211service.com
Hur vem som helst kan mäta din dators Wi-Fi-fingeravtryck
Trådlös internetuppkoppling har blivit en av de möjliggörande teknikerna i den moderna världen. Faktum är att många tror att Wi-Fi är syret i datorgenerationen.
Även om trådlös åtkomst är enormt användbar, är det också ett säkerhetshot. Vem som helst kan komma åt ett trådlöst nätverk genom att maskera sig som en dator som redan har åtkomst. Denna teknik är känd som MAC-spoofing: åtgärden att ta MAC-adressen till en annan dator för att dra nytta av dess auktorisering.
Ett sätt att förhindra detta är att ha något annat sätt att identifiera datorn som försöker få åtkomst. Frågan är hur.
Idag säger Christoph Neumann och kompisar vid Technicolor Security and Content Protection Labs i Rennes, Frankrike, att de har utvecklat ett sätt att unikt identifiera en dator genom hur den får åtkomst till Wi-Fi-resurser.
De påpekar att egenskaper som överföringshastigheter och framkomsttid mellan ramar beror på vilket Wi-Fi-kort en dator använder samt drivrutinerna och de inblandade applikationerna. Det stora antalet permutationer av dessa säkerställer att de flesta datorer har ett Wi-Fi-fingeravtryck som unikt identifierar dem. Och det kan hjälpa till att skilja en auktoriserad användare från en skadlig användare.
Neumann och co börjar sitt arbete med att analysera all trådlös trafik som sänds på en viss Wi-Fi-kanal i ett antal olika miljöer. Till exempel använder de en sjutimmarsinspelning av Wi-Fi-signaler som samlades in vid Sigcomm-konferensen 2008 och en annan sextimmarsinspelning som samlades in på deras kontor i Frankrike.
De började med att dela upp varje inspelning i tränings- och valideringsdatauppsättningar. De analyserade sedan träningsdatauppsättningen och letade efter egenskaperna hos de inblandade enheterna.
Till exempel tillåter 802.11-protokollet ett Wi-Fi-kort att välja en av ett antal fördefinierade överföringshastigheter; ett Wi-Fi-kort sänder datapaket, eller ramar, av en storlek som beror på IP-versionen och de inblandade applikationerna; och tiden mellan ankomsten av på varandra följande ramar beror på olika faktorer såsom deras storlek.
Neumann och co undvek dock medvetet att analysera data som lätt kan förfalskas av en illvillig angripare, såsom ramrubriker. De gör allt detta med hjälp av ett standard trådlöst kort snarare än skräddarsydd lyssningsutrustning som inte skulle vara lönsam för vanliga användare.
De säger att vissa parametrar är mycket bättre än andra på att unikt identifiera enheter. Vi finner att nätverksparametrarna överföringstid och frameinter-ankomsttid fungerar bäst i jämförelse med de andra nätverksparametrarna som övervägs, säger de.
Slutligen använder de dessa parametrar för att se om de unikt kan identifiera maskiner i valideringsdatauppsättningarna.
Och resultaten är ganska bra. De säger att under vanliga förhållanden som i deras kontorsnätverk, identifierar de unikt maskiner med en noggrannhet på upp till 95 procent.
De mest utmanande förhållandena uppstår dock under en konferens när många användare kan försöka ansluta till ett nätverk samtidigt. Under de svåraste testförhållandena, den trådlösa trafiken på en konferens, ger inter-ankomsttiden de bästa identifieringsförhållandena, säger de.
Det beror på att tiden mellan ankomst inte bara beror på det trådlösa kortet som används utan också på de installerade drivrutinerna och programvaran som genererar data som skickas. Kombinationen av dessa är vanligtvis tillräckligt för att generera en unik signatur.
Under dessa utmanande förhållanden kan Neumann och co exakt identifiera upp till 56 procent av enheterna med en falsk positiv frekvens på endast 10 procent. Det är inte perfekt men det är inte heller dåligt som en sekundär säkerhetsmekanism.
Och det finns sätt de kan förbättra tekniken i framtiden. Detta arbete fokuserar endast på signaturen av individuella parametrar, såsom frame inter-ankomsttid. Men ett bättre tillvägagångssätt kan vara att ta fram ett fingeravtryck som beror på flera olika parametrar. Neumann och co planerar att titta på detta i framtiden.
Trådlöst fingeravtryck kan användas i en mängd olika situationer. Den använder ett vanligt trådlöst kort för att göra sitt jobb, vilket gör det relativt billigt. Det är också en passiv teknik som är svår för illvilliga användare att upptäcka.
Det är viktigt. Det är lätt att glömma hur osäkra lösenordsskyddade nätverk kan bli. Tänk på ditt eget hemnätverk och antalet vänner, kollegor och familj som du har gett nätverksnyckeln. En viktig fråga är hur säker denna information är när den väl har lämnat ditt hem.
Trådlöst fingeravtryck har andra applikationer också. Detta tillvägagångssätt kan inte bara identifiera skadliga datorer som försöker komma åt ditt nätverk, det kan även upptäcka falska trådlösa åtkomstpunkter som är utformade för att samla in MAC-adresser för att förfalska andra nätverk. Detta kräver dock insamling av grundsanningsdata från den ursprungliga åtkomstpunkten i en säker miljö i förväg.
Trådlöst fingeravtryck är osannolikt någonsin att vara helt idiotsäkert, men det har potentialen att vara ett användbart tillägg till arsenalet av tillgängliga verktyg för onlinesäkerhet.
Ref: arxiv.org/abs/1404.6457 : En empirisk studie av passiv 802.11-enhetsfingeravtryck