые инструменты


Если раньше такая экспертиза была уделом профессиональных цифровых криминалистов, но теперь доступна каждому желающему. В октябре 2022 года открытом доступе опубликована опенсорсная программа enf-matching, которая помогает провести такую проверку.

Это питоновский скрипт, который для демонстрации сравнивает запись электрического шума из нашего образца с исторической базой электрического шума ENF-WHU, записанной специалистами Уханского университета (провинция Хубэй, Китай).



Если целевая запись записана в другом регионе мира, то нужно использовать другую базу. Их ведут криминалисты разных стран для проведения экспертизы, а некоторые фрагменты выкладывают в открытый доступ. Например, в свободном доступе можно найти тестовые файлы частот для синхронных сетей Европы, США, Японии и России (например, вот база из Санкт-Петербурга RU01.csv за период с 30.04.2019 по 12.05.2019, размер файла 44,5 МБ).

В файле записаны отклонения от стандартного несущего сигнала 50 Гц в таком виде:

Time			f50_DE_KA
30.04.2019 0:00	-18.5638
30.04.2019 0:00	-19.2312
30.04.2019 0:00	-20.4551
30.04.2019 0:00	-23.2079
30.04.2019 0:00	-26.722
30.04.2019 0:00	-29.2147
…

Теоретически, злоумышленник может выполнить обфускацию электрического шума, но для этого нужно сначала вычесть оригинальный шум, а потом добавить шум из другого временного интервала. Но это довольно трудоёмкая процедура, и о таких случаях пока не известно.

Комментарии (40)


  1. sergeyns
    06.12.2022 11:51
    #24982586
    +9

    Вывод - переходите на автономное питание от аккумуляторов.


    1. Tim777
      06.12.2022 13:05
      #24982930
      +1

      Как это помешает шумам от наводок?


      1. sergeyns
        06.12.2022 15:42
        #24983634
        +3

        Откуда наводки если у вас прибор (телефон :) , ибо сейчас наверно 90% всего аудио-видео делается на телефонах) гальванически развязан от сети??? А вообще конечно в статье неплохо бы написать что за источники в них и откуда в них наводки от сети.. Я вот как-то представил себе запись музыки на студийный магнитофон и там где-то на N-м "слое реальности" :) идет небольшое такое дрожание сигнала от того что выпрямляющий фильтр питания после трансформатора не до конца сглаживает... чёрт, неужели аудофилы проводов за десять тыщ баксов и трансформаторов на правильно оттоженной медной проволоке правы???

        Или "ОНИ" об электромагнитной индукции от бытовых сетей в 50ГЦ которые заставляют дрожать мембрану микрофона? Ну вот не верю в это.. а если это так, то тогда не понимаю почему предают обструкции тех, кто подозревает излучение 5g в чем то нехорошем? Там и частоты излучают эффективнее и мембраны в клетках нашего организма потоньше, то бишь дрожать будут лучше.. Вдруг организму от этого нехорошо? ...


        1. sim2q
          06.12.2022 18:59
          #24984426
          +7

          наводки будут по любому, это и высшие гармоники, но в большей степени - модулированные частотой сети разные ВЧ сигналы от импульсных БП, где будет видно слышно работу APFC, изменение режимов работы dc/dc в светильниках и прочее... в общем - интересный и трудноподавимый канал утечки

          @GlobalSign_admin IMHO: гул, у нас всё же привычней для данного случая как - фон


        1. engine9
          07.12.2022 11:54
          #24986254
          +1

          50 Герц наводится на мирно лежащий на столе щуп осциллографа с батарейным питанием. А еще электропитающая сеть наводит заметный сигнал на высокоомный вход аудиорекордера в который вставлени "миниджек" с антенной в пару сантиметров.

          Полагаю, на "полевик" в капсюле электретника она так же может навести сигнал который будет слышен на записи.


      1. YDR
        07.12.2022 09:50
        #24985796
        +1

        помешает (уменьшит). Кроме того, размер устройства (и проводов в нем) влияет на эффективность приема наводок.

        Цифровой микрофон, по идее (и при хорошо отфильтрованном питании) должен давать сигнал без этих наводок.

        Наводки запишутся опосредованно, если рядом какой-нибудь елевизор что-нибудь говорит. Да, модуляция преобразователей - тоже правильная идея.

        Возможно, поэтому аналоговый ленточный диктофон проще всего "подтверждается". А для цифровых можно сделать опцией какую-нибудь антенну, которая будет давать "(эффект цифровой подписи момента времени) бедного человека"

        На запись с "идеального" цифрового диктофона (без наводок) наложить фальсифицирующие наводки проще.


  1. fk0
    06.12.2022 13:17
    #24982968
    +1

    Злоумышленнику достаточно отрезать всё от 100Гц и ниже. Для передачи речи -- сгодится. Для музыки -- нет.


    1. swame
      06.12.2022 13:20
      #24982980

      Это и будет свидетельстовать о фальсификации


      1. makkarpov
        06.12.2022 13:44
        #24983090
        +4

        Вырезайте не до 100 Гц, а конкретно 50Гц с окрестностями и гармониками. И накладывайте вместо вырезанного сигнала референсный из тех самых баз за интересующую дату.


        1. swame
          06.12.2022 15:33
          #24983570
          +2

          Такой способ в статье упоминается


          1. sim31r
            06.12.2022 21:59
            #24984822
            +1

            злоумышленник может выполнить обфускацию электрического шума, но для этого нужно сначала вычесть оригинальный шум, а потом добавить шум из другого временного интервала. Но это довольно трудоёмкая процедура, и о таких случаях пока не известно.

            Это сказано, вероятно, чтобы даже не пробовали. Не нужно вычитать оригинальный шум. Достаточно наложить шум в 2-3 сильней оригинального. Не чистый синус, а зашумленный синус, имитирующий сеть.

            Да и вычесть 50Гц ±1 Гц не так сложно, тем более нужно не в ноль убирать, а снизить амплитуду в несколько раз. И сложно будет сказать что это умышленно делается, а не настройками по умолчанию микрофона.

            Вот такого лога уже не получится посла зашумления умышленного

            Time f50_DE_KA
            30.04.2019 0:00 -18.5638
            30.04.2019 0:00 -19.2312
            30.04.2019 0:00 -20.4551
            30.04.2019 0:00 -23.2079
            30.04.2019 0:00 -26.722
            30.04.2019 0:00 -29.2147

            Будут совсем другие цифры, какие сам установишь.

            Можно ли вычислить наличие и амплитуду частоты 49,5 Гц при ложной и более сильной 50 Гц я не могу сказать. Это всё при наличии обычных шумов. Скорее всего в спектре она потеряется в шумах.


            1. N-Cube
              07.12.2022 18:13
              #24987672

              Есть еще биспектр, триспектр... там наводки все равно будут видны, независимо от амплитуды добавленного аддитивного шума. Например, еще в 90х шум двигателя подлодок на расстояниях в сотни километров выделяли по записи на обычный морской микрофон звуков моря.


              1. sim31r
                08.12.2022 09:23
                #24989040

                Только в этом случае умышленно не вносили специфические искажения в звук. Скорее всего выделяли некую частоту, которая ниже порога слышимости, тут нет ничего сложного. Можно работать с длительными сигналами, амплитуда которых в сотни раз ниже уровня шума, интеграторами как-бы накапливается спектр в этой области и можно достоверно выделить специфические частоты на фоне равномерного шума.


                1. N-Cube
                  08.12.2022 12:21
                  #24989630

                  Вы бы хоть вики посмотрели… Любой периодический сигнал и некоторые другие (типа шума двигателей, малинового звона колоколов и многие другие) может быть детектирован независимо от соотношения сигнал-шум (на практике есть свои ограничения, разумеется).


                  1. sim31r
                    08.12.2022 16:16
                    #24990438

                    Умышленное искажение сигнала и есть это самое ограничение. Например в сигнале нет периодического сигнала, его умышленно внесли. Результат анализа будет ошибочный. Или наоборот, сигнал ожидается в какой-то узкой полосе частот, его сначала вырезали, потом внесли шум. Выделить невозможно.


                    1. N-Cube
                      08.12.2022 20:55
                      #24991210

                      Вы утверждаете, что умеете внести произвольные изменения в сигнал так, чтобы не изменить спектр сигнала, да еще и произвольно манипулировать биспектром и триспектром? Если докажете это, то вы опровергнете всю современную науку. Согласованно изменять все кратные, разностные и суммарные гармоники записи множества независимых процессов (изменение частоты и амплитуды напряжения в питающей сети, шум лопастей кондиционеров, лифтов, ветра за окном и так далее) это и есть манипулировать полным спектром сигнала - и добиться сохранения спектров всех порядков невозможно.


                      1. sim31r
                        09.12.2022 09:47
                        #24992094

                        Ну давайте разберем сигнал. Запись 2 секунды, частота дискретизации 8 КГц, Сжатие сигнала до 8 кбит, речевым GSM кодеком. АЦП 8 бит. Шумы равны уровню сигнала. Тут и без модификации много не получить. После восстановления сигнала от исходного мало что останется.

                        добиться сохранения спектров всех порядков невозможно

                        Это всё в теории. На практике есть ограничения.


            1. karavan_750
              08.12.2022 02:47
              #24988664

              Ваш пример создаст уникальный отпечаток шума, который не будет верифицироваться по имеющимся базам ENF на соответствующие даты для соответствующей местности.


              1. sim31r
                08.12.2022 09:26
                #24989050
                +1

                Отсутствие верификации может быть вполне нормальным явлением, "что-то пошло не так" и эта улика оказалась не применима. Возможно что большая часть аудиоматериалов не подходит для анализа, или шумы сильные или умный микрофон подавляет частоту промышленной сети так, что спектр невозможно выделить.


      1. serafims
        06.12.2022 19:34
        #24984512

        а если ниже 100 Гц положить другой правдоподобный фон? но без 50гц составляющей. например, программно сгенерированный.


        1. sim31r
          06.12.2022 22:01
          #24984824

          А зачем? Нужен шум именно в районе 50Гц,остальное будет отброшено фильтрами при анализе.


      1. mylo27
        07.12.2022 13:18
        #24986642

        Скажет что у него микрофон плохой


  1. Dair_Targ
    06.12.2022 13:26
    #24983020
    -15

    Спасибо за материал!

    К сожалению, есть фактические ошибки: у вас карты мало того, что противоречат российскому законодательству и действительности (Крым и новые области в России и не в ENTSO-E), так они ещё и друг другу противоречат (в какой из систем Прибалтика?). Также UCTE в ENTSO-E превратилось 13 лет назад.


    1. Denis_Chernyshev
      06.12.2022 13:39
      #24983074
      +10

      Карта взята из Википедии, в тексте ссылка. Датирована февралем 2010. Как гласит лозунг "загнивающей Педивикии" - "Правьте смело".


    1. Kelbon
      07.12.2022 09:23
      #24985716

      Это карта электросети, а не стран


  1. Chelidonium
    06.12.2022 18:44
    #24984364

    вероятно старые магнитофонные ленты и кассеты, или видеоплёнка в VHS
    не удерживали синхронизацию настолько аккуратно, чтобы выделять из
    записи надёжные данные


    1. sim31r
      06.12.2022 22:05
      #24984844
      +1

      При воспроизведении записи на том же устройстве, что и велась запись точность воспроизведения будет выше. Плюс можно привязываться не к абсолютным значениям, а относительным. Например в некоторый момент времени был редкий скачок частоты на +1% на определенное время по продолжительности, на основе его можно найти время и регион записи.


  1. dprotopopov
    06.12.2022 23:37
    #24985020
    -1

    1. Это из разряда баек что КГБ прослушивало через лампочку...поскольку от разговоров вольфрамовая спиралька работала как микрофон

    2. Кто ведет логи шумов в электросети с привязкой ко времени? Технически это не сложно, но вот получить юридически не опротестовываемое время практически невозможно...любой маломальски грамотный юрист все это похерит


    1. Tangeman
      07.12.2022 00:43
      #24985204
      +4

      1. Насчёт лампочки, хоть и не через нить накаливания - не совсем байка. Вообще же каналов утечки полно.

      2. В статье сказано что логи ведут полиция Германии и Великобритании, а если пройтись по ссылкам то можно найти и остальных (в основном криминалисты) - у них точно не будет проблем с использованиями этого в качестве доказательной базы, даже с грамотными юристами.


      1. Refridgerator
        07.12.2022 06:26
        #24985444

        Если шпионаж идёт снаружи — колебания проще снимать сразу с оконного стекла. Для этого даже никакой математики не надо — достаточно решётки из микрофонов с параболическими рупорами.


        1. YDR
          07.12.2022 09:57
          #24985808

          от расстояния сильно зависит. А вот лазарем удобнее, лазари сейчас доступны.


    1. freeExec
      08.12.2022 09:36
      #24989078

      Ну в наше время вполне получают справки в МЧС о грозах и прочих стихийных бедствий, для их подтверждения в делах.


  1. Refridgerator
    07.12.2022 06:11
    #24985436

    Если речь идёт о музыке, то аудиодорожек обычно несколько, которые затем сводятся в одну. Аудиодорожки не пишутся одномоментно, соответственно и шумы их перемешаются. Фильтры для подавления шума сети обычно сразу встроены в аудиоредакторы — никому не интересно слушать раздражающее гудение на заднем фоне. А ещё, если запись пишется на магнитофон — так у магнитофона есть «детонация», то есть неравномерность движения ленты, которая тоже изменяет частоту. Поэтому если эта технология и работает — то в каких-то прямо совсем уж топорных случаях.


    1. Akr0n
      07.12.2022 06:54
      #24985470

      А зачем следователям выяснять точки записи музыки? Речь о всяких бытовых записях, которые никто никогда не прогонял через студийные редакторы и т.п. софт.


      1. Refridgerator
        07.12.2022 07:16
        #24985492

        Так эту бытовую запись сначала надо сделать. Поставить жучок с микрофоном. Подключиться к нему удалённо для записи. В процессе всех этих мероприятий достаточно просто периодически поглядывать на календарь и часы.


        1. vp7
          07.12.2022 09:47
          #24985784
          +4

          Основной сценарий, как мне кажется, совсем другой. Есть видео-запись какого-то события, но нет информации о дате (вчера или 5 лет назад?) и месте (возможно, есть с точностью до города). Это две неизвестных, по ним искать очень сложно.

          Если сможем одну из неизвестных убрать (узнать время), то поиск значительно упростится.

          Причём чаще всего даже юридическое обоснование не требуется - доказательная база будет стороиться на другом, а информация из записи позволит сузить поиски.


        1. YDR
          07.12.2022 09:58
          #24985812

          вот, если удаленный аналоговый микрофон - то наводки самые сильные.


  1. YDR
    07.12.2022 10:03
    #24985830
    +1

    Time f50_DE_KA

    30.04.2019 0:00 -18.5638

    Мы, кстати, не знаем, что в этой таблице в виде значений. Амплитуда? вряд ли. Скорее "джиттер", отклонение частоты от идеальной частоты 50,00...0 Гц. А там есть флуктуации разных временнЫх масштабов.

    Фильтрация 50+-1 Гц notch-фильтром не поможет, т.к. есть и более высокие гармоники. А файл с явным вырезанием 50, 150, 250, ... Гц будет очень подозрительным.


  1. gleb_l
    07.12.2022 10:49
    #24985996
    +4

    Полностью подавить спектральные следы электросети в сигнале даже непосредственной оцифровки (микрофон гаджета с питанием от батареи) так же сложно, как полностью вывести следы отравления Новичком. Подменить же одни спектральные следы на другие (тоже достоверные, но относящиеся к другому промежутку мирового времени или точке в пространстве) так, чтобы спектральные криминалисты не обнаружили подделки - практически невозможно.

    Спектр AC-сети - это далеко не 50 и не 100 Гц. Это портрет до 20-30х гармоник со своими амплитудными и фазовыми особенностями и краткосрочной и долгосрочной динамикой. Удалить такой портрет из сигнала - все равно, что заменить фон на картине известного художника, и потом пройти худэкспертизу на кисть мастера ;)

    Следы же этого спектрального портрета могут детектироваться на уровне практически шума квантования АЦП - их может не быть (и скорее всего, не будет) видно глазами на спектрограмме, но корреляционный анализ с известными спектральными портретами сети найдёт похожесть в два счета.

    Для аналоговой же техники и цифровой техники с питанием от сети и/или длинными шлейфами микрофонов задача упрощается порядково. Например, аналоговые носители позволяют достаточно надёжно определить экземпляр устройства, на котором была запись - по портрету детонации, частоте, уровню и спектру подмагничивания итд / почти как идентификация автора листовки по почерку или особенности шрифта печатной машинки.

    Кроме того, природа аналогового сигнала не содержит шума квантования (только тепловой и дробный от конечных размеров магнитных доменов) - поэтому для них точность анализа может быть даже выше, а динамический диапазон анализа - превышать динамический диапазон самого носителя за счёт времЕнного интегрирования.

    Единственное, что может сделать цифровую запись неидентифицируемой по времени - лесная глушь или неэлектифицированная деревня вдали от ЛЭП ;)


  1. freeExec
    08.12.2022 09:42
    #24989098

    Так кто-то пробвал засунуть в питоновский скрипт аудио/видео. Выдает он чего или это фэйк?