通常、どのデバイス/デバイスタイプに一意のID番号が関連付けられていますか?
背景(読む必要はありません;私が尋ねる理由だけです):
誰かのコンピューターがハッキングされたか、$ LARGE_EVIL_CORPORATIONが実行するソフトウェアを実行していて、ハッカー/ $ Lがハードウェアを所有している人についてできるだけ多くの情報を収集したいとします。
ここで、ハッカー/ $ Lがその人の別のマシンで実行されているソフトウェアも持っていると仮定します。一方のマシンでは、ユーザーは個人的なこと(財務など)を行い、もう一方のマシンでは行いません(つまり、比較的匿名のままにしようとします)。
しかし、彼らは同じ人物であるため、両方のマシンで同じマウスを使用する傾向があります。そして同じ外部HD。そして、同じウェブカメラ...など、不条理です。
外部オブザーバーが2つのIDをリンクできるように、これらのデバイスのいくつ/どれが一意のデバイスIDを持っていますか?
内蔵ドライブがなく、ライブCDからのみ起動した場合でも、マザーボードのチップセット、RAM、画面、またはCDドライブ自体が一意の識別情報を提供できる可能性があります(ルートプライベートまたはそれらのO/Sと同等のものを想定) ?
さらに...
一意の識別子を設定できるデバイスはどれですか(大容量記憶装置以外、明らかに状態があります)? O/Sが個人識別子を割り当てるために使用できるフラッシュメモリを備えたWebカメラを持っている可能性はありますか?
ハードウェアフィンガープリントは多くのルートキットによって実行されます。たとえば、有名なチート防止システム「パンクバスター」で使用されるツールであるため、ゲームの新しいキーを購入したり、システムを再インストールしたりしても、禁止されたままになります。
それらはあなたのマシンから異なるデータを収集しますが、その中には次のように比較的ユニークなものもあります。
- Macアドレス
- マザーボードのシリアル番号
- デバイスGUID
これらのいくつかはユニークかもしれませんが、他のものはそうではありません。ここでの考え方は、このデータを収集し、リモートのどこかに保存してIDを割り当てるというものです。コンピューターAとしましょう。次にマシンを起動したときに、ユーザーがスプーフィングを行っていたため、MACアドレスなどのIDの一部が変更された可能性があります。
ここで、同じデータを再度収集し、このコンピューターをBと呼びます。これを数回行うと、マシンがいつオンラインになったのかを追跡することもできます。
ここから、基本的なフィルターを実行できます。2つのマシンが同時に稼働している場合、それらはおそらく2つの異なるマシンです。 (最初の決定ノード)
すべてのハードウェアには、信頼性(同じ状態を維持するための信頼性が高い(CPUID(最近は無効になっている)またはマザーボードのシリアル番号)、同じ状態を維持するための信頼性が低い(MACアドレス))という一定のスコアが与えられます。スコアリングシステムは、確率にそれを添付します。
この確率により、システムAとシステムBが同じである確率のパーセンテージが得られます。実際には、基本的なデータマイニングにすぎません。