Системные часы - как отпечаток пальца для ПК

 
+
-
edit
 

SAA-977

новичок
Источник: Компьютерные Вести On-line. Системные часы - как отпечаток пальца для ПК

Системные часы - как отпечаток пальца для ПК

Ни использование прокси-серверов, ни блокировка cookies не помогут сделать серфинг анонимным, если ваш компьютер можно вычислить по "отпечаткам пальцев", то есть по отклонению системных часов.

Исследователи из университета Калифорнии опубликовали чрезвычайно интересную научную работу с описанием эффективной техники опознания компьютера через интернет. С ее помощью можно безошибочно распознать определенное устройство, под каким бы IP-адресом и в какое бы время оно ни выходило на связь.

Как известно, уже давно разработаны эффективные способы для удаленного опознания (fingerprinting) операционной системы. Американские исследователи развили эту идею и представили техники для удаленного опознания физических устройств, что можно осуществлять даже "при отсутствии сотрудничества" со стороны этих устройств, то есть незаметно.

Научную работу с описанием техник идентификации подготовил Тадаеши Коно (Tadayoshi Kohno), аспирант университета Калифорнии. Технология работает с помощью выявления микроскопических отклонений в показаниях системных часов. Такие отклонения можно вычислять с помощью информации, содержащейся в заголовках пакетов TCP и ICMP. Что характерно, отклонения в показаниях системных часов остаются практически неизменными на протяжении длительного времени, поэтому они могут служить своеобразным идентификатором конкретного устройства. Во время экспериментов исследователи могли уверенно распознавать каждый из 69 компьютеров, которые участвовали в тестировании. На протяжении 38 дней, во время которых продолжался эксперимент, "отпечаток системных часов" (вектор отклонения) для каждой машины оставался практически неизменным.

Исследователи проверяли свою методику на компьютерах с различными операционными системами, в том числе Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows Pocket PC 2002. Во всех случаях, как сообщается в отчете, они смогли применить хотя бы один из способов выявления отклонений в показаниях системных часов.

Судя по всему, описанные методы не являются неким научным открытием и, вполне возможно, уже успешно применяются спецслужбами. Даже сам автор отмечает в своем исследовании, что эти техники уже могут использоваться на практике, например, в системах, которые работают по принципу известной системы ФБР по перехвату трафика Carnivore. Новая технология позволяет с точностью установить, если определенный компьютер подключается к Сети в определенной точке доступа.

Удаленное опознание компьютеров по системным часам - это очередной раунд в бесконечной борьбе между технологиями слежки и технологиями приватности. Разработчики последних, без сомнения, могут достойно ответить и предложить собственные разработки для защиты от удаленного опознания.

Работа Тадаеши Коно будет представлена научному сообществу на ежегодном симпозиуме по безопасности и приватности IEEE, который пройдет в Калифорнии в мае 2005 г. Но уже сейчас документ можно найти в открытом доступе: KohnoBroidoClaffy05-devicefingerprinting.pdfфайл PDF[/url], 10 Мб.

Анатолий АЛИЗАР
 

TEvg

аксакал

админ. бан
Так можно выделить комп из немногих, например в локалке. в тырнете - дело безнадежное.
 
+
-
edit
 

Balancer

администратор
★★★★★
Значит, скоро появится софт, который будет системные часы регулярно переводить туда-сюда на несколько долей секунды :D

Ну а если с бОльшей точностью - то у меня все мои машины ежедневно по атомным часам синхронизируются :D

Только на счёт сохранности "отпечатков" в течении 38 суток - это они что-то гонят. Средний современный комп "плывёт" на несколько секунд в сутки. На кварцах экономят уже очень давно...
 

TEvg

аксакал

админ. бан
>Ну а если с бОльшей точностью - то у меня все мои машины ежедневно по атомным часам синхронизируются

А где ядренные часы достал?
 

BrAB

аксакал
★★
>>Ну а если с бОльшей точностью - то у меня все мои машины ежедневно по атомным часам синхронизируются
TEvg> А где ядренные часы достал? [»]

М-ля..... Евгений, ваш лимит на инет целиком идёт на авиабазу?

Есть такая технология. С точки зрения клиента довольно простая. Уж на что я очень начинающий админ и то на всех моих серверах раз в сутки запускается ntpdate и выставляет точное время по серверам. Обычная погрешность -2.4 секунды в сутки. можно програмку повесить демоном, но мне этого не нужно :)

Шаманы, владеющие большим бубном пересборки всего и вся (ну например Балансер :) ) могут пересобрать ядро и добиться какой-то уж совсем зверской тоности синхронизации (обычная даёт погрешность в милисекунды)
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  
BG Реконструктор #18.03.2005 12:41
+
-
edit
 
Да здравствует великая американская демократия свобода!
 

TEvg

аксакал

админ. бан
>М-ля..... Евгений, ваш лимит на инет целиком идёт на авиабазу?

порядка 95% моего трафика - авиабаза. остальное маил.ру и прочее по мелочи.

>Есть такая технология. С точки зрения клиента довольно простая. Уж на что я очень начинающий админ и то на всех моих серверах раз в сутки запускается ntpdate и выставляет точное время по серверам.

Ты имеешь ввиду NTP? Я даже сам пытался писать реализацию, правда бросил. Да синхронуться несложно, но где взять ПЕРВИЧНЫЕ атомные часы? Да есть эталонные маяки вещающие на ДВ, есть ГЛОНАСС И ГПС, но это ж все заморочки и немалые. Еще есть сервера NTP (Network Time Protocol) и я к ним присасывался, например к серваку ЮС Нави. только ведь точность времени по инету плюс-минусь лапоть, далеко не атомная, на уровне часов с кукушкой.
 
RU Dem_anywhere #18.03.2005 12:43
+
-
edit
 

Dem_anywhere

аксакал
★☆
>Только на счёт сохранности "отпечатков" в течении 38 суток - это они что-то гонят. Средний современный комп "плывёт" на несколько секунд в сутки. На кварцах экономят уже очень давно...
Так похоже они этот "уплыв" и считают - он вещь сугубо индивидуальная...
 

TEvg

аксакал

админ. бан
В рамках большой сети (сотни тысяч - миллионы компов) этот уплыв распознавать нереально. Да и противоядие элементарнейшее.
 
BG Реконструктор #18.03.2005 12:48  @TEvg#18.03.2005 12:45
+
-
edit
 
TEvg> В рамках большой сети (сотни тысяч - миллионы компов) этот уплыв распознавать нереально. Да и противоядие элементарнейшее. [»]

Вопрос в тенденции. По моему, уже в ближайшем времени будет введен протокол, который действительно будет содержать уникальную инфу о каждом хосте.
 
EE Татарин #18.03.2005 13:10
+
-
edit
 

Татарин

координатор
★★★★☆
Этот протокол уже вводили - IP-адрес, по замыслу, должен содержать именно уникальную инфу о каждом хосте. :)
...А неубитые медведи делили чьи-то шкуры с шумом. Боюсь, мы поздно осознали, к чему всё это приведёт.  
Ethernet или MAC-адрес содержат абсолютно уникальную информацию о хосте.
Но хитрые китайцы умудрялись клепать большие партии дешёвых сетевых карточек с одинаковым МАК-адресом :):):)
Нет рабства безнадёжнее, чем рабство тех рабов, себя кто полагает свободным от оков. - И.В. Гёте.  
Кстати о системных часах.
В 32-битных Юникс-системах могут быть траблы покруче 2000 года :) В частносте 32-битный Solaris не грузится на SUN-ах.
32 бита дают примерно 68 лет в секундах.
отсчёт в Юнихе ведётся с 1.01.1970 года в секундах, следовательно после 2038 года могут быть траблы. :)
Правда 64-битные системы дают уже 292 миллиарда лет в секундах :)
Нет рабства безнадёжнее, чем рабство тех рабов, себя кто полагает свободным от оков. - И.В. Гёте.  
BG Реконструктор #18.03.2005 13:41  @Tolka#18.03.2005 13:18
+
-
edit
 
Tolka> Ethernet или MAC-адрес содержат абсолютно уникальную информацию о хосте.
Tolka> Но хитрые китайцы умудрялись клепать большие партии дешёвых сетевых карточек с одинаковым МАК-адресом :):):) [»]

А неужели МАК является частью ТЦП/ИП ?
 
EE Татарин #18.03.2005 13:42  @Tolka#18.03.2005 13:18
+
-
edit
 

Татарин

координатор
★★★★☆
Tolka> Ethernet или MAC-адрес содержат абсолютно уникальную информацию о хосте.
Tolka> Но хитрые китайцы умудрялись клепать большие партии дешёвых сетевых карточек с одинаковым МАК-адресом :):):) [»]
Именно. :)

А больше всего меня радовала возможность у некоторых сетевушек ввести МАС-адрес ручками... :)

На любой газ есть свой противогаз.
...А неубитые медведи делили чьи-то шкуры с шумом. Боюсь, мы поздно осознали, к чему всё это приведёт.  

BrAB

аксакал
★★
Tolka>> Ethernet или MAC-адрес содержат абсолютно уникальную информацию о хосте.
Tolka>> Но хитрые китайцы умудрялись клепать большие партии дешёвых сетевых карточек с одинаковым МАК-адресом :):):) [»]
Татарин> Именно. :)
Татарин> А больше всего меня радовала возможность у некоторых сетевушек ввести МАС-адрес ручками... :)
Татарин> На любой газ есть свой противогаз. [»]

А при чём тут слово НЕКОТОРЫХ? У меня провайдер смотрит MAC. поставил новый сервер, а он инфу о MAC не обновляет. ну так я просто нарыл программку которая в линуксе на какую угодно карту любой ip ставит.

Вот уже год так работаю :)
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  
EE Татарин #18.03.2005 13:56  @Tolka#18.03.2005 13:18
+
-
edit
 

Татарин

координатор
★★★★☆
Tolka>>> Ethernet или MAC-адрес содержат абсолютно уникальную информацию о хосте.
BrAB> Tolka>> Но хитрые китайцы умудрялись клепать большие партии дешёвых сетевых карточек с одинаковым МАК-адресом :):):) [»]
Татарин>> Именно. :)
Татарин>> А больше всего меня радовала возможность у некоторых сетевушек ввести МАС-адрес ручками... :)
Татарин>> На любой газ есть свой противогаз. [»]
BrAB> А при чём тут слово НЕКОТОРЫХ?
При том, что это не на всех сетевушках работает. :)
...А неубитые медведи делили чьи-то шкуры с шумом. Боюсь, мы поздно осознали, к чему всё это приведёт.  

Zeus

Динамик

Tolka> Правда 64-битные системы дают уже 292 миллиарда лет в секундах :) [»]

А потом-то что делать? :unsure:
И животноводство!  
RU Андрей Суворов #19.03.2005 11:02
+
-
edit
 

Андрей Суворов

координатор

Tolka>>>> Ethernet или MAC-адрес содержат абсолютно уникальную информацию о хосте.

BrAB>> А при чём тут слово НЕКОТОРЫХ?
Татарин> При том, что это не на всех сетевушках работает. :)

Сейчас не осталось сетевушек, у которых нельзя сменить мак-адрес.

Фирма "Текон" не так давно попала на небольшую сумму. Она попала бы на гораздо большую, если бы не ваш покорный слуга.

Конторой была куплена партия встраиваемых компьютеров. Вафер-4821, так, кажется, оно называется. Там всё он-борд, включая Эзернет. Он там реализован на RTL8019, что есть PnP версия NE2000 на одном чипе. Точнее, на двух. Второй-то и стал причиной проблем. Китайцы припаяли его непрошитым. Из-за этого эзернет не работал вообще! У него тип устройства ПнП был неправильным и не опознавался биосом!

После пинания китайцев они выслали утилиту, которая позволяет прошить что угодно в микросхему 93С46, которая составляет необходимое дополнение к RTL8019. Такая утилита существует для каждого современного чипа, ибо удобнее программировать еепром уже в плате, а не в программаторе. Так что МАК адрес можно сменить в любой сетевушке.
 
+
-
edit
 

Balancer

администратор
★★★★★
Tolka> Но хитрые китайцы умудрялись клепать большие партии дешёвых сетевых карточек с одинаковым МАК-адресом :):):) [»]

У меня ADSL-модем позволяет прошить в него любой MAC-адрес одной командой :)
 
+
-
edit
 

Balancer

администратор
★★★★★
Tolka>> Правда 64-битные системы дают уже 292 миллиарда лет в секундах :) [»]
Zeus> А потом-то что делать? :unsure: [»]

А потом будем переходить на 128 бит :)
 
RU Dem_anywhere #19.03.2005 13:08
+
-
edit
 

Dem_anywhere

аксакал
★☆
>После пинания китайцев они выслали утилиту, которая позволяет прошить что угодно в микросхему 93С46, которая составляет необходимое дополнение к RTL8019. Такая утилита существует для каждого современного чипа, ибо удобнее программировать еепром уже в плате, а не в программаторе. Так что МАК адрес можно сменить в любой сетевушке.
Тут скорей имелось в виду - на уровне драйвера, без прошивки в ЕЕPROM.
Смена МАС при этом не запоминается - но какая разница?

Конечно МАС в инет не идёт - но IPv6 уже фактически эквивалентен...
 
KZ Tolka #19.03.2005 13:20  @Реконструктор#18.03.2005 13:41
+
-
edit
 
Реконструктор> А неужели МАК является частью ТЦП/ИП ? [»]

Именно по мак-адресу осуществляется адресация на канальном уровне модели OSI/ISO. :) В стеке протоколов TCP/IP разрешением IP адресов в MAC адреса занимается протокол ARP.

Адресация в IP-сетях - вот здесь коротэнько и доступно ;)

Нет рабства безнадёжнее, чем рабство тех рабов, себя кто полагает свободным от оков. - И.В. Гёте.  
RU Dem_anywhere #19.03.2005 18:47
+
-
edit
 

Dem_anywhere

аксакал
★☆
>Именно по мак-адресу осуществляется адресация на канальном уровне модели OSI/ISO.
Но после первого же роутера, не говоря уж про NAT/Proxy, от МАС не остаётся ничего...
А их в инете - как грязи :)
 
+
-
edit
 

valture

опытный

амплитуда кварцевого резонатора зависит также от температуры и атм.давления ....
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru