Nem tudom a terroristák ennek miért örülnének :). Ez inkább a RIAA/MPAA stb jellegû szervezeteknek jó. Már ha van olyan ügyész, aki ezt elfogadja bizonyítékként házkutatási alaphoz. Ugyanis a jelenlegi elrejtõzõ módszereket ügyesen kiküszöböli, de elég sebezhetõ is.
Másrészt nem worldwide azonosságot állapít meg, leginkább arra tudják használni, hogy egy NAT/proxy mögött hányan rejtõznek, vagy hogy látszólag két ip-n ugyanaz a gép van-e.
DOT, nem, nem a csomagok azonosak-e (amit te mondasz, azt pl. IPSec-el lehet csinálja), hanem a küldõ gép ugyanaz-e (hálókártya+oprendszer valamiféle együttese, de a doksi szerint olyanok is bezavarnak durván, ha a laptopból kihúzod a tápot és az akkura vált :)).
Már csak azt nem értem, pontosan mire is használható ez ? Komplikált és nagy pontosságot igénylõ mérések által meg lehet határozni, hogy egy bizonyos gép által küldött csomagok azonosak-e egy bizonyos, már ismert gép által küldött csomagokkal. Jó. És ?
Ja meg még a terroristák is örülhetnek mert majd a kezükbe kerül jól...
"az azonosítási eljárás a fizikai eszközökben található apró, mikroszkopikus eltéréseket használja fel"
ekkora ködösítõ szöveget sem láttam már rég...
Izé, fix eltérés-változást keres :). Ez a skew. Magyarul azt nézi, hogy a két óra (a megfigyelõ és a megfigyelt) egymáshoz képest idõben fixen csúszik-e el.
Ha jól értelmezem, akkor nem kell hozzá gyors net, bármilyen jó. Ugyanis _fix eltérést_ keres, hogy mihez képest fix, az függ a háló sebességétõl (a deviancia-méréshez használják a Fourier-t, hogy tényleg független legyen a teljes mért idõtõl). Ez a tcp-s extension valami round-trip-time (32bites pontosságú timestamp mezõ-bõl), amit valahogy sikerült kierõszakolniuk a Win-es gépekbõl is, ami azért elismerésre méltó.
Ügyesen a TCP-t használják, így a két tényleges végpont közötti kommunikációt nézik. Ez egyben a rendszer elõnye és hátránya is. Így a routing-tól, ip packetingtõl tényleg független, valamiféle proxy/NAT mögött levõ gépeket is láthatnak, amik elvileg egy ip-címnek látszanak kívülrõl. DE, emiatt annak kell teljesülnie, hogy a) vagy tényleges kapcsolatba kell kerülni a megfigyelendõ géppel (máris kiesnek a proxy/nat mögötti gépek, mert nem tudod õket direkt megkérni, különféle trükkökkel kell õket rávenni, hogy rádlépjenek, ez általában emberi beavatkozás :)). Vagy b) közel kell lenned a tûzhöz (valamelyik véghez) hiszen a routing miatt a TCP stream ip csomagjai akár teljesen külön útvonalakon is haladhatnak. Figyelem! HaladHAT, ugyanis jelenleg jórészt fix routing van. Tehát _most_ jó esélyük van nem túl közelrõl nézelõdni valami forgalmas helyen, de amint a mobilitás jelentõsen el fog terjedni, ki fogja kényszeríteni a dinamikus, terhelés-alapú routingot.
Ami a rendszer egy érdekes sebezhetõsége, hogy többszöri, idõben távol álló pontokban kell elvégezni a mérést, úgy, hogy közben ez az eltérés (a clock skew) _ne_ változzon, vagy ne nagyon. Magyarul, ha a két mérés között lefuttatsz egy ntpdate update-et, akkor cs*szhetik az egész cuccot, máris egy másik gép vagy; arra építenek, hogy az emberek ezt nem teszik meg, és ebben lehet hogy igazuk van.
Röviden: a véleményem egy határozott nem tudom :). Rengeteg olyan változó van benne, ami miatt _most_ használható, de nem túl durva trükközéssel is ki lehet játszani. (Igaz, ehhez a jelenlegi technikákon kívül mást is kell használni, mivel azok fõleg az IP-szinten operálnak.)
Megtévesztõ a cím!!!! Szó nincsen "hardver-felismerés"-rõl...! Nem arról van szó, hogy felsorolja, milyen cuccos van a gépben... A net-re felkapcsolt masina csomagjainak elemzésével, az idõbélyegeképzés egyedi tulajdonságainak vizsgálatával fel lehet ismerni, hogy egy bizonyos hálókártya+oprendszer+aktív eszköz combo-val találkoztak-e már valaha... Ez teljesen más téma!
Arról nem is szólva, hogy anonymous proxy-k tömkelege várja az elrejtõzni kívánókat. Érdekes adalék, hogy az Intel jópár generációval ezelõtt bevezetett egy egyedi azonosítot a procijaihoz, amit bárki bármikor lekérdezhetett (ha jól emlékszem, P2-esektõl kezdve). De akkora volt a civil szervezetek felháborodása, hogy egy idõ után visszakoztak, és "alapból kikapcsolt állapotban" szállítják a cpu-kat. Azóta errõl nem hallottam. És most nekilátok a pdf-nek, mert ez a cikk elég ködös volt itten :).
A PDF-jükben a "clock screw" bõl következtetnek .. tehát hogy mennyit "késik" a gép órája .. ehhez übergyors net kell , õk egy OC48 -as vonallal tesztelték .. és így is elég kicsi az arány .. ráadásul nagyon egyszerû a védekezés.. nem icmp-zünk és nem hagyjuk , hogy a tcp csomagjaink rossz kezekbe kerüljenek, az udp-krõl nem is beszélve , azok könnyebben tûnnek el nyomtalanul.. de legegyszerûbb totál random timestampokkal telenyomatni a csomagokat :)
Itt arrol van szo hogy ahogy tavolrol lehet azonositani az operacios rendszer tipusat, tavolrol azonositjak a hardvert. Kicsit reszletesebben hogy mindenki megertse: pl a kulonbozo operacios rendszereknek van nehany tipikus jellemzoje a halozatkezelessel kapcsolatban olyasmi mint csomagmeret, type of service, tcp timestamp. egy konkret pelda: pl unix rendszerek tcp timestamp-nek alapertelmezesben olyan erteket allitanak be amibol megallapithato az uptime (ezt ki lehet kapcsolni termeszetesen) tehat a lenyeg hogy a forgalmazott csomagokkal informaciokat arulunk el magunkrol. A cikkben leirt technologia kb ugyanerrol szol, csak a fizikai parametereket figyeli (pl a halokartya jelenek feszultseget). Az viszont teves elgondolas hogy ez alapjan azonnal barkit azonositani lehet majd az interneten. Mivel itt fizikai parametereket vizsgalunk fizikai kapcsolatban kell lennunk a vizsgalt eszkozzel. Tuzfal-bol valoszinuleg a szoftveres tuzfalra gondoltak mivel az semmit nem befolyasol ezen a teren. Ha nincs kozvetlen fizikai kapcsolat (pl egy router van utkozben) akkor mar nem er semmit az egesz.
Hat mindig is lehetett hw-esen butykolt modositott mac-es kartyakat kapni. Az oprendszernek ehhez nem sok koze van, ez szin hw tema. Amugy ma mar a legolcsobb bolti routernek is allithatod a mac cimet. Ezzel azonositani sosem volt celszeru, csak az a lenyeges, hogy egy alhalon egyedi legyen, es kb ennyi.
Ezzel a BSA és bandája gépei si felismerhetõk lesznek, lehet azokat jól blokkolni, pl. p2p hálózatokból. :)
"között tartják számon a véletlenszám-generáláson alapuló technológiákat, amelyek nagy eséllyel elrejthetik a világhálóra felmerészkedõ számítógépeket. "
Hmmm.. A cikkíró szerint az Internet valami sötét külvárosi sikátor, ahol kirabolnak, és még trippert is kapsz ??? Felmerészkednek...ilyen kis Japók miatt talán egyszer tényleg azzá válik..
nem egeszen, az tokmindegy hogy a halokartya mac addresse allithato e ( szerintem nem) ugyanis az oprendszerben lehet atirni.
Ez már elég régi ötlet és már nagyon rég óta használják is, de egyáltalán nem 100%-os a felismerési rátája, plusz baromi könnyû kijátszani. Az oprendszert és pár programot fel lehet vele ismerni, meg hogy mióta van a gép bekapcsolva, de ezzel ki is fújt.
olvasd el az eredeti tanulmanyt. en elolvastam, de nem sokat ertek belole. valahogy a gep orajat figyelik. meghozza a tcp protokoll segedelmevel. ui a tcp csomag fejleceben van egy idoertek, es ezzel varialnak, de mind a metematikai , mind a halozati magyarazat meghaladja az en tudasom.
"Kono kutatásának érdekessége, hogy az azonosítási eljárás a fizikai eszközökben található apró, mikroszkopikus eltéréseket használja fel."
persze es minden eszkozben lesz egy mikroszkop? ugyanmar. amig maga a hardware ugyanaz az os fele, marpedig ugyanaz mert kulonben elkepesztoen draga lenne gyartani oket, addig ezek a dolgok lehetetlenek. a mac address pedig softwares, es mint olyan, barmikor valtoztathato (a legtobb eszkozon legalabbis). ez csak akkor lenne hasznalhato ha hardwaresen epitenek be minden halokartyaba. ez persze megoldhato csak ettol meg aki akarja nyugodtan kikerulheti egy regi halokartyaval, es valszeg lesznek kis kinai cegek akik majd gyartjak a "csupasz" kartyakat.
Linuxon 100%-ig tudom kontrolállni, hogy mi menjen ki az internetre és mi nem.
szar dolog. de úgyis kijátszható lesz, szal semmi értelme. mac address is egyedi minden hálózati eszközön, mégis van technológia, amivel ez elkerülhetõ, álcázható.
Érdekes, bár messze nem biztos hogy be lesz vezetve.