Оснащение компьютера можно диагностировать из любой точки интернета [ Редагувати ]
Оснащение компьютера можно диагностировать из любой точки интернета
Ученый из Калифорнийского университета нашел способ дистанционной идентификации аппаратуры компьютера. Это может сорвать маску анонимности с веб-серферов, даже если они применяют обычные меры безопасности.
Докторант Тадаёси Коно пишет в своей работе: "Сегодня существует ряд мощных технологий дистанционного снятия "отпечатков пальцев" системы, то есть определения на расстоянии типа операционной системы, установленной на том или ином подключенном к интернету устройстве. Мы дали этой идее дальнейшее развитие и ввели понятие дистанционного снятия отпечатков пальцев аппаратуры... без участия самого исследуемого устройства".
Методика Коно может иметь далеко идущие последствия. Например, она позволяет отследить "физическое устройство, когда оно подключается к интернету через другой узел доступа, подсчитать число устройств за транслятором сетевых адресов, даже если они используют постоянные или случайные IP-идентификаторы, дистанционно проверить блок адресов на соответствие виртуальным хостам".
Трансляция сетевых адресов (NAT) - это протокол, который широко применяется с целью создания впечатления, что у всех машин, расположенных за брандмауэром, один и тот же IP-адрес в интернете.
Carnivore-подобный проект?
Понимая, какой интерес представляет его исследование для организаций, занимающихся наблюдением, Коно пишет: "Наши методы можно применять и для отслеживания лаптопов при их перемещении, возможно, в рамках проекта, подобного проекту Carnivore". Carnivore - это ПО наблюдения за интернетом, разработанное ФБР. В начале своей работы Коно упоминает о возможности применения данного метода в криминалистике, утверждая, что с его помощью следователи могут "доказать, был ли данный лаптоп подключен к интернету через данную точку доступа".
Другой областью применения метода Коно может стать "получение информации о том, являются ли устройства, подключавшиеся к интернету в разное время или с разными IP-адресами, на самом деле одним и тем же физическим устройством".
Метод состоит в "выявлении мелких, микроскопических изменений в аппаратуре устройства: расфазировок синхронизирующих импульсов". По сути, технология Коно "использует тот факт, что в большинстве современных стеков TCP реализована функция временных меток TCP из RFC 1323, так что в целях повышения производительности каждый участник потока TCP в каждом исходящем пакете передает информацию о своем восприятии времени. Эту информацию, содержащуюся в заголовках TCP, можно использовать для оценки расфазировок синхроимпульсов и таким образом снять отпечатки пальцев физического устройства".
Коно продолжает: "Наши методы дают устойчивые результаты при измерении за тысячи миль, множество сетевых сегментов и десятки миллисекунд от анализируемого устройства, а также когда устройство подключается к интернету в другом месте и по другой технологии доступа. Более того, наши пассивные и полупассивные методы можно применять, когда устройство находится за транслятором сетевых адресов или брандмауэром".
В работе подчеркивается, что "для снятия отпечатков пальцев не требуется никаких изменений в исследуемом устройстве и никакого участия с его стороны". Коно и его группа испытали свой метод на многих операционных системах, включая Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows for Pocket PCs 2002.
"Во всех случаях мы обнаружили, что для оценки расфазировок синхроимпульсов в машине можно использовать по крайней мере один из наших методов и что для этого достаточно небольшого количество данных, хотя точный их объем зависит от операционной системы", - пишет Коно.
Расширенное тестирование методики тоже оказалось плодотворным для исследователей. "Мы измерили расфазировки синхроимпульсов 69 (казавшихся идентичными) машин Windows XP SP1 в одной из наших лабораторий вычислительной техники. Последний эксперимент, который длился 38 дней, как и другие эксперименты, показал, что расфазировки синхроимпульсов, измеренные для любой машины, почти не зависят от времени, зато разные машины дают вполне различимые значения этого параметра".
"Главное преимущество нашей методики... заключается в том, что она позволяет наблюдать за противниками, удаленными на тысячи миль и множество сетевых сегментов".
Информацию о методе Коно предала гласности Kимберли C. Клаффи, главный исследователь Объединенной ассоциации по анализу интернет-данных (CAIDA), опубликовав ее в списке почтовой рассылки "в интересах полного и раннего раскрытия". Однако в своем письме Клаффи просит: "Пожалуйста, не пересылайте это плохим парням". Коно тоже является членом CAIDA.
Ожидается, что исследование Коно будет представлено на симпозиуме по безопасности и защите неприкосновенности частной жизни Института инженеров по электротехнике и электронике, который состоится в мае в Калифорнии.
Исследование Коно, скорее всего, - не последнее слово в области сетевой анонимности, а лишь последний виток в гонке вооружений между разработчиками средств, обеспечивающих анонимность, и создателями программ, ее снимающих. Возможными контрмерами могут служить, например, методы маскирующего перекоса временной диаграммы с улучшенной генерацией случайных чисел.
