Seguridad

Los investigadores encuentran hardware no autorizado mediante la huella digital de la red

Encontrar un punto de acceso no autorizado es difícil. Cada vez que me piden ayuda para encontrar uno, recurro a Internet con la esperanza de encontrar una panacea. Estoy cansado de parecer un lunático, corriendo y apuntando una antena de aspecto extraño a todo el mundo.

Las cosas están mejorando.

Raheem Beyah, profesor asociado de ciencias de la computación en la Universidad Estatal de Georgia, recibió una gran subvención de DARPA para un proyecto llamado: Detección de intrusos en la red mediante firmas de hardware. Con él, el Dr. Beyah pretende:

  • Cree firmas de hardware para cada dispositivo estudiando los paquetes que generan.
  • Desarrolle un prototipo de sistema de detección de intrusos (IDS) utilizando firmas de hardware.
  • Investigue cómo proteger su red de amenazas que involucran dispositivos no autorizados.

El profesor y su equipo han acumulado una amplia experiencia con redes Wi-Fi: métodos pasivos de huellas dactilares de dispositivos inalámbricos.

Después de leer la disertación, todavía estoy abrumado. No veo cómo cada dispositivo en red tiene una huella digital única. La única forma que conozco de solucionar esto es haciendo preguntas. Dr. Beyah, un educador ocupado, explicó esto muy amablemente.

Casner: Wikipedia define la huella digital de un dispositivo como:

«Un breve resumen de la configuración de software y hardware recopilada de dispositivos informáticos remotos».

¿Qué crees que es una huella digital?

Bea: Primero, Michael, gracias por tomarse el tiempo para hacer preguntas sobre el proyecto.

Las huellas dactilares digitales pueden tener muchos significados diferentes. Mi investigación se centra en las preguntas difíciles: ¿Qué cree que son las huellas dactilares de los dispositivos?

Defino la toma de huellas dactilares del dispositivo como un método para identificar un dispositivo o tipo de dispositivo específico mediante el uso de información «filtrada» del dispositivo.

La información filtrada puede ser un indicador del software del dispositivo (por ejemplo, sistema operativo, firmware o controladores) o su hardware (es decir, componentes de hardware). La clave es fusionar varias informaciones filtradas para generar un identificador que sea difícil de subvertir para los adversarios.

Casner: He leído que la toma de huellas dactilares se puede hacer de forma pasiva (escucha) o activa (apretón de manos con el dispositivo). ¿Cuáles son las ventajas de cada uno? ¿Qué método usas?
Bea: Los métodos activos generalmente requieren interrogar a los nodos con varios tipos de paquetes. Estos paquetes pueden variar en tamaño y pueden ser legítimos o tener un formato incorrecto. El objetivo de la tecnología activa es desencadenar una respuesta que sea única para el dispositivo que se está tomando.

Las técnicas pasivas suelen ser más adecuadas para los lectores de huellas dactilares, pero suelen proporcionar menos información sobre los nodos que las técnicas activas. Generalmente, los métodos pasivos no inyectan ningún estimulante en el sistema de interés.

En cambio, capturan datos en silencio con el objetivo de no alertar o interferir con el sistema que se está monitoreando. Analice los datos para revelar patrones exclusivos del sistema de interés. Aunque gran parte de nuestro trabajo es pasivo, combinamos enfoques activos y pasivos.

Casner: En el documento menciona que IAT es un parámetro utilizado para identificar dispositivos en red. No estoy familiarizado con IAT. ¿Qué significa el acrónimo y por qué funciona como huella digital?
Bea: IAT significa tiempo entre llegadas. Cuando se considera en el contexto del tráfico de redes informáticas, IAT describe el tiempo entre paquetes consecutivos de datos enviados o recibidos por un nodo.

IAT es una métrica interesante que puede describir muchos aspectos diferentes de un sistema o red. Por ejemplo, los investigadores usan IAT para determinar qué enlaces son cuellos de botella en Internet. También se utiliza para determinar el tipo de enlace utilizado para acceder a la red (por ejemplo, enlace de red inalámbrica o enlace de red cableada).

En el escenario más básico, la diferencia entre dos paquetes consecutivos (es decir, IAT) le brinda información sobre el sistema a través del cual viaja el paquete. Si varios valores de IAT son diferentes, esto puede indicar que el estado del sistema (por ejemplo, red, dispositivo) que atraviesa el paquete puede haber cambiado de alguna manera.

Con base en la interpretación de estas fluctuaciones del IAT, se pueden inferir varias características del sistema de interés. Por ejemplo, si las fluctuaciones de IAT para un dispositivo en particular son predecibles y diferentes de otros dispositivos, estas fluctuaciones se pueden usar para dispositivos de huellas dactilares.

Otra forma de decirlo es que la información que describe el sistema y su estado se filtra a través del IAT. El próximo desafío es identificar una forma de extraer la información oculta en una serie de valores IAT (es decir, series temporales). Por lo general, se utilizan varias técnicas estadísticas y de procesamiento de señales para esto.

Casner: Wikipedia menciona que las huellas dactilares digitales requieren diversidad (no hay dos dispositivos que tengan la misma huella dactilar) y estabilidad (las huellas dactilares permanecen iguales a lo largo del tiempo). Es difícil imaginar que cada dispositivo sea distinguible. ¿como puede ser?
Bea: Estoy de acuerdo, es difícil imaginar que un dispositivo pueda tener una huella digital única. Estoy seguro de que mucha gente dijo lo mismo sobre los humanos antes de usar identificadores como el ADN, las huellas dactilares humanas y los escáneres de retina.

Para la identificación de dispositivos, nuestra suposición es que los paquetes de red son una función de la composición (es decir, la arquitectura) del dispositivo que los genera, al igual que el habla es una función de la composición de un ser humano en particular (por ejemplo, laringe, cuerdas vocales) que lo genera. .

Además, si profundiza, encontrará que hay suficientes variaciones en el proceso de fabricación entre los circuitos integrados (que pretenden ser idénticos) para caracterizar de manera única cada circuito integrado. Los investigadores han utilizado este concepto en el pasado para realizar varios niveles de autenticación en matrices de puertas programables de campo (FPGA).

El desafío es extraer estas pequeñas diferencias. Estamos tratando de utilizar varias técnicas para detectar estas diferencias y comprender las limitaciones de estas técnicas.

Casner: Las huellas dactilares digitales no parecen ser el fin, sino el medio para conseguirlo. ¿Cuál es tu objetivo?
Bea: Fundamentalmente, nuestro objetivo es comprender y describir la interacción entre la arquitectura del sistema y las redes a las que está conectado el sistema. La toma de huellas dactilares es una aplicación importante de la idea básica de que la red puede verse como una extensión de los dispositivos informáticos.

Un objetivo a largo plazo de nuestro trabajo de toma de huellas digitales es tener un identificador único e irrefutable para cada dispositivo conectado a cualquier tipo de red. Esto ayudará a que nuestra red sea más segura.

Casner: Anteriormente, mencionó el uso de tecnología similar al reconocimiento del habla humana. ¿Puedes ser mas específico?
Bea: seguramente. Creemos que existen similitudes entre la creación vocal y la creación de paquetes de dispositivos. La idea general es que tanto los humanos como los dispositivos informáticos son entidades compuestas.

Además, para que un ser humano y un dispositivo informático se comuniquen (es decir, hablen por el ser humano y envíen paquetes al dispositivo informático), debe producirse un conjunto complejo de interacciones entre múltiples componentes internos. Estas interacciones y los propios componentes dejan su huella en la comunicación resultante.

Como resultado, las señales únicas pueden detectarse externamente para humanos usando varias técnicas de reconocimiento de hablante, o externamente para dispositivos informáticos usando varias técnicas de reconocimiento de dispositivos.

Casner: Una vez que se encuentra un dispositivo no autorizado conectado a la red, ¿qué cree que hará el dispositivo o la tecnología?

Bea: Esto está más allá del alcance del proyecto actual, pero ciertamente podemos imaginar un sistema que podría señalar un conmutador de red para desactivar el puerto al que está conectado el malware.

Otra acción podría ser enviar señales a varios sistemas de detección de intrusos para monitorear más de cerca el dispositivo no autorizado, su comportamiento y patrones de comunicación, con la esperanza de obtener suficiente información para rastrear al intruso.

Casner: ¿Es posible este método para determinar la marca y el modelo de los dispositivos conectados y su uso con fines de inventario?
Bea: Absolutamente. Este es uno de los objetivos de este trabajo. Ciertamente, no tiene que existir una amenaza activa para que este trabajo sea relevante. La gestión de la red suele ser tan difícil como asegurarla.

pensamientos finales

Veo muchas promesas para este tipo de tecnología de huellas dactilares. Especialmente cuando el Dr. Beyah mencionó que podría ser de naturaleza pasiva. Olvidé preguntar cuándo estará disponible, espero que antes.

Un agradecimiento especial a la muy ocupada Dra. Beyah que estuvo dispuesta a ayudar.

LEER  ¿Sigue ejecutando Windows 7 en lugar de Windows 10?Estás en mayor riesgo de malware, según un informe

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba