Технология определения ПК по "отпечаткам пальцев"
Тема судя по всему не новая, но здесь на форуме вроде не была мною замечена, посему кратенько процитирую и приведу ссылки, может кого заинтересует.
//Каждый ПК можно разыскать в любой точке интернета
Ученый из Калифорнийского университета нашел способ дистанционной идентификации аппаратуры компьютера. Это может сорвать маску анонимности с веб-серферов, даже если они применяют обычные меры безопасности.
Докторант Тадаёси Коно пишет в своей работе: «Сегодня существует ряд мощных технологий дистанционного снятия „отпечатков пальцев” системы, то есть определения на расстоянии типа операционной системы, установленной на том или ином подключенном к интернету устройстве. Мы дали этой идее дальнейшее развитие и ввели понятие дистанционного снятия отпечатков пальцев аппаратуры… без участия самого исследуемого устройства».
Методика Коно может иметь далеко идущие последствия. Например, она позволяет отследить «физическое устройство, когда оно подключается к интернету через другой узел доступа; подсчитать число устройств за транслятором сетевых адресов, даже если они используют постоянные или случайные IP-идентификаторы; дистанционно проверить блок адресов на соответствие виртуальным хостам». //
...продолжение здесь
http://netz.ru/comments.php?id=2289_0_1_20_C
http://news.com.com/Tracking+P.....-1029_3-5600055.html[link1]
http://news.com.com/Tracking+PCs+anywhere+on+the+Net/2100-1029_3-5600055.html:
//"In all cases," the paper says, "we found that we could use at least one of our techniques to estimate clock skews on the machines and that we required only a small amount of data, although the exact data requirements depended on the operating system in question."
A wider test of the techniques also proved fruitful for the researchers. "We also measured the clock skews of 69 (seemingly identical) Windows XP SP1 machines in one of our institution's undergraduate computing facilities. The latter experiment, which ran for 38 days, as well as other experiments, show that the clock skew estimates for any given machine are approximately constant over time, but that different machines have detectably different clock skews," the paper said.//
Эта методика основывается на характеристиках оборудования. Попросту говоря насколько таймер "убегает" или отстаёт за фиксированный промежуток времени. Надо сказать, что русский "перевод" только напускает тумана. Пока не прочитал первоисточник – ничего не понял.
Противодействовать этому можно достаточно просто. Написать программку, которая будет переводить таймер на случайные малые промежутки времени вперёд и назад (возможно с определённым трендом). Вообще говоря, с этим справится и школьник.
Если это не окажется удовлетворительным – то придётся модифицировать timestamp непосредственно в пакетах. Это потребует большей изощрённости, но отнюдь не является невозможным. Естественно, периодически "железный" таймер надо будет синхронизировать с виртуальным.
The technique works by "exploiting small, microscopic deviations in device hardware: clock skews." In practice, Kohno's paper says, his techniques "exploit the fact that most modern TCP stacks implement the TCP timestamps option from RFC 1323 whereby, for performance purposes, each party in a TCP flow includes information about its perception of time in each outgoing packet. A fingerprinter can use the information contained within the TCP headers to estimate a device's clock skew and thereby fingerprint a physical device."
Тема не нова и уже поднималась[link2] в форуме.
Всё это в большой степени утка. Однако, поскольку в данном топике рассматривается более общий подход, применительно не только к сети TOR, то я позволю себе продолжить.
Итак! Есть кардинальное решение. Указанная опция (timestamp) может быть запрещена! А вообще она актуальна исключительно для высокоскоростных /гигабитных/ соединений. По умолчанию она не используется, однако активируется по запросу одного из участников соединения, если не запрещена у второго.
В операционных системах начиная с Windows 2000 за управление этой опцией ответственен параметр реестра Tcp1323Opts:
Это значение по умолчанию отсутствует в реестре а обе опции (timestamp и scaling) считаются разрешёнными.
Для Windows 98 этот же параметр располагается в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP
Однако на его наличие реагирует только драйвер протокола TCP начиная с версии файла 4.10.2223:
(В стандартной поставке идёт более ранняя версия)
В Windows NT расширения RFC 1323 судя по всему вообще не поддерживаются.
... А еще говорят, что в Unix все сложнее :-)
sysctl -w net.ipv4.tcp_timestamps=0
Простая команда из трех слов и даже перезагружаться не надо.
Ну и не забудьте эту команду в загрузочный скрипт записать кому-надо.
В Win32 ненамного труднее (а может даже и проще) – достаточно создать текстовый файл со следующим содержимым (для W2K и последующих OC M$ ;)):
и расширением .reg. А затем просто дважды кликнуть по нему. Насчёт (не_) обходимости перезагрузки врать не буду – не проверял.
И кстати прописывать это больше никуда не надо – никаких загрузочных скриптов. "It's permanent!"
:)