W dniu 01.04.2024 o 02:18, Marcin Debowski pisze:
>> W dniu 31.03.2024 o 03:41, Marcin Debowski pisze:
>> Jeśli - jak twierdzisz - można odczytać te MAC adresy, to pewnie by się
>> dało zidentyfikować, tylko wydaje mi się, że w małych sieciach. Bo
>> wątpię, by taki ORANGE miał wykaz MAC adresów swoich klientów w formie
>> jakiejś bazy danych.
> Nie wiem co orange i inne robia, ale standardowo serwer dhcpd działa po
> MACu więc musi wiedziec, któremu fizycznemu urządzeniu przyporzadkował
> dane ip. Więc wystarczy sprawdzić jakie ip przyporządkowano danemu
> macowi. Ramki TCP/IP w warstwie pierwszej stosu zawierają MAC.

Tylko tu jest podobny problem, jak z lokalizacją urządzeń.
Rozporządzenie określa, co mają mieć. Do celów technicznych mają pewnie
wiele rzeczy, ale czy gromadzą to w sposób możliwy do przeszukiwania i
to po czasie? Ja tu chyba gdzieś wspominałem, że jak nie było to
postanowienie prokuratora wystawione sztywno na jakieś dane wstecz,
tylko działanie na bieżąco, to się to zupełnie inaczej robi. Po prostu
grupa stoi pod drzwiami, a Ty sprawdzasz, czy w danej chwili pobiera się
spod danego adresu IP, oraz sprawdzasz, czy IP jest za tymi drzwiami
n(via operator). Wchodzisz i wiadomo, że masz do przeszukania to, co
pracuje. Co więcej możesz po prostu wyłączać kolejno urządzenia z prądu
i obserwować, czy przestało się pobierać.

Te kombinacje są dlatego, że jest jeszcze taki problem, że my z poziomu
sieci widzimy zewnętrzne dane, czyli często router. A dane udostępnia
komputer za nim stojący. Te proste routery nie mają jakiejś pamięci z
logami. Jakby miały, to byłoby wspaniale.

Tak, czy siak nie przypominam sobie, by ktoś po MAC adresach tego szukał.

>> Powiem szczerze, że oczywiście słyszałem o tym, ze można namierzyć, ale
>> w praktyce jeszcze tego nie widziałem, chyba,m że albo gościowi się TOR
>> wyłączył, albo wpadł na czymś zupełnie innym i się przy okazji coś
>> znalazło. Ale oczywiście są mądrzejsi ode mnie.
> Tez oczywiście nie mam doświadczenia, ale wiem, że np. próbuje się to
> robić monitorując węzły wejścia i wyjścia. W uproszczeniu, ustalono, że
> ktoś się gdzieś włamał o tym i o tym czasie, no ale nawet jak uzywał
> tor'a to musiał się z tym torem połączyć i "wyjść" z niego w jakiejs
> lokalizacji bliskiej włamaniu. Jak się ma z grubsza dane skąd działa
> (np. jakies miasteczko), a włamań/połaczeń jest wiele, to można próbowac
> szukać korelacji kto się stamtąd w takim czasie łaczył. To duża robota i
> konieczność dostępu do rozbudowanej infrastruktury, więc musi naprawdę
> zależeć.

Na pogadankach i szkoleniach różne rzeczy słyszałem. Jak powiedziałem, w
praktyce tego nie widziałem. W znanych mi przypadkach namierzano
alternatywnymi kanałami, czyli przykładowo śledzono okup, ujmowano
odbiorce i badano jego komputer. Istnieje jeszcze kilka sztuczek, które
w praktyce się sprawdzają, ale wszystkie one opierają się o takie różne
dziwne założenia i czasem się udają, a czasem nie. Ostatecznym dowodem
zawsze jest przeszukanie komputera. Natomiast być może istnieją nieznane
mi sposoby - nie neguję tego.

--
(~) Robert Tomasik