Калифорнийский ученый разработал методику дистанционной идентификации аппаратуры комп

[RiC]

6 Марта 2005 года 05:06

Ученый из Калифорнийского университета нашел способ дистанционной идентификации аппаратуры компьютера. Это может сорвать маску анонимности с веб-серферов, даже если они применяют обычные меры безопасности.


Докторант Тадаёси Коно пишет в своей работе: "Сегодня существует ряд мощных технологий дистанционного снятия „отпечатков пальцев” системы, то есть определения на расстоянии типа операционной системы, установленной на том или ином подключенном к интернету устройстве. Мы дали этой идее дальнейшее развитие и ввели понятие дистанционного снятия отпечатков пальцев аппаратуры… без участия самого исследуемого устройства".

Методика Коно может иметь далеко идущие последствия. Например, она позволяет отследить "физическое устройство, когда оно подключается к интернету через другой узел доступа; подсчитать число устройств за транслятором сетевых адресов, даже если они используют постоянные или случайные IP-идентификаторы; дистанционно проверить блок адресов на соответствие виртуальным хостам".

Трансляция сетевых адресов (NAT) — это протокол, который широко применяется с целью создания впечатления, что у всех машин, расположенных за брандмауэром, один и тот же IP-адрес в интернете.

Carnivore-подобный проект?Понимая, какой интерес представляет его исследование для организаций, занимающихся наблюдением, Коно пишет: "Наши методы можно применять и для отслеживания лаптопов при их перемещении, возможно, в рамках проекта, подобного проекту Carnivore". Carnivore — это ПО наблюдения за интернетом, разработанное ФБР. В начале своей работы Коно упоминает о возможности применения данного метода в криминалистике, утверждая, что с его помощью следователи могут "доказать, был ли данный лаптоп подключен к интернету через данную точку доступа".

Другой областью применения метода Коно может стать "получение информации о том, являются ли устройства, подключавшиеся к интернету в разное время или с разными IP-адресами, на самом деле одним и тем же физическим устройством".

Метод состоит в "выявлении мелких, микроскопических изменений в аппаратуре устройства: расфазировок синхронизирующих импульсов". По сути, технология Коно "использует тот факт, что в большинстве современных стеков TCP реализована функция временных меток TCP из RFC 1323, так что в целях повышения производительности каждый участник потока TCP в каждом исходящем пакете передает информацию о своем восприятии времени. Эту информацию, содержащуюся в заголовках TCP, можно использовать для оценки расфазировок синхроимпульсов и таким образом снять отпечатки пальцев физического устройства".

Коно продолжает: "Наши методы дают устойчивые результаты при измерении за тысячи миль, множество сетевых сегментов и десятки миллисекунд от анализируемого устройства, а также когда устройство подключается к интернету в другом месте и по другой технологии доступа. Более того, наши пассивные и полупассивные методы можно применять, когда устройство находится за транслятором сетевых адресов или брандмауэром".

В работе подчеркивается, что "для снятия отпечатков пальцев не требуется никаких изменений в исследуемом устройстве и никакого участия с его стороны". Коно и его группа испытали свой метод на многих операционных системах, включая Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows for Pocket PCs 2002.

"Во всех случаях мы обнаружили, что для оценки расфазировок синхроимпульсов в машине можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы", — пишет Коно.

Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".

"Главное преимущество нашей методики… заключается в том, что она позволяет наблюдать за противниками, удаленными на тысячи миль и множество сетевых сегментов".

Информацию о методе Коно предала гласности Kимберли C. Клаффи, главный исследователь Объединенной ассоциации по анализу интернет-данных (CAIDA), опубликовав ее в списке почтовой рассылки "в интересах полного и раннего раскрытия". Однако в своем письме Клаффи просит: "Пожалуйста, не пересылайте это плохим парням". Коно тоже является членом CAIDA.

Ожидается, что исследование Коно будет представлено на симпозиуме по безопасности и защите неприкосновенности частной жизни Института инженеров по электротехнике и электронике, который состоится в мае в Калифорнии.

Исследование Коно, скорее всего, — не последнее слово в области сетевой анонимности, а лишь последний виток в гонке вооружений между разработчиками средств, обеспечивающих анонимность, и создателями программ, ее снимающих. Возможными контрмерами могут служить, например, методы маскирующего перекоса временной диаграммы с улучшенной генерацией случайных чисел.

[CKYHC]

Простите, а что такое "расфазировка синхроимпульсов в машине" вообще?

В приложении к TCP/IP?

"можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы"
Гм. Что-то как-то фрикообразно уж больно...

Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".
При одном и том же наборе пользовательского софта, одинаковом железе и конфигурациях? Что-то не верится, если честно...
Или NAT не аналогично настроен.

[rav]

Простите, а что такое "расфазировка синхроимпульсов в машине" вообще?
В приложении к TCP/IP?
"можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы"
Гм. Что-то как-то фрикообразно уж больно...
Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".
При одном и том же наборе пользовательского софта, одинаковом железе и конфигурациях? Что-то не верится, если честно...
Или NAT не аналогично настроен.

Ты всё неправильно понял (да и перевод, собственно, крив). Если знаешь английский- читай первоисточник в последнем Фраке, а если на пальцах- у каждой конкретной ОСи есть некая дельта времени, которая прибавляется к системному при каждом тике таймера плюс сам начальный таймер на каждой отдельной машине имеет некий сдвиг по времени от настоящего. И поскольку время ставится в соответствующее поле пакета, то, имея распределение по дельтам и сдвигам таймера от настоящего времени, мы можем определить конкретную машину и операционку, которая на ней стоит, по её сетевому пакету. Всё просто!

[Alexey P.]

Ты всё неправильно понял (да и перевод, собственно, крив). Если знаешь английский- читай первоисточник в последнем Фраке, а если на пальцах- у каждой конкретной ОСи есть некая дельта времени, которая прибавляется к системному при каждом тике таймера плюс сам начальный таймер на каждой отдельной машине имеет некий сдвиг по времени от настоящего. И поскольку время ставится в соответствующее поле пакета, то, имея распределение по дельтам и сдвигам таймера от настоящего времени, мы можем определить конкретную машину и операционку, которая на ней стоит, по её сетевому пакету. Всё просто!

Это если прокси нету. Она свой пакет формирует, со своими параметрами. Исходная машина за ней видна не будет, имхо.

[rav]

Это если прокси нету. Она свой пакет формирует, со своими параметрами. Исходная машина за ней видна не будет, имхо.

Так речь не идёт о прокси, речь идёт о NAT (в основном).

[orvman]

Alexey P.

Это если прокси нету

А при чем тут прокси? Там же сказано про заголовки пакетов на основе IP...
А вообще-то этот первый тред в этой ветке задайте вопрос на форуме www.protocols.ru - Николаю Малахову. Это Реальный ГУРУ (!!!!!!!!!) по всяким RFC, сетевым и т.д. Многое, что о нем поговаривают...
а у меня, честно говоря, мозгов не хватает переварить это всё, мал, еще, видать.

[Alexey P.]

Alexey P.
А при чем тут прокси? Там же сказано про заголовки пакетов на основе IP...

Те, за кем не вредно было и последить - работают обычно через цепочки прокси, и эта методика ничего не даст. Потому для полезных обществу целей она малопригодна. А вот для шпионажа за своими - вполне себе.
Дурно попахивает эта разработка, имхо.