Politibetjent i USA opfinder software til at finde stjålet it-udstyr

Nyt udstyr skal gøre politibiler i stand til at søge efter Mac-adresser i området.

I næste måned vil en politibetjent fra Iowa i USA introducere en ny idé på en international politikonference i Chicago: En USB-wifi-adapter med et lille program skal gøre politiet i stand til at finde computerenheder. Det skriver The Gazette.

David Schwindt står bag produktet, som han kalder L8NT (latent analysis of 802.11 network traffic). Systemet gennemsøger lokalområdet for Mac-adresser og sender informationen videre. Formålet er ikke at finde bortkomne iPods eller bærbare, men derimod at være en del af vigtigere efterforskningsopgaver.

»Jeg regner med, at L8NT-software kan bruges til at opklare kriminalitet på højt niveau,« har Schwindt udtalt til The Gazette.

»Hvis din telefon bliver stjålet på en bar, så er det ikke nødvendigvis inden for rammerne af L8NT's formål. Men hvis der har været indbrud i dit hjem, og din telefon er blevet stjålet, så begynder det at være interessant for politiet.«

L8NT kører på en USB-pen med indbygget antenne, som kan sættes direkte ind i en normal bærbar computer i en politibil. Over wifi-netværket vil programmet lede efter Mac-adresser, der i politiets database er markeret som tilhørende et stjålet produkt.

Der vil være et begrænset potentiale i forhold til de borgere, der ikke kender deres ejendeles Mac-adresse, og de tyve, som ved, at man kan ændre en Mac-adresse. Desuden har Apples iPhone siden forrige version af styresystemet anvendt en falsk og tilfældigt generet Mac-adresse for fremmede access points. Men systemet vil være et teknologisk fremskridt i forhold til udelukkende at registrere et produkts fysiske serienummer i politiets database.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenneth Andersen

"...og de tyve, som ved, at man kan ændre en MAC-adresse."

A hva? Ændre en MAC-adresse ligefrem. Dét var jeg ikke klar over, var muligt. Man kan udføre noget spoofing, men direkte at ændre MAC'en i headeren af protokollen, dén var jeg lige godt ikke klar over (og stiller mig tvivlende)...

  • 0
  • 13
Mikkel Bruun

IOS 8 gør det konsekvent når der scannes efter wifi...Således at man netop ikke kan spores...
Det er først når man forbinder til et wifi at ens reele mac address kommer i spil...

  • 6
  • 0
Bent Jensen

De gamle router hvor af nogen med indbygget ADSL modem, jeg arbejdet med for 10-15 år siden kunne også ændre MAC.
Enten manuelt, eller under installation hvor den så foreslog MAC fra PC man sad ved. Det var særdeles nemmere end at vente på at TDC udstyr have fundet ud af at udstyret var ændret.

Kan i huske det, først ud af vægen 20 min, så 2 timer, og så 24 timer, (så var der nok en anden på vagt), får de gad se på om der var noget galt, eller alt efter hvem man talte med. Så kunne kunden bare betale for et nyt besøg, og stå uden net en hel dag.

SÅ mac er ikke noget mere hardwired ned i udstyret, det er langt tid siden at alt have en fast og uden mulighed for at ændre denne. Men det passer med at politiet er 15-20 år bagefter den teknologisk udvikling og viden. Men det er mange af tyvene også, så de skal nok få fanget nogen. Samtidig med at de logger alt data, mac og andet information som kan bruges i den totale overvågning alle de 3 bogstaver savler over. Det var hvis noget google i nogen lande ikke fik lov til :-)

Smider de MAC og andet data væk bagefter, eller gemmes det for eftertiden, så man kan sælge den information en gang, eller på anden måde misbruge den.

  • 0
  • 1
Kenneth Andersen

Jeg mangler stadigvæk dokumentation for, at man rent faktisk kunne ÆNDRE mac'en, og ikke blot få det til at se ud som om, den er ændret; via f.eks. spoofing.
Enhedens faktisk (oprindelige) mac bør stadig fremgå i headeren af datapakken. Hvis dette ikke er tilfælde, vil jeg meget gerne se dokumentation der for.

  • 0
  • 10
Martin Clemmensen

A hva? Ændre en MAC-adresse ligefrem. Dét var jeg ikke klar over, var muligt. Man kan udføre noget spoofing, men direkte at ændre MAC'en i headeren af protokollen, dén var jeg lige godt ikke klar over (og stiller mig tvivlende)...

Som Anders nævnte længere oppe er det ganske nemt, vistnok også på windows og osx.

Der findes også apps til Android (kræver nok root) - https://play.google.com/store/apps/details?id=diewland.changemac&hl=en

Har endda oplevet for længe siden at et Realtek netværkskort af typen 8029AS "mistede" mac adressen efter jeg ved en fejl overclockede PCI bussen lidt for meget. Efter det meddelte ifconfig konsekvent at kortet havde mac addressen 00:00:00:00:00:00

  • 4
  • 0
Jakob Damkjær

Er det her bare endnu et masse overvågnings system (til lokal om rådet) for filerne med Mac addr bliver jo sikkert slettet...

Eller begik politimanden lige en massiv overtrædelse af husfreden ved at uden en kendelse til samtlige hustande han scannede at støvsuge alle mac-addresserne ? (På nær iOS dimser og andre dimser med lidt privatlivsbeskyttelse indbygget)...

Smart sikkert ja, uhyggeligt ulovligt og i USA forfatningsstridigt midst lige så meget ja...

Ta en lytter til Note to self om en ligende teknologi der hedder stingray

Note to Self: Stingrays: The Conspiracy Theorist Who Was Right All Along
https://overcast.fm/+P0c4HUOI

  • 5
  • 0
Frithiof Andreas Jensen

Politiet er formodentligt "bare" ude på at öge "scopet" for politiindsatsen, lave lidt "fishing" og få mulighed for at konfiskere noget privat ejendom / kontanter under "Asset Forfeiture" reglerne.

Hvordan kommer det lige til at fungere i praksis, tänker man:

En strisser hävder at hans udstyr har fundet en MAC adresse på listen i min besiddelse, så han skal lige have lov til rode mine lommer og mit device igennem (måske lige også gemme en kopi til "den videre efterforskning") eller lige at gennemsöge mit hjem efter noget kriminelt også? Jeg kunne jo have en stjålet WiFi router til 300 kroner!!

Det er ikke besväret värd over en it-dims til höjest 6000 kroner, gennemsnit 1000.

  • 3
  • 2
Martin Clemmensen

Jeg mangler stadigvæk dokumentation for, at man rent faktisk kunne ÆNDRE mac'en, og ikke blot få det til at se ud som om, den er ændret; via f.eks. spoofing.
Enhedens faktisk (oprindelige) mac bør stadig fremgå i headeren af datapakken. Hvis dette ikke er tilfælde, vil jeg meget gerne se dokumentation der for.

Rent hardwaremæssigt bliver den ikke ændret, men på netværket (f.eks. wifi) kan den oprindelige mac adresse ikke ses i headeren af datapakken.

Mht. dokumentation, så installer wireshark på din computer, spoof din mac adresse og se hvad wireshark spytter ud :)

  • 5
  • 0
Peter J. Beinthin

Åh jo. Jeg har altid sat MAC-adressen via software på Windows og OS/2.
På OS/2 var restriktionen at adressen skulle være 4000 xxxx xxxx.
Windows var self lige glad hvad det var, men jeg holdt mig til 4000 - .
Jeg kunne ikke reboote Host eller Terminalcontroller så tit, så jeg havde prekonfigureret terminal-emulator indgange.
Note: 4000 xxxx xxxx var på Token ring. På Ethernet skal den revertes.

  • 0
  • 0
Daniel Rasmussen

Det ser sådan ud, fordi det ér sådan.
Den "originale" Mac adresse sendes ikke med i header.
Det er noget ævl at påstå at du mangler dokumentation, for der er kun plads til en source mac adresse i headeren.

  • 3
  • 0
Kenneth Andersen

Bevares; men jeg vil gerne se tingene i detaljer og dermed ikke blot på overfladen. Derfor har jeg behov for at se dokumentation for, at MAC'en rent faktisk bliver ændret ned på OSI 3, og ikke blot at "det ser sådan ud".

Ellers kan man jo reelt ændre både MAC og IP på en computer, hvormed den for omverdenen fremstår som en helt anden. Men alligevel kan computeren både sende og modtage trafik. Dette burde ikke være muligt, eftersom dens adresse jo slet ikke repræsenterer den aktuelle computer. Eller hvad?

  • 0
  • 1
Bent Jensen

Ellers kan man jo reelt ændre både MAC og IP på en computer, hvormed den for omverdenen fremstår som en helt anden. Men alligevel kan computeren både sende og modtage trafik. Dette burde ikke være muligt, eftersom dens adresse jo slet ikke repræsenterer den aktuelle computer. Eller hvad?

Ja, men du kan måske ikke gå på nettet med din selvvalget IP, og det er nok din IP som du har fået tildelt af udbyderen som man gemmer om dig, hvis man senere vil tale med dig. Men hvis du bruger den rigtige Gateway, DNS og ikke lægger dig oven i en anden enhed, så vil det sikkert virke.
Men du kan som med IP selv skifte din MAC du vil så sikkert få en ny IP af DHCP serveren, som ny enhed på nettet :-)

Men hvis du vil se noget i deltajer eller ikke kun på overfladen, så læs om det. Der sker meget på den teknologiske udvikling, så meget at der ikke er plads her.
Google er din ven :-)

Man bruger ikke EEPROM til boot på på et token ring network mere, sikkert endda før din uddannelse tid ? Og alle enheder har ikke længere en fast MAC som ikke kan ændres, det er LANGT tid siden det var sådan.

Skal også selv bruge en dags tid hvis jeg skal have ny PC, så jeg sikkert mig at CPU passer til MOBO, og i dag vil jeg nok købe harddisk på en "stik" som er 20-30 gange hurtigere end en SSD harddisk.

Hvis du skal have satellit, skal du heller ikke længere have 2 hoveder, hvis du skal skal have mere end en enhed på, et nyt hovedet understøtter minimum 6 enheder, og stikkene krympes på, siderfast og er vandtætte.

Du vil vel sikkert heller ikke installere en Windows server med backup og UPS i dag, en NAT til få tusinde eller skyen vil i langt de fleste tilfælde være billigere, nemmere og bedre.

Så den der teknologiske udvikling den forsætter selv efter man har forladt skolen. Derfor man taler om at ens uddannelse kan blive for gammel, hvis man ikke følger med inden for sit fag.

Men du vil se at der er sket noget, når du næste gang skal have ny telefon, og skal have udskiftet din Nokia :-)

  • 2
  • 0
Troels Henriksen

Bevares; men jeg vil gerne se tingene i detaljer og dermed ikke blot på overfladen. Derfor har jeg behov for at se dokumentation for, at MAC'en rent faktisk bliver ændret ned på OSI 3, og ikke blot at "det ser sådan ud".

Hvad med at prøve det af og konstaterer at det virker? Det er ret nemt, og fremgangsmåden er allerede beskrevet i denne tråd.

Du har ret i at man, hvis man skifter MAC, vil synes som en helt ny enhed på netværket hvad angår switches og deslige. Det er jo netop pointen! Denne nye MAC vil sædvanligvis så tildeles en ny IP-adresse af den lokale DHCP-server, og routingtabellerne vil få den nye MAC-adresse indsat.

Der er netværksmæssigt ingen forskel på at ændre sin MAC og på at tilkoble en ny enhed. Hvis du kan acceptere at sidstnævnte kan lade sig gøre, hvorfor har du så svært ved førstnævnte?

Og ja, selvfølgelig mister man alle sine igangværende forbindelser hvis man skifter MAC.

  • 3
  • 0
Kenneth Andersen

Nu havde jeg jo faktisk afprøvet det. Og jeg kunne ikke komme på nettet efterfølgende.

"Hvis du kan acceptere at sidstnævnte kan lade sig gøre, hvorfor har du så svært ved førstnævnte?"
-> eh, nu har jeg jo ikke sagt, at jeg har svært ved det første; det var udelukkende en antagelse fra din side (og andres).

Jeg har hele tiden blot efterspurgt noget dokumentation, så man ikke behøver bruge tid på at efterprøve det selv, samt at smuthullerne er dokumenteret lukkede.

Men hvis man ikke kan komme på nettet med sin nye MAC, hvad opnår man så? Hvis man løser det via DHCP, så kræver det jo også, at ingen andre på subnettet gør det samme. For ellers kan udelukkelsesmetoden jo blot benyttes.

  • 0
  • 0
Troels Henriksen

Men hvis man ikke kan komme på nettet med sin nye MAC, hvad opnår man så? Hvis man løser det via DHCP, så kræver det jo også, at ingen andre på subnettet gør det samme. For ellers kan udelukkelsesmetoden jo blot benyttes.

Det kan man også godt - du skal bare følge samme fremgangsmåde som hvis du havde nytilkoblet enheden til netværket, heriblandt skaffe en IP-adresse på den måde netværksopsætningen nu betinger.

Og ja, hvis du er den eneste på netværket der skifter MAC-adresse, og din maskine oven i købet beder en evt. DHCP-server om samme IP-adresse som tidligere (hvilket mange styresystemer er sat op til), så det er ikke voldsomt anonymiserende, men det er der heller ingen der har påstået.

EDIT: hvis enheden genstartes, så har den den gamle MAC igen.
Hvordan har tyve det med deres gods: slukker de udstyret, når det er i deres varetægt, eller aner de intet?

Ja, det meste netværksmaskinel har noget hukommelse med en præbrændt MAC-adresse, men denne er blot hvad styresystemet bruger som udgangspunkt, og man kan sagtens bede om noget andet. Det er principielt muligt at lave et netværkskort der kun vil sende veldannede IP-pakker med ét bestemt MAC-adresse-felt, men jeg har aldrig set et sådan.

  • 2
  • 0
Log ind eller Opret konto for at kommentere