openPGP в России

28.04 // Пассивная идентификация беспроводных устройств без учёта MAC-адреса

Известно, что пользователи беспроводных устройств могут менять идентифицирующий номер устройства (MAC-адрес), чтобы избежать выслеживания. Однако, ряд ранее проведённых исследований показывает, что производители произвольно выполняют стандарты беспроводной связи, что позволяет по анализу сетевого трафика вычислить как производителя, так и в ряде случаев модель сетевой карты. Для этого может использоваться как активное сканирование (при котором на исследуюмую карту незаметно для пользователя посылают специфические запросы), так и полностью пассивное (запись дампов трафика). Помимо модели самой сетевой карты существует также возможность определить и используемый драйвер. Некоторые методы позволяют различать также и карты одной модели, однако требуют анализа больших объёмов трафика.

Исследователи Christoph Neumann, Olivier Heen и Stephane Onno из лаборатории безопасности и защиты контента Technicolor, Ренн, Франция, представили обзор существующих и предложили новый метод пассивного профилирования устройств стандарта 802.11.

Они обратили внимание на пять основных параметров:

• Скорость передачи. Характер выбора скорости передачи определённых фреймов трафика зависит от производителя карты.
• Размер фрейма. Размер фрейма зависит от его типа, порога фрагментации, версии IP-протокола и характера приложения, создающего трафик. Наиболее удачными для идентификации оказались фреймы широковещательных запросов.
• Среднее время доступа. Время перехода устройства в ждущий режим меняется по псевдослучайному алгоритму, определяемому производителем.
• Время передачи. В этом параметре учитывается как время передачи одного фрейма, так и интервал между окончанием передачи и началом передачи следующего фрейма.
• Время между получением фреймов. Интервал между приёмом двух последовательных фреймов.

Использование статистического анализа этих параметров в стандартном перехватываемом шифрованном беспроводном трафике позволило создавать базу отпечатков беспроводных карт с использованием интервала времени захвата трафика всего 5 минут. Точность детектирования индивидуальных параметров зависит от качества приёма, но в наихудших из приемлемых условий исследователям удалось идентифицировать 56.6% устройств с коэффициентом ложно-положительного распознавания 0.1.

В качестве защиты от распознавания пользователь может использовать:

1. Драйвер, искажающий профиль работы сетевой карты.
2. Внесение помех.
3. Добавление отдельных ложных фреймов.

В качестве достоинства своего метода исследователи отмечают, что он использует захват трафика обычной беспроводной картой со снифером. Использование специализированного радиооборудования, например на основе программируемых радиомодулей SDR, могло бы позволить более точно идентифицировать беспроводные устройства на физическом уровне анализа сигнала.

Исследование авторов первоначально было представлено на 32-ой международной конференции по распределённым компьютерным системам (ICDCSW 2012) и на симпозиуме по сетевым следственным методикам, безопасности и приватности (NFSP'12).

Источник: arXiv.org > Computer Science > Cryptography and Security^[link1].