Gyurkity Péter

Lehetővé vált az interneten keresztüli hardverfelismerés

A Kalifornia Egyetem egy kutatója nyilvánosságra hozta, hogy olyan speciális eljárást dolgozott ki, amelynek révén lehetővé válik a magukat álcázó internetezők azonosítása, és a hardver nyomonkövetése.

Tadajosi Kono a kutatásról írt dokumentumban arról írt, hogy az ötletet az operációs rendszereket azonosító technológiák adták. "Napjainkban számos olyan eljárás létezik, amelyek lehetővé teszik egyes operációs rendszerek azonosítását és nyomon követését. Ezen az ötleten alapulva igyekeztünk megvalósítani a hardvereszközök letapogatását, amely a célponttól nem igényel semmilyen kooperációt" - áll a dokumentumban.

A kutatás eredményei messze mutatnak: lehetővé válna például, hogy egy nyomon kövessünk egy fizikai eszközt akkor is, ha több különböző helyről csatlakozik a világhálóra, és dinamikus IP-címek esetén, illetve a tűzfalakon keresztül is könnyedén meg lehetne számolni a felcsatlakozott eszközöket. Mindezek mellett jóval hatékonyabbá válna az egyes számítógépek forgalmának blokkolása.

Természetesen a szakemberek többsége nem végpontként kezeli a kutatást, hiszen tisztában vannak azzal, hogy az internetezők névtelenségét biztosítani kívánó programozóknak még lesz egy-két szavuk az ügyben, és ez a küzdelem korántsem ért véget. A lehetséges válaszlépések között tartják számon a véletlenszám-generáláson alapuló technológiákat, amelyek nagy eséllyel elrejthetik a világhálóra felmerészkedő számítógépeket.

Kono kutatásának érdekessége, hogy az azonosítási eljárás a fizikai eszközökben található apró, mikroszkopikus eltéréseket használja fel. A kutató elmondása szerint ezzel a módszerrel bármilyen eszközt azonosíthatnak, akármilyen távol helyezkedik is el, és a célpont a tűzfalak segítségével sem bújhat ki az azonosítás alól. Kono csapata számos operációs rendszeren kipróbálta az eljárást: Windows XP-n és 2000-en, Mac OS X Pantheren, Red Hat és Debian Linuxon, FreeBSD-n, OpenBSD-n, illetve Windows for Pocket PCs 2002-n. Az eljárást a májusban megrendezendő Institute of Electrical and Electronics Engineers Symposium on Security and Privacy rendezvényen mutatják be.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • [HUN]PAStheLoD #32
    Az átlagfelhasználónak nincs túl sok félnivalója, őt nem fogják "követni" , aki meg ért hozzá könnyűszerrel "bevédi" magát..
  • pemga #31
    Nem tudom a terroristák ennek miért örülnének :). Ez inkább a RIAA/MPAA stb jellegű szervezeteknek jó. Már ha van olyan ügyész, aki ezt elfogadja bizonyítékként házkutatási alaphoz. Ugyanis a jelenlegi elrejtőző módszereket ügyesen kiküszöböli, de elég sebezhető is.

    Másrészt nem worldwide azonosságot állapít meg, leginkább arra tudják használni, hogy egy NAT/proxy mögött hányan rejtőznek, vagy hogy látszólag két ip-n ugyanaz a gép van-e.

    DOT, nem, nem a csomagok azonosak-e (amit te mondasz, azt pl. IPSec-el lehet csinálja), hanem a küldő gép ugyanaz-e (hálókártya+oprendszer valamiféle együttese, de a doksi szerint olyanok is bezavarnak durván, ha a laptopból kihúzod a tápot és az akkura vált :)).
  • DOT #30
    Már csak azt nem értem, pontosan mire is használható ez ? Komplikált és nagy pontosságot igénylő mérések által meg lehet határozni, hogy egy bizonyos gép által küldött csomagok azonosak-e egy bizonyos, már ismert gép által küldött csomagokkal. Jó. És ?
  • haxoror #29
    Ja meg még a terroristák is örülhetnek mert majd a kezükbe kerül jól...
  • Mike #28
    milyen igaz
    erre nem is gondoltam

    akkor ebben a "találmányban" mi most az új?
  • Mike #27
    gondolom az FBI, CIA és a többi elnyómó szervezet most örül, lesz itt terror, total control rendesen

    de azért lehet védekezni ellenük
    fogom és kihúzom a zsinórt
  • tomo #25
    tok jol leirtad
  • Andris #24
    "az azonosítási eljárás a fizikai eszközökben található apró, mikroszkopikus eltéréseket használja fel"

    ekkora ködösítő szöveget sem láttam már rég...
  • pemga #23
    Izé, fix eltérés-változást keres :). Ez a skew. Magyarul azt nézi, hogy a két óra (a megfigyelő és a megfigyelt) egymáshoz képest időben fixen csúszik-e el.
  • pemga #22
    Ha jól értelmezem, akkor nem kell hozzá gyors net, bármilyen jó. Ugyanis _fix eltérést_ keres, hogy mihez képest fix, az függ a háló sebességétől (a deviancia-méréshez használják a Fourier-t, hogy tényleg független legyen a teljes mért időtől). Ez a tcp-s extension valami round-trip-time (32bites pontosságú timestamp mező-ből), amit valahogy sikerült kierőszakolniuk a Win-es gépekből is, ami azért elismerésre méltó.

    Ügyesen a TCP-t használják, így a két tényleges végpont közötti kommunikációt nézik. Ez egyben a rendszer előnye és hátránya is. Így a routing-tól, ip packetingtől tényleg független, valamiféle proxy/NAT mögött levő gépeket is láthatnak, amik elvileg egy ip-címnek látszanak kívülről. DE, emiatt annak kell teljesülnie, hogy a) vagy tényleges kapcsolatba kell kerülni a megfigyelendő géppel (máris kiesnek a proxy/nat mögötti gépek, mert nem tudod őket direkt megkérni, különféle trükkökkel kell őket rávenni, hogy rádlépjenek, ez általában emberi beavatkozás :)). Vagy b) közel kell lenned a tűzhöz (valamelyik véghez) hiszen a routing miatt a TCP stream ip csomagjai akár teljesen külön útvonalakon is haladhatnak. Figyelem! HaladHAT, ugyanis jelenleg jórészt fix routing van. Tehát _most_ jó esélyük van nem túl közelről nézelődni valami forgalmas helyen, de amint a mobilitás jelentősen el fog terjedni, ki fogja kényszeríteni a dinamikus, terhelés-alapú routingot.

    Ami a rendszer egy érdekes sebezhetősége, hogy többszöri, időben távol álló pontokban kell elvégezni a mérést, úgy, hogy közben ez az eltérés (a clock skew) _ne_ változzon, vagy ne nagyon. Magyarul, ha a két mérés között lefuttatsz egy ntpdate update-et, akkor cs*szhetik az egész cuccot, máris egy másik gép vagy; arra építenek, hogy az emberek ezt nem teszik meg, és ebben lehet hogy igazuk van.

    Röviden: a véleményem egy határozott nem tudom :). Rengeteg olyan változó van benne, ami miatt _most_ használható, de nem túl durva trükközéssel is ki lehet játszani. (Igaz, ehhez a jelenlegi technikákon kívül mást is kell használni, mivel azok főleg az IP-szinten operálnak.)