На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2005-3-5 на главную / новости от 2005-3-5
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 5 марта 2005 г.

Каждый ПК можно разыскать в любой точке интернета

Ученый из Калифорнийского университета нашел способ дистанционной идентификации аппаратуры компьютера. Это может сорвать маску анонимности с веб-серферов, даже если они применяют обычные меры безопасности.

Докторант Тадаёси Коно пишет в своей работе: «Сегодня существует ряд мощных технологий дистанционного снятия „отпечатков пальцев” системы, то есть определения на расстоянии типа операционной системы, установленной на том или ином подключенном к интернету устройстве. Мы дали этой идее дальнейшее развитие и ввели понятие дистанционного снятия отпечатков пальцев аппаратуры… без участия самого исследуемого устройства».

Методика Коно может иметь далеко идущие последствия. Например, она позволяет отследить «физическое устройство, когда оно подключается к интернету через другой узел доступа; подсчитать число устройств за транслятором сетевых адресов, даже если они используют постоянные или случайные IP-идентификаторы; дистанционно проверить блок адресов на соответствие виртуальным хостам».

Трансляция сетевых адресов (NAT) — это протокол, который широко применяется с целью создания впечатления, что у всех машин, расположенных за брандмауэром, один и тот же IP-адрес в интернете.

Carnivore-подобный проект?
Понимая, какой интерес представляет его исследование для организаций, занимающихся наблюдением, Коно пишет: «Наши методы можно применять и для отслеживания лаптопов при их перемещении, возможно, в рамках проекта, подобного проекту Carnivore». Carnivore — это ПО наблюдения за интернетом, разработанное ФБР. В начале своей работы Коно упоминает о возможности применения данного метода в криминалистике, утверждая, что с его помощью следователи могут «доказать, был ли данный лаптоп подключен к интернету через данную точку доступа».

Другой областью применения метода Коно может стать «получение информации о том, являются ли устройства, подключавшиеся к интернету в разное время или с разными IP-адресами, на самом деле одним и тем же физическим устройством».

Метод состоит в «выявлении мелких, микроскопических изменений в аппаратуре устройства: расфазировок синхронизирующих импульсов». По сути, технология Коно «использует тот факт, что в большинстве современных стеков TCP реализована функция временных меток TCP из RFC 1323, так что в целях повышения производительности каждый участник потока TCP в каждом исходящем пакете передает информацию о своем восприятии времени. Эту информацию, содержащуюся в заголовках TCP, можно использовать для оценки расфазировок синхроимпульсов и таким образом снять отпечатки пальцев физического устройства».

Коно продолжает: «Наши методы дают устойчивые результаты при измерении за тысячи миль, множество сетевых сегментов и десятки миллисекунд от анализируемого устройства, а также когда устройство подключается к интернету в другом месте и по другой технологии доступа. Более того, наши пассивные и полупассивные методы можно применять, когда устройство находится за транслятором сетевых адресов или брандмауэром».

В работе подчеркивается, что «для снятия отпечатков пальцев не требуется никаких изменений в исследуемом устройстве и никакого участия с его стороны». Коно и его группа испытали свой метод на многих операционных системах, включая Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows for Pocket PCs 2002.

«Во всех случаях мы обнаружили, что для оценки расфазировок синхроимпульсов в машине можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количества данных, хотя точный их объем зависит от операционной системы», — пишет Коно.

Расширенное тестирование методики тоже оказалось плодотворным для исследователей. «Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра».

«Главное преимущество нашей методики… заключается в том, что она позволяет наблюдать за противниками, удаленными на тысячи миль и множество сетевых сегментов».

Информацию о методе Коно предала гласности Kимберли C. Клаффи, главный исследователь Объединенной ассоциации по анализу интернет-данных (CAIDA), опубликовав ее в списке почтовой рассылки «в интересах полного и раннего раскрытия». Однако в своем письме Клаффи просит: «Пожалуйста, не пересылайте это плохим парням». Коно тоже является членом CAIDA.

Ожидается, что исследование Коно будет представлено на симпозиуме по безопасности и защите неприкосновенности частной жизни Института инженеров по электротехнике и электронике, который состоится в мае в Калифорнии.

Исследование Коно, скорее всего, — не последнее слово в области сетевой анонимности, а лишь последний виток в гонке вооружений между разработчиками средств, обеспечивающих анонимность, и создателями программ, ее снимающих. Возможными контрмерами могут служить, например, методы маскирующего перекоса временной диаграммы с улучшенной генерацией случайных чисел. 

 Предыдущие публикации:
2001-12-15   ФБР подтвердило существование инструмента интернет-сыска
2004-07-01   Кто стучится в дверь ко мне?
 В продолжение темы:
2005-03-29   Телекоммуникационные гиганты объединяются против хакеров
Обсуждение и комментарии
Simon
5 Mar 2005 2:51 PM
CAIDA - прям филиал Al-CAIDA
 

троль
5 Mar 2005 3:38 PM
фигня, маркетинговая чушь для получения бабок
 

Student
5 Mar 2005 3:48 PM
троль: Однозначно. Как они гарантируют, что расфазировка не изменилась под внешним электромагнитным воздействием? Или в результате удара? Никак. Соответственно, это полная чушь, работающая на ограниченном числе машин в лабораторных условиях.
 

Serge
5 Mar 2005 7:32 PM
Что то я не пойму... Какая там расфазировка, если пакеты - это цифровые данные. Соответственно, если в протоколе TCP/IP, содержатся какие то временные метки, по которым можно идентифицировать устройство, то что мешает proxy переписать ту чаcть пакетов, в которых содержатся эти самые расфазировки? И сделать все что за proxy анонимным?
 

(80)
5 Mar 2005 8:48 PM
2Serge
Прокси и переписывает.
В принципе, часы каждого компьютера идут в своем темпе времени. И всякие контуры тоже не абсолютно идентичны. И это, наверное можно уловить. Но в основе этих процессов лежит кварцевый генератор, параметры которого, как и параметры всех устройств, изменяются со временем а так же, с температурой и прочими внешними воздействиями (не говоря уж об апгрейде компьютеров). Но вот чего совсем не понятно - если бы прокси сервер был аналоговым устройством, то он транслировал бы поток со всеми особенностями (временными задержками, расфазировками и хрен знает чем еше) созданными компьютерами клиентами. Но прокси же цифровое устройство. Даже если отбросить все изменения в заголовке, он на выход передает поток пропущенный через свои цифровые устройства, со своими, а не чужими задержками, расфазировками и прочее. В общем, действительно похоже на "чушь для получения бабок".
 

Александр
5 Mar 2005 9:19 PM
1. Чтобы понять, чего стоит это заявление, необходимо знать, изменяет ли прокси время жизни пакета,т.е. меняет ли он временную метку на свою.
2. Как только эту технологию начнуть готовить к коммерческой эксплуатации, тут же появяться программы прокси с дополнительной фичей замены меток на свои.
3. Тут же в такие прокси, типа Proxomitron(http://www.proxomitron.ru/), и личные файрволы добавят фичу "округление времени в пакете до ххх мили/микросекунд. Так как каждый пакет имеет свой порядковый номер, то они не перепутаются, а время там указывается в пакете только для того, чтобы маршрутизатор знал, следует ли этот пакет отправлять дальши или он настолько устарел, что его можно потерять и не тратить траффик.

В общем, эта технология будет жить только для обывателей, хакеры и продвинутые пользователи обойдут ее.

Может быть, поиск украденных лаптопов с секретной информацией упроститься с помощью "Эшелона", если их вдруг сдуру подключат к интернету.
 

Не Лох
5 Mar 2005 9:54 PM
Да просто драйвер сетевой карточки переписать :))
Можно даже рекламу на этом делать "Наша сетевая карточка обеспечивает полную анонимность!" :))
 

Pavel - pwlsibmail.ru
5 Mar 2005 10:57 PM
Сели на буржуйскую технику и думаете , что все могете !!!
 

Евгений - c0ff75mail.ru
6 Mar 2005 12:19 AM
Бред сивой кобылы. Такое надо публиковать 1 апреля.
 

ms
6 Mar 2005 10:59 AM
Прокси сервер работает на уровне сокетов, а не пакетов, поэтому он вообще пакеты не меняет, а сам их генерирует. Поэтому если отслеживание идет по временным меткам в пакетах, то отследят только прокси. А вот нат - другое дело. Он тока заголовки меняет.
 

Keys
6 Mar 2005 8:15 PM
2 ms

Можно понятнее ?.. статья лажа или нет?
 

Badadios
6 Mar 2005 8:29 PM
Они там совсем с ума посходили . Никакого слова кроме "...удаки" не подворачивается. Но страшно что такие гандоны всплывают!
 

Mark
6 Mar 2005 11:35 PM
По сути, технология Коно «использует тот факт, что в большинстве современных стеков TCP реализована функция временных меток TCP из RFC 1323...
если уж на то пошло, то лавочку можно и прикрыть:
Linux
To disable do: echo 0 >/proc/sys/net/ipv4/tcp_timestamps
To enable do: echo 1 >/proc/sys/net/ipv4/tcp_timestamps
:)
да и вообще, возможность определения "восприятия времени" основывается на знании алгоритма обновления timestamp clock'a, например в Linux это роисходит 100 раз в секунду; никто не мешает ввести в этот алгоритм незначительный шум который однако заглушит эти "мелкие, микроскопические изменения в аппаратуре устройства"; кстати, о проблеме получения дополнительной информации о системе поддерживающей TCP Timestamping я читал еще в 2001, в марте кажется :)
 

V - free_V_Vyahoo.com
7 Mar 2005 2:47 AM
Думаю в этом что то есть. Даже если менять данные в пакетах, скорость ответа при обмене у всех разная, зависящая от оборудования ( типа модема, карты, состояния линиии, загруженности канала, время максимальной загрузки, антивируса, быстродействия процессора ... т.е. уникальное сочетание параметров, погодные условия влияющие на связь, что то типа идентификатора). Если достаточное время собирать статистику, то можно делать соответствующие выводы. Даже если менять аппаратуру и ПО, через некоторое время все равно можно будет определить соответствие задержек для новой аппаратуры. Но для этого нужно контролировать трафик (или взломать машину контролирующую трафик ;)
 

VX10
7 Mar 2005 6:02 AM
2 Badadios:

да уж... аргументировано... сразу чувствуется ПТУшник, которому папа год назад купил компьютер.
 

Student
9 Mar 2005 4:04 PM
V:

Да ни фига в этом нет... Изщ всех перечисленных Вами параметров вылезет такая неопределённость, что никакого уникального шаблона в жизни не получить. Потому как при такой схеме на сочетание параметров будет влиять даже то, что Вы сейчас слушаете с помощью своего любимого медиаплейера: легальный диск "Руки вверх!" или пиратский mp3 Metallica... Ж;-)
Это не говоря уже о том, что получить такое сочетание извне, не затрагивая саму машину "клиента", нереально.
 

Геннадий - coroziayandex.ru
9 Mar 2005 8:54 PM
То,что обнародовал Мистер Конго, для спец.слуцжб?! Уже давно не тайна. Например? Бел.спец.службы, используя "методику" М-ра К. И то что? Белтелеком, "единственный" Физический провайдер, давно знают, практически о всех кампах в Белоруссии. Так? Что? Дело? Теперь? За малым? "Права"? Надо? Будет? Готовить?! Наверное? а?...
 

V - free_V_Vyahoo.com
10 Mar 2005 2:23 AM
2 Student :
>сейчас слушаете с помощью своего любимого медиаплейера< Вероятно mp3 плеер имеет более низкий приоритет ( и соответственно не влияет на задержки), по сравнению с функциями ядра для протокольного стека, хотя кто знает, ведь периодичность вашего прослушивания на рабочем месте (кроме больничных и выходных) один из доводов в пользу того, что это Вы ;) А если предположить что вы не трогали установки скажем Windows Media проигрывателя, то проигрыватель, будет проверять обновления на сайте M$, предупреждая тем самым о внесенных изменениях, причем каждый раз, когда завершается воспроизведение, не замечали ? ;)
 

Student
10 Mar 2005 5:02 PM
V:

Естественно, я утрировал. Ж;-) Но основная мысль остаётся прежней - подобный комплексный подход вносит огромное количество неопределённостей, не позволяющих создать уникальный слепок.
А график прослушивания мною музыки вообще не поддаётся никакому внятному анализу. Так что за эту возможность вычислить меня я волноваться не стану никогда. Ж;-)
 

DragonD - d_narkmail.ru
11 Mar 2005 1:28 AM
Бред сивой кобылы... ИМХО.
Мысль номер раз - если бы методика была рабочей - ее бы никто не дал опубликовать. Следовательно - это утка.
Мысль номер 2 - о каких "задержках, присущих конкретной машине" можно говорить, если больше всего задержек вносит провайдер ? То у него загруз, то все бегает шустро. Ну хорошо, не переписывает NAT эту метку - так ведь наверняка часы системы "плавают" от того, что у меня форточка открылась или я отодвинулся от машины. Там же точность +- много (100% не уверен, но, кажется так, во всяком случае, соотносительно с "измеряемыми потенциалами"). Так что, бояться нам точно нечего :-)))
 

V - free_V_Vyahoo.com
12 Mar 2005 11:14 AM
2 DragonD :
>Мысль номер раз - если бы методика была рабочей - ее бы никто не дал опубликовать. Следовательно - это утка.< Говорят, одному инженеру, который разрабатывал пушки, тоже говорили что его идеи не имеют практического применения. Правда потом спецслужбы его убрали. "Дыма без огня..." ;)

>так ведь наверняка часы системы "плавают"< Вы внимательно читали статью ? Там написано "расфазировка" а не время т.е. разница во времени, т.о. как бы ваши часы не отставали, разница не меняется ;)

>часы системы "плавают" от того, что у меня форточка открылась или я отодвинулся от машины.< У батенька, вам бы почитать, чего нибудь, про системные часы ;)

2 Student :
> огромное количество неопределённостей, не позволяющих создать уникальный слепок< И вы вероятно можете это доказать ? ;)
 

 

← февраль 2005 1  2  3  4  5  7  8  9  10 апрель 2005 →
Реклама!
 

 

Место для Вашей рекламы!