id: Гость   вход   регистрация
текущее время 07:54 25/04/2024
Владелец: unknown (создано 28/04/2014 11:28), редакция от 28/04/2014 11:47 (автор: SATtva) Печать
Категории: анонимность, приватность, анализ трафика, инфобезопасность, политика, защита сети, прослушивание коммуникаций, следственные мероприятия, хард, атаки, разное, побочные каналы, модель угрозы
http://www.pgpru.com/Новости/2014/ПассивнаяИдентификацияБеспроводныхУстройствБезУчётаMAC-адреса
создать
просмотр
редакции
ссылки

28.04 // Пассивная идентификация беспроводных устройств без учёта MAC-адреса


Известно, что пользователи беспроводных устройств могут менять идентифицирующий номер устройства (MAC-адрес), чтобы избежать выслеживания. Однако, ряд ранее проведённых исследований показывает, что производители произвольно выполняют стандарты беспроводной связи, что позволяет по анализу сетевого трафика вычислить как производителя, так и в ряде случаев модель сетевой карты. Для этого может использоваться как активное сканирование (при котором на исследуюмую карту незаметно для пользователя посылают специфические запросы), так и полностью пассивное (запись дампов трафика). Помимо модели самой сетевой карты существует также возможность определить и используемый драйвер. Некоторые методы позволяют различать также и карты одной модели, однако требуют анализа больших объёмов трафика.


Исследователи Christoph Neumann, Olivier Heen и Stephane Onno из лаборатории безопасности и защиты контента Technicolor, Ренн, Франция, представили обзор существующих и предложили новый метод пассивного профилирования устройств стандарта 802.11.


Они обратили внимание на пять основных параметров:


  • Скорость передачи. Характер выбора скорости передачи определённых фреймов трафика зависит от производителя карты.
  • Размер фрейма. Размер фрейма зависит от его типа, порога фрагментации, версии IP-протокола и характера приложения, создающего трафик. Наиболее удачными для идентификации оказались фреймы широковещательных запросов.
  • Среднее время доступа. Время перехода устройства в ждущий режим меняется по псевдослучайному алгоритму, определяемому производителем.
  • Время передачи. В этом параметре учитывается как время передачи одного фрейма, так и интервал между окончанием передачи и началом передачи следующего фрейма.
  • Время между получением фреймов. Интервал между приёмом двух последовательных фреймов.

Использование статистического анализа этих параметров в стандартном перехватываемом шифрованном беспроводном трафике позволило создавать базу отпечатков беспроводных карт с использованием интервала времени захвата трафика всего 5 минут. Точность детектирования индивидуальных параметров зависит от качества приёма, но в наихудших из приемлемых условий исследователям удалось идентифицировать 56.6% устройств с коэффициентом ложно-положительного распознавания 0.1.


В качестве защиты от распознавания пользователь может использовать:


  1. Драйвер, искажающий профиль работы сетевой карты.
  2. Внесение помех.
  3. Добавление отдельных ложных фреймов.

В качестве достоинства своего метода исследователи отмечают, что он использует захват трафика обычной беспроводной картой со снифером. Использование специализированного радиооборудования, например на основе программируемых радиомодулей SDR, могло бы позволить более точно идентифицировать беспроводные устройства на физическом уровне анализа сигнала.


Исследование авторов первоначально было представлено на 32-ой международной конференции по распределённым компьютерным системам (ICDCSW 2012) и на симпозиуме по сетевым следственным методикам, безопасности и приватности (NFSP'12).


Источник: arXiv.org > Computer Science > Cryptography and Security.


 
Комментарии [скрыть комментарии/форму]
— Гость (30/04/2014 12:48)   <#>
Вот только каков сценарий использования этой атаки? что, в радиусе wi-fi так уж трудно запеленговать, ногами дойти и глазами посмотреть?
— SATtva (30/04/2014 13:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В парке, кафе, аэропорту могут одновременно находиться десятки и сотни беспроводных устройств и не обязательно статично. В сочетании с чем-то подобным — вполне отличный способ массовой слежки.
— Гость (26/05/2014 01:29)   <#>
Это исследование, я так понимаю, по Wi-Fi. В конце новости, наверное, следовало бы дать ссылку на аналогичное исследование по GSM: «Отслеживание мобильных по отпечаткам радиосигнала без содействия оператора и знания IMEI/IMSI».
— unknown (26/05/2014 09:53, исправлен 26/05/2014 09:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В исследовании по GSM есть принципиальная разница: там исследовался индивидуальный радиосигнал на низком физическом уровне, спектроанализаторах и пр. Здесь же используется только программно-аппаратный уровень: особенности реализации протокола в железках и драйверах, которые являются штатными, а не основаны на случайных индивидуальных отклонениях в работе радиотракта устройства.


Если тот метод скрестить с этим, то точность повыситься ещё больше, но он требует спецоборудования и специфического анализа. А этот метод может быть выполнен на штатном компьютере с беспроводной картой в режиме снифера. Возможно даже запрограммировать точки свободного доступа, чтобы они собирали такую профилирующую статистику по всем соединениям, делали и отсылали некий отпечаток в базы слежения за перемещением устройств.

— Гость (26/05/2014 17:41)   <#>

Хм, а я думал, что тут тоже радиосигнал исследуется. Казалось бы, Wi-Fi протокол вполне стандартизирован (иначе как бы разные карточки разговаривали бы друг с другом), откуда тогда берётся свобода для особенностей реализации?
— unknown (26/05/2014 17:46, исправлен 26/05/2014 17:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В переводе работы перечислены и выделены жирным шрифтом «5 основных параметров», которые могут быть реализованы по-разному, а на совместимость со стандартом это не повлияет. Вот по ним всё и профилируется.


Если в методе с GSM для получения отпечатков пытались выделить некие аналоговые особенности в перехватываемом цифровом сигнале, то здесь исследовали только то, что беспроводная карта выдаёт в эфир на уровне цифры.

— Гость (26/05/2014 18:26)   <#>

И как это совместить с

«Некоторые методы позволяют различать также и карты одной модели, однако требуют анализа больших объёмов трафика»?

В одном и том же типе карт разные протоколы? С чего бы? У каждого образца свой протокол? Я потому сразу и подумал про аналоговый сигнал.
— unknown (26/05/2014 21:28, исправлен 26/05/2014 21:31)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Авторы упоминают об этом в ссылках на другие работы, которые я, признаюсь, не читал. Возможно, там как раз и используется комбинированный подход — аналогово-цифровой. А возможно, подразумевается, что даже в цифре не всё одинаково — некоторые параметры могут чуть меняться, стартовый параметр статично зашитого ГПСЧ для переключения каналов может быть одинаковым, но меняться от серии к серии, некоторые карты могут незаметно для пользователя подвисать/подтормаживать при работе в каких-то режимах. И почему сразу разные протоколы? Протоколы одинаковые. А то, что в разных устройствах группировка фреймов может быть смещена на миллисекунды, то для исполнения одинакового протокола это может быть некритично. Но достаточно для анализа.


Это уже на уровне домыслов, но раз в работе приведены ссылки на ряд аналогичных исследований в этой области, то есть обоснованные предположения о всё больших возможностях индивидуализации сигналов, которые кажутся одинаковыми. Потому что даже продвинутый пользователь, и даже специалист воспринимает современные тенологии, как чёрный ящик, как абстракцию, не зная досконально как там всё внутри устроено. Даже разработчики и производители самих цифровых устройств связи собирают их из готовых модулей и могут не знать всех тонкостей логики и радиофизики их работы.

— Гость (27/05/2014 11:57)   <#>

В общем, да, могут быть такие тонкости, которые по происхождению аналоговые, но могут быть отловлены даже в цифре.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3