Системные часы - как отпечаток пальца для ПК

Ни использование прокси-серверов, ни блокировка cookies не помогут сделать серфинг анонимным, если ваш компьютер можно вычислить по "отпечаткам пальцев", то есть по отклонению системных часов.

Исследователи из университета Калифорнии опубликовали чрезвычайно интересную научную работу с описанием эффективной техники опознания компьютера через интернет. С ее помощью можно безошибочно распознать определенное устройство, под каким бы IP-адресом и в какое бы время оно ни выходило на связь.

Как известно, уже давно разработаны эффективные способы для удаленного опознания (fingerprinting) операционной системы. Американские исследователи развили эту идею и представили техники для удаленного опознания физических устройств, что можно осуществлять даже "при отсутствии сотрудничества" со стороны этих устройств, то есть незаметно.

Научную работу с описанием техник идентификации подготовил Тадаеши Коно (Tadayoshi Kohno), аспирант университета Калифорнии. Технология работает с помощью выявления микроскопических отклонений в показаниях системных часов. Такие отклонения можно вычислять с помощью информации, содержащейся в заголовках пакетов TCP и ICMP. Что характерно, отклонения в показаниях системных часов остаются практически неизменными на протяжении длительного времени, поэтому они могут служить своеобразным идентификатором конкретного устройства. Во время экспериментов исследователи могли уверенно распознавать каждый из 69 компьютеров, которые участвовали в тестировании. На протяжении 38 дней, во время которых продолжался эксперимент, "отпечаток системных часов" (вектор отклонения) для каждой машины оставался практически неизменным (см. рис.).

 

Исследователи проверяли свою методику на компьютерах с различными операционными системами, в том числе Windows XP и 2000, Mac OS X Panther, Red Hat и Debian Linux, FreeBSD, OpenBSD и даже Windows Pocket PC 2002. Во всех случаях, как сообщается в отчете, они смогли применить хотя бы один из способов выявления отклонений в показаниях системных часов.

Судя по всему, описанные методы не являются неким научным открытием и, вполне возможно, уже успешно применяются спецслужбами. Даже сам автор отмечает в своем исследовании, что эти техники уже могут использоваться на практике, например, в системах, которые работают по принципу известной системы ФБР по перехвату трафика Carnivore. Новая технология позволяет с точностью установить, если определенный компьютер подключается к Сети в определенной точке доступа.

Удаленное опознание компьютеров по системным часам - это очередной раунд в бесконечной борьбе между технологиями слежки и технологиями приватности. Разработчики последних, без сомнения, могут достойно ответить и предложить собственные разработки для защиты от удаленного опознания.

Работа Тадаеши Коно будет представлена научному сообществу на ежегодном симпозиуме по безопасности и приватности IEEE, который пройдет в Калифорнии в мае 2005 г. Но уже сейчас документ можно найти в открытом доступе: файл PDF, 10 Мб, www.caida.org/outreach/papers/2005/fingerprinting/ KohnoBroidoClaffy05-devicefingerprinting.pdf.

Анатолий АЛИЗАР

Версия для печатиВерсия для печати

Номер: 

10 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Михаил Ачкасов
Пожалуй насчет прокси на уровне приложений, это Вы погорячились.

При таком режиме проксирования ни один пакет с клиенитской машины за пределы прокси-сервера не уходит. Во внешней сети видны только пакеты порождаемые прокси-сервером.

А вот в случае прокси на уровне NAT (трансляции адресов) применение данной технологии возможно.

Аватар пользователя Shurovik
Даже если часы и отстают/убегают, в ХР есть функция синхронизации с Интернет-временем. После этого результаты могу тбыть и неверными.
Аватар пользователя clip_t
А если написать утилитку, которая будет изменять время в небольшом интервале (+- 3-5сек )случайным образом ? Что получится - отпечатки с изменяющимся рисунком ?
Аватар пользователя tata
"Даже если часы и отстают/убегают, в ХР есть функция синхронизации с Интернет-временем. После этого результаты могу тбыть и неверными"

Полагаю, это не так. Здесь измеряется не величина отклонения, а ее производная, которая является для данного компьютера, в пределах некоторого времени, константой. И утилитка по изменению времени не поможет, т.к. скорость расхождения отсанется все равно для данного компьютера константой (все графики на рисунке - прямые).

Аватар пользователя Эдуард
Страшилка. Кроме того, тата, если изменять время не по случайному закону а по той же линейной функции периодически меняя коэффициент, то никаких проблем. Но мне кажется тому, кого это действительно заботит, лучше показаться к психиатру.