Wie jeder den Wi-Fi-Fingerabdruck Ihres Computers messen kann

Der drahtlose Internetzugang ist zu einer der grundlegenden Technologien der modernen Welt geworden. Tatsächlich halten viele Wi-Fi für den Sauerstoff der Computergeneration.





Der drahtlose Zugriff ist zwar äußerst nützlich, stellt jedoch auch eine Sicherheitsbedrohung dar. Jeder kann auf ein drahtloses Netzwerk zugreifen, indem er sich als Computer ausgibt, der bereits Zugriff hat. Diese Technik ist als MAC-Spoofing bekannt: die Aktion, die MAC-Adresse eines anderen Computers zu verwenden, um von seiner Autorisierung zu profitieren.

Eine Möglichkeit, dies zu verhindern, besteht darin, den Computer, der versucht, Zugriff zu erhalten, auf andere Weise zu identifizieren. Die Frage ist, wie.

Heute sagen Christoph Neumann und seine Freunde von den Technicolor Security and Content Protection Labs in Rennes, Frankreich, dass sie eine Möglichkeit entwickelt haben, einen Computer eindeutig anhand der Art und Weise zu identifizieren, wie er auf WLAN-Ressourcen zugreift.



Sie weisen darauf hin, dass Merkmale wie Übertragungsraten und Frame-Inter-Arrival-Time von der verwendeten Wi-Fi-Karte eines Computers sowie von den Treibern und den beteiligten Anwendungen abhängen. Die große Anzahl von Permutationen stellt sicher, dass die meisten Computer über einen Wi-Fi-Fingerabdruck verfügen, der sie eindeutig identifiziert. Und das könnte helfen, einen autorisierten Benutzer von einem böswilligen Benutzer zu unterscheiden.

Neumann und Co beginnen ihre Arbeit mit der Analyse des gesamten drahtlosen Datenverkehrs, der auf einem bestimmten Wi-Fi-Kanal in verschiedenen Umgebungen übertragen wird. Sie verwenden beispielsweise eine siebenstündige Aufzeichnung von Wi-Fi-Signalen, die bei der Sigcomm-Konferenz 2008 gesammelt wurde, und eine weitere sechsstündige Aufzeichnung, die in ihrem Büro in Frankreich gesammelt wurde.

Sie begannen damit, jede Aufzeichnung in Trainings- und Validierungsdatensätze aufzuteilen. Anschließend analysierten sie den Trainingsdatensatz auf der Suche nach den Eigenschaften der beteiligten Geräte.



Beispielsweise ermöglicht das 802.11-Protokoll einer Wi-Fi-Karte, eine von mehreren vordefinierten Übertragungsraten auszuwählen; eine Wi-Fi-Karte überträgt Datenpakete oder Frames mit einer Größe, die von der Version der IP und den beteiligten Anwendungen abhängt; und die Zeit zwischen dem Eintreffen aufeinanderfolgender Rahmen hängt von verschiedenen Faktoren ab, wie beispielsweise ihrer Größe.

Neumann und Co. haben jedoch bewusst darauf verzichtet, Daten zu analysieren, die von einem böswilligen Angreifer leicht gefälscht werden können, wie beispielsweise Frame-Header. All dies tun sie mit einer Standard-WLAN-Karte anstelle von maßgeschneiderten Abhörgeräten, die für normale Benutzer nicht geeignet wären.

Sie sagen, dass bestimmte Parameter viel besser sind als andere, um Geräte eindeutig zu identifizieren. Wir stellen fest, dass die Netzwerkparameter Übertragungszeit und Frame-Zwischenankunftszeit im Vergleich zu den anderen betrachteten Netzwerkparametern am besten abschneiden, heißt es.



Schließlich verwenden sie diese Parameter, um zu sehen, ob sie Maschinen in den Validierungsdatensätzen eindeutig identifizieren können.

Und die Ergebnisse sind ziemlich gut. Sie sagen, dass sie unter normalen Bedingungen wie ihrem Büronetzwerk Maschinen mit einer Genauigkeit von bis zu 95 Prozent eindeutig identifizieren.

Die schwierigsten Bedingungen treten jedoch während einer Konferenz auf, wenn viele Benutzer gleichzeitig versuchen können, eine Verbindung zu einem Netzwerk herzustellen. Unter schwierigsten Testbedingungen, dem Funkverkehr einer Konferenz, liefere die Zwischenankunftszeit die besten Identifikationsverhältnisse, heißt es.



Denn die Zwischenankunftszeit hängt nicht nur von der verwendeten WLAN-Karte ab, sondern auch von den installierten Treibern und der Software, die die gesendeten Daten generiert. Die Kombination dieser reicht normalerweise aus, um eine eindeutige Signatur zu generieren.

Unter diesen herausfordernden Bedingungen können Neumann und Co. bis zu 56 Prozent der Geräte mit einer Falsch-Positiv-Rate von nur 10 Prozent genau identifizieren. Das ist nicht perfekt, aber als sekundärer Sicherheitsmechanismus auch nicht schlecht.

Und es gibt Möglichkeiten, die Technik in Zukunft zu verbessern. Diese Arbeit konzentriert sich nur auf die Signatur einzelner Parameter wie der Frame-Zwischen-Ankunftszeit. Ein besserer Ansatz könnte jedoch darin bestehen, einen Fingerabdruck zu erstellen, der von mehreren verschiedenen Parametern abhängt. Dies wollen Neumann und Co. künftig prüfen.

Drahtlose Fingerabdrücke können in einer Vielzahl von Situationen angewendet werden. Es verwendet eine Standard-WLAN-Karte, um seine Arbeit zu erledigen, was es relativ günstig macht. Es ist auch eine passive Technik, die für böswillige Benutzer schwer zu erkennen ist.

Das ist wichtig. Man vergisst leicht, wie unsicher passwortgeschützte Netzwerke werden können. Denken Sie an Ihr eigenes Heimnetzwerk und die Anzahl der Freunde, Kollegen und Familie, denen Sie den Netzwerkschlüssel gegeben haben. Eine wichtige Frage ist, wie sicher diese Informationen sind, wenn sie Ihr Zuhause verlassen haben.

Drahtlose Fingerabdrücke haben auch andere Anwendungen. Dieser Ansatz kann nicht nur böswillige Computer identifizieren, die versuchen, auf Ihr Netzwerk zuzugreifen, sondern auch gefälschte drahtlose Zugangspunkte erkennen, die darauf ausgelegt sind, MAC-Adressen zu sammeln, um andere Netzwerke zu fälschen. Dies erfordert jedoch die vorherige Erfassung von Ground-Truth-Daten des ursprünglichen Zugangspunkts in einer sicheren Umgebung.

Es ist unwahrscheinlich, dass die drahtlose Fingerabdruckerkennung jemals völlig narrensicher ist, aber sie hat das Potenzial, eine nützliche Ergänzung zu den verfügbaren Tools für die Online-Sicherheit zu sein.

Ref: arxiv.org/abs/1404.6457 : Eine empirische Studie zum Fingerabdruck von passiven 802.11-Geräten

verbergen