211service.com
Hoe iedereen de wifi-vingerafdruk van uw computer kan meten
Draadloze internettoegang is een van de ondersteunende technologieën van de moderne wereld geworden. Velen denken inderdaad dat wifi de zuurstof is van de computergeneratie.
Hoewel draadloze toegang enorm nuttig is, vormt het ook een veiligheidsrisico. Iedereen kan toegang krijgen tot een draadloos netwerk door zich voor te doen als een computer die al toegang heeft. Deze techniek staat bekend als MAC-spoofing: de actie waarbij het MAC-adres van een andere computer wordt gebruikt om te profiteren van de autorisatie ervan.
Een manier om dit te voorkomen is om een andere manier te hebben om de computer te identificeren die toegang probeert te krijgen. De vraag is hoe.
Vandaag zeggen Christoph Neumann en vrienden van de Technicolor Security and Content Protection Labs in Rennes, Frankrijk, dat ze een manier hebben ontwikkeld om een computer op unieke wijze te identificeren aan de hand van de manier waarop deze toegang krijgt tot wifi-bronnen.
Ze wijzen erop dat kenmerken zoals transmissiesnelheden en frame inter-aankomsttijd, afhankelijk zijn van de Wi-Fi-kaart die een computer gebruikt, evenals de stuurprogramma's en de betrokken applicaties. Het grote aantal permutaties hiervan zorgt ervoor dat de meeste computers een Wi-Fi-vingerafdruk hebben die ze op unieke wijze identificeert. En dat zou kunnen helpen een geautoriseerde gebruiker te onderscheiden van een kwaadwillende.
Neumann en co beginnen hun werk met het analyseren van al het draadloze verkeer dat wordt uitgezonden op een bepaald wifi-kanaal in een aantal verschillende omgevingen. Ze gebruiken bijvoorbeeld een zeven uur durende opname van wifi-signalen die zijn verzameld tijdens de Sigcomm-conferentie van 2008 en nog eens zes uur durende opname die is verzameld op hun kantoor in Frankrijk.
Ze begonnen met het verdelen van elke opname in trainings- en validatiedatasets. Vervolgens analyseerden ze de trainingsgegevensset op zoek naar de kenmerken van de betrokken apparaten.
Met het 802.11-protocol kan een Wi-Fi-kaart bijvoorbeeld een van een aantal vooraf gedefinieerde transmissiesnelheden kiezen; een Wi-Fi-kaart verzendt datapakketten, of frames, met een grootte die afhangt van de versie van het IP-adres en de betrokken applicaties; en de tijd tussen de aankomst van opeenvolgende frames hangt af van verschillende factoren, zoals hun grootte.
Neumann en co hebben echter bewust vermeden om gegevens te analyseren die gemakkelijk kunnen worden vervalst door een kwaadwillende aanvaller, zoals frameheaders. Ze doen dit allemaal met behulp van een standaard draadloze kaart in plaats van op maat gemaakte luisterapparatuur die niet haalbaar zou zijn voor gewone gebruikers.
Ze zeggen dat bepaalde parameters veel beter zijn dan andere in het uniek identificeren van apparaten. We vinden dat de transmissietijd van de netwerkparameters en de inter-aankomsttijd van het frame het beste presteren in vergelijking met de andere beschouwde netwerkparameters, zeggen ze.
Ten slotte gebruiken ze deze parameters om te zien of ze machines uniek kunnen identificeren in de validatiegegevenssets.
En de resultaten zijn best goed. Ze zeggen dat ze onder normale omstandigheden, zoals hun kantoornetwerk, machines op unieke wijze identificeren met een nauwkeurigheid tot 95 procent.
De meest uitdagende omstandigheden doen zich echter voor tijdens een conferentie wanneer veel gebruikers tegelijkertijd verbinding kunnen maken met een netwerk. In de moeilijkste testomstandigheden, het draadloze verkeer van een conferentie, levert de inter-aankomsttijd de beste identificatieverhoudingen op, zeggen ze.
Dat komt omdat de tussenaankomsttijd niet alleen afhangt van de draadloze kaart die wordt gebruikt, maar ook van de geïnstalleerde stuurprogramma's en de software die de gegevens genereert die worden verzonden. De combinatie hiervan is meestal voldoende om een unieke handtekening te genereren.
In deze uitdagende omstandigheden kunnen Neumann en co tot 56 procent van de apparaten nauwkeurig identificeren met een fout-positief percentage van slechts 10 procent. Dat is niet perfect, maar het is ook niet slecht als secundair beveiligingsmechanisme.
En er zijn manieren waarop ze de techniek in de toekomst kunnen verbeteren. Dit werk richt zich alleen op de ondertekening van individuele parameters zoals frame inter-aankomsttijd. Maar een betere benadering zou kunnen zijn om met een vingerafdruk te komen die afhankelijk is van verschillende parameters. Neumann en co zijn van plan hier in de toekomst naar te kijken.
Draadloze vingerafdrukken kunnen in een groot aantal verschillende situaties worden toegepast. Het gebruikt een standaard draadloze kaart om zijn werk te doen, waardoor het relatief goedkoop is. Het is ook een passieve techniek die moeilijk te detecteren is door kwaadwillende gebruikers.
Dat is belangrijk. Het is gemakkelijk om te vergeten hoe onveilig met een wachtwoord beveiligde netwerken kunnen worden. Denk aan je eigen thuisnetwerk en het aantal vrienden, collega's en familie aan wie je de netwerksleutel hebt gegeven. Een belangrijke vraag is hoe veilig deze informatie is als deze je huis eenmaal heeft verlaten.
Draadloze vingerafdrukken hebben ook andere toepassingen. Deze aanpak kan niet alleen kwaadaardige computers identificeren die toegang proberen te krijgen tot uw netwerk, het kan ook valse draadloze toegangspunten opsporen die zijn ontworpen om MAC-adressen te verzamelen om andere netwerken te vervalsen. Dit vereist echter het vooraf verzamelen van de grondwaarheidsgegevens van het oorspronkelijke toegangspunt in een beveiligde omgeving.
Het is onwaarschijnlijk dat draadloze vingerafdrukken ooit helemaal onfeilbaar zullen zijn, maar het kan wel een nuttige aanvulling zijn op het arsenaal aan tools die beschikbaar zijn voor online beveiliging.
Referentie: arxiv.org/abs/1404.6457 : Een empirische studie van passieve 802.11-apparaatvingerafdrukken