PDA

Просмотр полной версии : Калифорнийский ученый разработал методику дистанционной идентификации аппаратуры комп



RiC
21.12.2005, 16:03
6 Марта 2005 года 05:06

Ученый из Калифорнийского университета нашел способ дистанционной идентификации аппаратуры компьютера. Это может сорвать маску анонимности с веб-серферов, даже если они применяют обычные меры безопасности.


Докторант Тадаёси Коно пишет в своей работе: "Сегодня существует ряд мощных технологий дистанционного снятия „отпечатков пальцев” системы, то есть определения на расстоянии типа операционной системы, установленной на том или ином подключенном к интернету устройстве. Мы дали этой идее дальнейшее развитие и ввели понятие дистанционного снятия отпечатков пальцев аппаратуры… без участия самого исследуемого устройства".

Методика Коно может иметь далеко идущие последствия. Например, она позволяет отследить "физическое устройство, когда оно подключается к интернету через другой узел доступа; подсчитать число устройств за транслятором сетевых адресов, даже если они используют постоянные или случайные IP-идентификаторы; дистанционно проверить блок адресов на соответствие виртуальным хостам".

Трансляция сетевых адресов (NAT) — это протокол, который широко применяется с целью создания впечатления, что у всех машин, расположенных за брандмауэром, один и тот же IP-адрес в интернете.

Carnivore-подобный проект?Понимая, какой интерес представляет его исследование для организаций, занимающихся наблюдением, Коно пишет: "Наши методы можно применять и для отслеживания лаптопов при их перемещении, возможно, в рамках проекта, подобного проекту Carnivore". Carnivore — это ПО наблюдения за интернетом, разработанное ФБР. В начале своей работы Коно упоминает о возможности применения данного метода в криминалистике, утверждая, что с его помощью следователи могут "доказать, был ли данный лаптоп подключен к интернету через данную точку доступа".

Другой областью применения метода Коно может стать "получение информации о том, являются ли устройства, подключавшиеся к интернету в разное время или с разными IP-адресами, на самом деле одним и тем же физическим устройством".

Метод состоит в "выявлении мелких, микроскопических изменений в аппаратуре устройства: расфазировок синхронизирующих импульсов". По сути, технология Коно "использует тот факт, что в большинстве современных стеков TCP реализована функция временных меток TCP из RFC 1323, так что в целях повышения производительности каждый участник потока TCP в каждом исходящем пакете передает информацию о своем восприятии времени. Эту информацию, содержащуюся в заголовках TCP, можно использовать для оценки расфазировок синхроимпульсов и таким образом снять отпечатки пальцев физического устройства".

Коно продолжает: "Наши методы дают устойчивые результаты при измерении за тысячи миль, множество сетевых сегментов и десятки миллисекунд от анализируемого устройства, а также когда устройство подключается к интернету в другом месте и по другой технологии доступа. Более того, наши пассивные и полупассивные методы можно применять, когда устройство находится за транслятором сетевых адресов или брандмауэром".

В работе подчеркивается, что "для снятия отпечатков пальцев не требуется никаких изменений в исследуемом устройстве и никакого участия с его стороны". Коно и его группа испытали свой метод на многих операционных системах, включая Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows for Pocket PCs 2002.

"Во всех случаях мы обнаружили, что для оценки расфазировок синхроимпульсов в машине можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы", — пишет Коно.

Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".

"Главное преимущество нашей методики… заключается в том, что она позволяет наблюдать за противниками, удаленными на тысячи миль и множество сетевых сегментов".

Информацию о методе Коно предала гласности Kимберли C. Клаффи, главный исследователь Объединенной ассоциации по анализу интернет-данных (CAIDA), опубликовав ее в списке почтовой рассылки "в интересах полного и раннего раскрытия". Однако в своем письме Клаффи просит: "Пожалуйста, не пересылайте это плохим парням". Коно тоже является членом CAIDA.

Ожидается, что исследование Коно будет представлено на симпозиуме по безопасности и защите неприкосновенности частной жизни Института инженеров по электротехнике и электронике, который состоится в мае в Калифорнии.

Исследование Коно, скорее всего, — не последнее слово в области сетевой анонимности, а лишь последний виток в гонке вооружений между разработчиками средств, обеспечивающих анонимность, и создателями программ, ее снимающих. Возможными контрмерами могут служить, например, методы маскирующего перекоса временной диаграммы с улучшенной генерацией случайных чисел.

CKYHC
22.12.2005, 06:30
Простите, а что такое "расфазировка синхроимпульсов в машине" вообще?

В приложении к TCP/IP?

"можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы"
Гм. Что-то как-то фрикообразно уж больно...

Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".
При одном и том же наборе пользовательского софта, одинаковом железе и конфигурациях? Что-то не верится, если честно...
Или NAT не аналогично настроен.

rav
22.12.2005, 15:30
Простите, а что такое "расфазировка синхроимпульсов в машине" вообще?
В приложении к TCP/IP?
"можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы"
Гм. Что-то как-то фрикообразно уж больно...
Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".
При одном и том же наборе пользовательского софта, одинаковом железе и конфигурациях? Что-то не верится, если честно...
Или NAT не аналогично настроен.

Ты всё неправильно понял (да и перевод, собственно, крив). Если знаешь английский- читай первоисточник в последнем Фраке, а если на пальцах- у каждой конкретной ОСи есть некая дельта времени, которая прибавляется к системному при каждом тике таймера плюс сам начальный таймер на каждой отдельной машине имеет некий сдвиг по времени от настоящего. И поскольку время ставится в соответствующее поле пакета, то, имея распределение по дельтам и сдвигам таймера от настоящего времени, мы можем определить конкретную машину и операционку, которая на ней стоит, по её сетевому пакету. Всё просто!

Alexey P.
23.12.2005, 10:56
Ты всё неправильно понял (да и перевод, собственно, крив). Если знаешь английский- читай первоисточник в последнем Фраке, а если на пальцах- у каждой конкретной ОСи есть некая дельта времени, которая прибавляется к системному при каждом тике таймера плюс сам начальный таймер на каждой отдельной машине имеет некий сдвиг по времени от настоящего. И поскольку время ставится в соответствующее поле пакета, то, имея распределение по дельтам и сдвигам таймера от настоящего времени, мы можем определить конкретную машину и операционку, которая на ней стоит, по её сетевому пакету. Всё просто!
Это если прокси нету. Она свой пакет формирует, со своими параметрами. Исходная машина за ней видна не будет, имхо.

rav
23.12.2005, 11:47
Это если прокси нету. Она свой пакет формирует, со своими параметрами. Исходная машина за ней видна не будет, имхо.
Так речь не идёт о прокси, речь идёт о NAT (в основном).

orvman
23.12.2005, 13:56
Alexey P.

Это если прокси нету А при чем тут прокси? Там же сказано про заголовки пакетов на основе IP...
А вообще-то этот первый тред в этой ветке задайте вопрос на форуме www.protocols.ru - Николаю Малахову. Это Реальный ГУРУ (!!!!!!!!!) по всяким RFC, сетевым и т.д. Многое, что о нем поговаривают...
а у меня, честно говоря, мозгов не хватает переварить это всё, мал, еще, видать.

Alexey P.
23.12.2005, 15:24
Alexey P.
А при чем тут прокси? Там же сказано про заголовки пакетов на основе IP...

Те, за кем не вредно было и последить - работают обычно через цепочки прокси, и эта методика ничего не даст. Потому для полезных обществу целей она малопригодна. А вот для шпионажа за своими - вполне себе.
Дурно попахивает эта разработка, имхо.