32
-
![[HUN]PAStheLoD](https://media.sg.hu/forum/avatars/10334754621140968716.jpg "[HUN]PAStheLoD")
#32
Az átlagfelhasználónak nincs túl sok félnivalója, őt nem fogják "követni" , aki meg ért hozzá könnyűszerrel "bevédi" magát.. -
pemga #31 Nem tudom a terroristák ennek miért örülnének :). Ez inkább a RIAA/MPAA stb jellegű szervezeteknek jó. Már ha van olyan ügyész, aki ezt elfogadja bizonyítékként házkutatási alaphoz. Ugyanis a jelenlegi elrejtőző módszereket ügyesen kiküszöböli, de elég sebezhető is.
Másrészt nem worldwide azonosságot állapít meg, leginkább arra tudják használni, hogy egy NAT/proxy mögött hányan rejtőznek, vagy hogy látszólag két ip-n ugyanaz a gép van-e.
DOT, nem, nem a csomagok azonosak-e (amit te mondasz, azt pl. IPSec-el lehet csinálja), hanem a küldő gép ugyanaz-e (hálókártya+oprendszer valamiféle együttese, de a doksi szerint olyanok is bezavarnak durván, ha a laptopból kihúzod a tápot és az akkura vált :)). -
DOT #30 Már csak azt nem értem, pontosan mire is használható ez ? Komplikált és nagy pontosságot igénylő mérések által meg lehet határozni, hogy egy bizonyos gép által küldött csomagok azonosak-e egy bizonyos, már ismert gép által küldött csomagokkal. Jó. És ? -
haxoror #29 Ja meg még a terroristák is örülhetnek mert majd a kezükbe kerül jól... -
#28
milyen igaz
erre nem is gondoltam
akkor ebben a "találmányban" mi most az új? -
#27
gondolom az FBI, CIA és a többi elnyómó szervezet most örül, lesz itt terror, total control rendesen
de azért lehet védekezni ellenük
fogom és kihúzom a zsinórt -
tomo #25 tok jol leirtad -
Andris #24 "az azonosítási eljárás a fizikai eszközökben található apró, mikroszkopikus eltéréseket használja fel"
ekkora ködösítő szöveget sem láttam már rég... -
pemga #23 Izé, fix eltérés-változást keres :). Ez a skew. Magyarul azt nézi, hogy a két óra (a megfigyelő és a megfigyelt) egymáshoz képest időben fixen csúszik-e el. -
pemga #22 Ha jól értelmezem, akkor nem kell hozzá gyors net, bármilyen jó. Ugyanis _fix eltérést_ keres, hogy mihez képest fix, az függ a háló sebességétől (a deviancia-méréshez használják a Fourier-t, hogy tényleg független legyen a teljes mért időtől). Ez a tcp-s extension valami round-trip-time (32bites pontosságú timestamp mező-ből), amit valahogy sikerült kierőszakolniuk a Win-es gépekből is, ami azért elismerésre méltó.
Ügyesen a TCP-t használják, így a két tényleges végpont közötti kommunikációt nézik. Ez egyben a rendszer előnye és hátránya is. Így a routing-tól, ip packetingtől tényleg független, valamiféle proxy/NAT mögött levő gépeket is láthatnak, amik elvileg egy ip-címnek látszanak kívülről. DE, emiatt annak kell teljesülnie, hogy a) vagy tényleges kapcsolatba kell kerülni a megfigyelendő géppel (máris kiesnek a proxy/nat mögötti gépek, mert nem tudod őket direkt megkérni, különféle trükkökkel kell őket rávenni, hogy rádlépjenek, ez általában emberi beavatkozás :)). Vagy b) közel kell lenned a tűzhöz (valamelyik véghez) hiszen a routing miatt a TCP stream ip csomagjai akár teljesen külön útvonalakon is haladhatnak. Figyelem! HaladHAT, ugyanis jelenleg jórészt fix routing van. Tehát _most_ jó esélyük van nem túl közelről nézelődni valami forgalmas helyen, de amint a mobilitás jelentősen el fog terjedni, ki fogja kényszeríteni a dinamikus, terhelés-alapú routingot.
Ami a rendszer egy érdekes sebezhetősége, hogy többszöri, időben távol álló pontokban kell elvégezni a mérést, úgy, hogy közben ez az eltérés (a clock skew) _ne_ változzon, vagy ne nagyon. Magyarul, ha a két mérés között lefuttatsz egy ntpdate update-et, akkor cs*szhetik az egész cuccot, máris egy másik gép vagy; arra építenek, hogy az emberek ezt nem teszik meg, és ebben lehet hogy igazuk van.
Röviden: a véleményem egy határozott nem tudom :). Rengeteg olyan változó van benne, ami miatt _most_ használható, de nem túl durva trükközéssel is ki lehet játszani. (Igaz, ehhez a jelenlegi technikákon kívül mást is kell használni, mivel azok főleg az IP-szinten operálnak.) -
Rover623 #21 Megtévesztő a cím!!!!
Szó nincsen "hardver-felismerés"-ről...!
Nem arról van szó, hogy felsorolja, milyen cuccos van a gépben...
A net-re felkapcsolt masina csomagjainak elemzésével, az időbélyegeképzés egyedi tulajdonságainak vizsgálatával fel lehet ismerni, hogy egy bizonyos hálókártya+oprendszer+aktív eszköz combo-val találkoztak-e már valaha...
Ez teljesen más téma!
-
pemga #20 Arról nem is szólva, hogy anonymous proxy-k tömkelege várja az elrejtőzni kívánókat. Érdekes adalék, hogy az Intel jópár generációval ezelőtt bevezetett egy egyedi azonosítot a procijaihoz, amit bárki bármikor lekérdezhetett (ha jól emlékszem, P2-esektől kezdve). De akkora volt a civil szervezetek felháborodása, hogy egy idő után visszakoztak, és "alapból kikapcsolt állapotban" szállítják a cpu-kat. Azóta erről nem hallottam. És most nekilátok a pdf-nek, mert ez a cikk elég ködös volt itten :). -
#19
Emberi nyelven?
===============================
.:i2k:. melóból:
-
#18
A PDF-jükben a "clock screw" ből következtetnek .. tehát hogy mennyit "késik" a gép órája .. ehhez übergyors net kell , ők egy OC48 -as vonallal tesztelték .. és így is elég kicsi az arány .. ráadásul nagyon egyszerű a védekezés.. nem icmp-zünk és nem hagyjuk , hogy a tcp csomagjaink rossz kezekbe kerüljenek, az udp-kről nem is beszélve , azok könnyebben tűnnek el nyomtalanul.. de legegyszerűbb totál random timestampokkal telenyomatni a csomagokat :) -
fako #17 Itt arrol van szo hogy ahogy tavolrol lehet azonositani az operacios rendszer tipusat, tavolrol azonositjak a hardvert. Kicsit reszletesebben hogy mindenki megertse: pl a kulonbozo operacios rendszereknek van nehany tipikus jellemzoje a halozatkezelessel kapcsolatban olyasmi mint csomagmeret, type of service, tcp timestamp. egy konkret pelda: pl unix rendszerek tcp timestamp-nek alapertelmezesben olyan erteket allitanak be amibol megallapithato az uptime (ezt ki lehet kapcsolni termeszetesen) tehat a lenyeg hogy a forgalmazott csomagokkal informaciokat arulunk el magunkrol.
A cikkben leirt technologia kb ugyanerrol szol, csak a fizikai parametereket figyeli (pl a halokartya jelenek feszultseget). Az viszont teves elgondolas hogy ez alapjan azonnal barkit azonositani lehet majd az interneten. Mivel itt fizikai parametereket vizsgalunk fizikai kapcsolatban kell lennunk a vizsgalt eszkozzel. Tuzfal-bol valoszinuleg a szoftveres tuzfalra gondoltak mivel az semmit nem befolyasol ezen a teren. Ha nincs kozvetlen fizikai kapcsolat (pl egy router van utkozben) akkor mar nem er semmit az egesz.
-
Zsoldos #16 Hat mindig is lehetett hw-esen butykolt modositott mac-es kartyakat kapni. Az oprendszernek ehhez nem sok koze van, ez szin hw tema. Amugy ma mar a legolcsobb bolti routernek is allithatod a mac cimet. Ezzel azonositani sosem volt celszeru, csak az a lenyeges, hogy egy alhalon egyedi legyen, es kb ennyi. -
Robin Hood #15 Ezzel a BSA és bandája gépei si felismerhetők lesznek, lehet azokat jól blokkolni, pl. p2p hálózatokból. :) -
HUmanEmber41st #14 "között tartják számon a véletlenszám-generáláson alapuló technológiákat, amelyek nagy eséllyel elrejthetik a világhálóra felmerészkedõ számítógépeket. "
Hmmm.. A cikkíró szerint az Internet valami sötét külvárosi sikátor, ahol kirabolnak, és még trippert is kapsz ???
Felmerészkednek...ilyen kis Japók miatt talán egyszer tényleg azzá válik.. -
tomo #13 nem egeszen, az tokmindegy hogy a halokartya mac addresse allithato e ( szerintem nem) ugyanis az oprendszerben lehet atirni. -
#12
a mac address pedig hw-s dolog, csak az utóbbi pár évben jelentek meg olyan kártyák aminek be is lehet állítani. -
tomo #11 te sem olvastad el a tanulmanyt, nem errol van szo -
Zedas #10 Ez már elég régi ötlet és már nagyon rég óta használják is, de egyáltalán nem 100%-os a felismerési rátája, plusz baromi könnyű kijátszani. Az oprendszert és pár programot fel lehet vele ismerni, meg hogy mióta van a gép bekapcsolva, de ezzel ki is fújt. -
tomo #9 olvasd el az eredeti tanulmanyt.
en elolvastam, de nem sokat ertek belole. valahogy a gep orajat figyelik. meghozza a tcp protokoll segedelmevel. ui a tcp csomag fejleceben van egy idoertek, es ezzel varialnak, de mind a metematikai , mind a halozati magyarazat meghaladja az en tudasom.
szal ez az sg cikk elegge pongyola. -
#8
azert ien kurvanagy kamunak nem kell bedolni.
"Kono kutatásának érdekessége, hogy az azonosítási eljárás a fizikai eszközökben található apró, mikroszkopikus eltéréseket használja fel."
persze es minden eszkozben lesz egy mikroszkop?
ugyanmar. amig maga a hardware ugyanaz az os fele, marpedig ugyanaz mert kulonben elkepesztoen draga lenne gyartani oket, addig ezek a dolgok lehetetlenek. a mac address pedig softwares, es mint olyan, barmikor valtoztathato (a legtobb eszkozon legalabbis). ez csak akkor lenne hasznalhato ha hardwaresen epitenek be minden halokartyaba. ez persze megoldhato csak ettol meg aki akarja nyugodtan kikerulheti egy regi halokartyaval, es valszeg lesznek kis kinai cegek akik majd gyartjak a "csupasz" kartyakat. -
#7
ne máááááááár!!!!!! -
davos80 #6 És ha ez terroristák kezébe kerül... -
blackeagle #5 Még nem néztem meg a hozzászólásokat ,de pont ezt "mondtam" :) -
benczurzs #4 Hogy ez Linuxon is működik, azt azért megnézem.
Linuxon 100%-ig tudom kontrolállni, hogy mi menjen ki az internetre és mi nem.
-
#3
szar dolog.
de úgyis kijátszható lesz, szal semmi értelme.
mac address is egyedi minden hálózati eszközön, mégis van technológia, amivel ez elkerülhető, álcázható. -
#2
Érdekes, bár messze nem biztos hogy be lesz vezetve. -
#1
hmmmm...