image

PCs overal op het internet te achterhalen

maandag 7 maart 2005, 08:40 door Redactie, 36 reacties

Een onderzoeker van de universiteit van Californie heeft een manier ontdekt om computers, waardan ook ter wereld, te identificeren. De techniek kan voor het ontmaskeren van anonieme websurfers gebruikt worden. Student Tadayoshi Kohno schrijft in zijn onderzoek: Er is een aantal methoden om van afstand een besturingssysteem te fingerprinten. Dat is het bepalen van besturingssystemen die door apparaten op het internet gebruikt worden. We hebben dit idee uitgewerkt tot het fingerprinten van de hardware, zonder dat het apparaat in kwestie hoeft mee te werken. Bij de fingerprinting techniek wordt informatie in de TCP (transmission control protocol) headers gebruikt om de "clock skew" van een computer te bepalen, die door kleine afwijkingen in de hardware veroorzaakt wordt. De techniek werkt zelfs als een computer duizenden kilometers ver weg is, er meerdere hops zich tussen het meetapparaat en de computer bevinden en is niet afhankelijk van de technologie waarmee verbinding met het internet gemaakt wordt.

De ontdekking van Kohno kan vergaande gevolgen hebben. Zo is het bijvoorbeeld mogelijk om een computer die via verschillende access points verbinding maakt, te identificeren en achterhalen. Computers die willekeurige IP-adressen krijgen of achter network address translation (NAT) zitten, zijn hierdoor niet meer anoniem. (Cnet)

Reacties (36)
07-03-2005, 09:07 door Anoniem
Dat vereist dus dat de clock skew in combinatie met het OS een unieke
combinatie moet zijn. Ben benieuwd hoe nauwkeurig je dan moet gaan
meten...
07-03-2005, 10:36 door Anoniem
Ze geven zelf al aan dat het niet een absolute identificatie oplevert. In het
abstract staat: "tracking, with some probability, a physical device ". Dan kan
het dus hooguit gebruikt worden als indirect bewijs.
Heerlijk hoe makers van krantenkoppen dit soort onderzoek altijd weer
weten aan te dikken.

Waar deze techniek natuurlijk wel nuttig voor is, is om ISPs te laten
bepalen hoeveel verschillende computers iemand aan zijn thuisnetwerkje
heeft hangen (vooral interessant voor ISPs die hun gebruikers verbieden
een thuisnetwerk te gebruiken maar tot nu toe geen mogelijkheid hadden
dit te controleren).

Verder is nog maar de vraag hoe moeilijk het is om je PC een andere
fingerprint te geven. Misschien kan dat zelfs softwarematig?
07-03-2005, 10:42 door Sandman
Ben nu de paper aan het lezen, maar ik moet het nog 3x lezen
denk ik om het compleet te snappen! ;-)
Knap spul. En ook weer samen gedaan met k. claffy, bekend
van Squid, forensics, etc,etc.
Dit kan echt GROOT worden!
07-03-2005, 11:36 door Anoniem
Nessus doet ook TCPIP fingerprinting .. what's new?
07-03-2005, 11:53 door Anoniem
Voor Windows 2000 en XP maken ze gebruik van een fout / truc, de
pakketten die van deze OSsen afkomen, hebben geen timing info,
maar als er van RFC 1323 afwijkende pakketten worden
teruggestuurd
gaat Windows TCP stack ze toch genereren, misschien kan
iemand testen
of je met http://support.microsoft.com/kb/q224829/ het toch
gegearandeerd
uit kan zetten, (of anders een security bug by MS loggen)
groetjes, H.
07-03-2005, 12:11 door G-Force
Nieuw is het niet. Maar het was me allang duidelijk dat "anoniem" surfen
eigenlijk al jaren achterhaald moest zijn.
07-03-2005, 13:07 door Anoniem
Door Anoniem

.. (vooral interessant voor ISPs die hun gebruikers verbieden
een thuisnetwerk te gebruiken maar tot nu toe geen mogelijkheid hadden
dit te controleren).

Bestaan dit soort ISP's? Wat heeft een ISP nou met mijn thuisnetwerk te
maken?!
07-03-2005, 13:16 door Dr.NO
ach, met een anonieme proxy wordt die fingerprinting toch
weer gestopt.
07-03-2005, 14:10 door Anoniem
Zou een Vmware sessie vanuit je computer de hardware
kenmerken van het apparaat waar je mee aan het werken bent
veranderen? Dat is wat ik me nu afvraag.

Eddee
07-03-2005, 14:27 door Anoniem
Ach, Voor je het weet is er weer iets nieuws bedacht.
Het is een hele klus om dat allemaal te volgen en op te lossen.
Je krijgt er zo langzamerhand een dag/nacht taak aan.
Groeten, en maar er flink gebruik van zou ik zeggen.
07-03-2005, 14:56 door Anoniem
Door Anoniem
Door Anoniem

.. (vooral interessant voor ISPs die hun gebruikers verbieden
een thuisnetwerk te gebruiken maar tot nu toe geen
mogelijkheid hadden
dit te controleren).

Bestaan dit soort ISP's? Wat heeft een ISP nou met mijn
thuisnetwerk te
maken?!

nu hoor je het niet zo veel meer, maar toen de kabel net op
kwam stond er bij bijna alle isp's in de voorwaarden dat je
1) geen services mocht draaien (web/mail/ftp/etc) en 2) geen
netwerk mocht aanleggen (via welke anderen ook op internet
konden). Dit is ook een van de redenen dat ze een
studentenhuis niet willen aanleggen. (alhoewel de hoge
verhuissnelheid een nog grotere is). Vaak werd het echter
wel gedoogd, en langzamerhand hoor je er niets meer van. Zou
echter nog best kunnen dat jouw isp het officieel ook niet
toe laat, maar dat kan je in je voorwaarden nalezen.
07-03-2005, 15:50 door SirDice
Door Anoniem
Nessus doet ook TCPIP fingerprinting .. what's new?
De manier waarop dat gebeurd.
07-03-2005, 15:51 door Anoniem
Linux:
echo 0>/proc/sys/net/ipv4/tcp_timestamps

Unix/BSD
sysctl net.inet.tcp.rfc1323=0

Wat nou clock skew? ;)
07-03-2005, 16:58 door Anoniem
Eerlijk gezegd vraag ik me meer af hoeveel van de
bovenstaande "experts" daadwerkelijk het rapport eerst heeft
gelezen voordat hij/zij z'n smoel open trekt.
07-03-2005, 17:26 door Dr.NO
Door Anoniem
Eerlijk gezegd vraag ik me meer af hoeveel van de
bovenstaande "experts" daadwerkelijk het rapport eerst heeft
gelezen voordat hij/zij z'n smoel open trekt.
gelukkig kom jij met een inhoudelijke reactie (waarvoor dank)
07-03-2005, 17:35 door Anoniem
Door Dr.NO
Door Anoniem
Eerlijk gezegd vraag ik me meer af hoeveel van de
bovenstaande "experts" daadwerkelijk het rapport eerst heeft
gelezen voordat hij/zij z'n smoel open trekt.
gelukkig kom jij met een inhoudelijke reactie (waarvoor
dank)

Look who's talking now! :)
07-03-2005, 17:45 door Anoniem
Door Dr.NO
Door Anoniem
Eerlijk gezegd vraag ik me meer af hoeveel van de
bovenstaande "experts" daadwerkelijk het rapport eerst heeft
gelezen voordat hij/zij z'n smoel open trekt.
gelukkig kom jij met een inhoudelijke reactie (waarvoor
dank)
Ik proef een heerlijk scherp cynisme ;)
07-03-2005, 21:07 door Anoniem
Door Anoniem
Dat is wat ik me nu afvraag.
Eddee
Ik vroeg me al af wat jij je eigenlijk afvroeg!
07-03-2005, 21:36 door Chip Zero
Beetje een gemis dat er in het artikel geen woord over proxy servers staat...
Met een proxy ben je net zo anoniem als vroeger: je 'adversary' ziet de
clockskew van de proxy server...
07-03-2005, 23:07 door Anoniem
Door Chip Zero
Beetje een gemis dat er in het artikel geen woord over proxy
servers staat...
Met een proxy ben je net zo anoniem als vroeger: je
'adversary' ziet de
clockskew van de proxy server...
Anonimiteit is niet het probleem maar de mogelijkheid vrij
goed te kunnen bepalen wat een systeem gebruikt dat door
kwaadwillenden kan worden ingezet om een uitgekiende aanval
uit te kunnen voeren.
Voor deze laatste groep is elke bit informatie van
essentieel belang.

En dit is, ter illustratie, in dat licht duidelijk een no-go:

telnet testdomain.tld
Trying 192.168.222.91 ...
Connected to testdomain.tld.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Begrijp je?
Dat gaat precies ook op met fingerprinting.
07-03-2005, 23:25 door Anoniem
Door Chip Zero
Beetje een gemis dat er in het artikel geen woord over proxy servers staat...
Met een proxy ben je net zo anoniem als vroeger: je 'adversary' ziet de
clockskew van de proxy server...

Het lijkt mij inderdaad dat Chip Zero gelijk heeft. Bovendien... Als mensen
écht anoniem willen surfen, is het vast niet moeilijk is om packages
dusdanig te verminken dat je er met geen mogelijkheid nog een relevante
clockSkew uit kunt afleiden. Een proxyServer zou dan een goede optie zijn.
In principe zou de info die de pc verstuurd gebufferd moeten worden. Dit
gaat wel iets ten koste van de verbindingssnelheid. Maarja, je moet er wat
voor overhebben.

Joost
07-03-2005, 23:35 door Anoniem
Door Anoniem
Linux:
echo 0>/proc/sys/net/ipv4/tcp_timestamps

Unix/BSD
sysctl net.inet.tcp.rfc1323=0

Wat nou clock skew? ;)

lol eindelijk iemand die in de juiste richting zoekt ;)

Weer zo'n kutlamer artikel over iets wat al jaren en jaren
bekend was onder de It-specialisten (niet de
mc$e-wannabe-guru's).

Dit artikel kan gewoon de prullenbak in, maar goed, de mass
weet er nu ook van in een meer simpele uitleg ;)
07-03-2005, 23:53 door Anoniem
Door Anoniem
Door Chip Zero
Beetje een gemis dat er in het artikel geen woord over proxy
servers staat...
Met een proxy ben je net zo anoniem als vroeger: je
'adversary' ziet de
clockskew van de proxy server...

Het lijkt mij inderdaad dat Chip Zero gelijk heeft.
Bovendien... Als mensen
écht anoniem willen surfen, is het vast niet moeilijk is om
packages
dusdanig te verminken dat je er met geen mogelijkheid nog
een relevante
clockSkew uit kunt afleiden. Een proxyServer zou dan een
goede optie zijn.
In principe zou de info die de pc verstuurd gebufferd moeten
worden. Dit
gaat wel iets ten koste van de verbindingssnelheid. Maarja,
je moet er wat
voor overhebben.

Joost

Een andere manier is door de packet te laten bewerken
voordat ie de pc uitgaat. Met sommige firewalls is dit
mogelijk, kernel hacks etc. Met een simpele stukje code kun
je zelfs een random gegeven erin zetten.
08-03-2005, 01:13 door Anoniem
De packets zouden dan het best kunnen worden bewerkt nadat ze
het allerlaatste te identificeren stukje hardware van de PC hebben
verlaten. Maar waarmee moet dat dan gedaan worden?

De timestamp was toch voor performanceverbetering? Gaat die er op
achteruit als met de timestamp wordt geknoeid door m' bijvoorbeeld
at random een klein beetje te verhogen of verlagen?

Proxy anonymizers zijn niet handig, ze vallen nog al eens weg, zijn
overbelast of geven vertraging.
08-03-2005, 04:43 door Anoniem
Door AnoniemDe timestamp was toch voor
performanceverbetering?
Dat klopt, kort door de bocht
voor zeer snelle verbindingen.
Gaat die er op achteruit als met de timestamp wordt
geknoeid door m' bijvoorbeeld at random een klein beetje te
verhogen of verlagen?
Niet als je dat allemaal laat
onthouden in een geheugen tezamen met de werkelijk
corresponderende tijd. Je wilt er immers de RTT (Round Trip
Time) uit herleiden om er op te kunnen anticiperen. Je kunt
in wezen voor de buitenwereld volslagen onsamenhangende
bagger verzenden, dat je door de ontvanger terug ge-echo'd
krijgt, zolang jij maar onthoudt waar het voor staat.

Een conversatie met TSopt ziet er alsvolgt uit:
TCP A TCP B

<A,TSval=1,TSecr=120> ------>

<---- <ACK(A),TSval=127,TSecr=1>

<B,TSval=6666,TSecr=127> ------>

<---- <ACK(B),TSval=131,TSecr=6666>

. . . . . . . . . . . . . . . . . . . . . .

<C,TSval=65,TSecr=131> ------>

<---- <ACK(C),TSval=191,TSecr=65>

(etc)

Meer informatie: ftp://ftp.rfc-editor.org/in-notes/rfc1323.txt
08-03-2005, 09:21 door Anoniem
Weer zo'n kutlamer artikel over iets wat al jaren en
jaren
bekend was onder de It-specialisten (niet de
mc$e-wannabe-guru's).

Bedoeld zeker dit:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/03/msg00187.html

Ja jammer dat de media altijd dingen moeten opblazen.
08-03-2005, 09:32 door Anoniem
Eens testen:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCPTcp1323Opts
Type: REG_DWORD
Value: 0 disable RFC 1323
Value: 1 window scale enabled
Value: 2 both options enabled
08-03-2005, 10:11 door Anoniem
Het lijkt inderdaad op een vingerafdruk. Maar net zoals je niet de
vingerafdrukken van iedere burger hebt, kun je dit hooguit als aanvullend
bewijsmateriaal gebruiken als je de computer al op een andere - wellicht
toevallige - manier achterhaald hebt.
08-03-2005, 10:12 door frits danon
Door Anoniem
Eerlijk gezegd vraag ik me meer af hoeveel van de
bovenstaande "experts" daadwerkelijk het rapport eerst heeft
gelezen voordat hij/zij z'n smoel open trekt.
Ik ben nu halverwege met lezen, zo makkelijk is het niet :-), maar het komt
mij voor dat het slechts een kwestie van tijd is (misschien is het er al, zie
de postings hiervoor) voordat er programmaatjes zijn, die deze informatie
in de TCP header zodanig bewerken dat er niets meer uit te halen valt. Net
zo goed als er systeem-identificatie-spoofing mogelijk is, zal dit hiermee
ook mogelijk zijn/worden.
08-03-2005, 10:13 door Anoniem
Tsja, 'tuurlijk is deze manier van fingerprinting te omzeilen als 'ie eenmaal
bekend is. Dat is ook niet de essentie van het artikel. De conclusie die de
schrijvers zelf trekken (maar die niet in het abstract duidelijk staat en
daarom door alle journalisten over het hoofd is gezien) is dat ze uit iets wat
gewoonlijk als 'ruis' wordt gezien zinvolle informatie hebben weten te halen
waarmee een computer geidentificeerd kan worden. Dan kun je natuurlijk
deze bron van informatie weer afsluiten, maar het idee is dat er zeer
waarschijnlijk meer van dit soort mogelijkheden zijn om via ogenschijnlijk
onschuldige aspecten van TCP pakketjes een 'anoniem' geachte computer
te identificeren.
Vergelijk het met het ontdekken van vingerafdrukken in de echte wereld:
voordat werd ontdekt dat die uniek waren zal geen enkele inbreker zich
hebben gerealiseerd dat hij traceerbare informatie achterliet. Nadat dit wel
bekend werd, zijn alle slimme inbrekers natuurlijk handschoenen gaan
dragen. Maar wat blijkt, een aantal jaar later kunnen ze ineens worden
geidentificeerd door een achtergelaten haar of druppeltje bloed, dankzij de
ontdekking van DNA-matching.
De digitale wereld blijkt weer eens te lijken op de echte wereld. 'tuurlijk
waren er vast al langer experts op de hoogte van deze mogelijkheid, maar
het kan natuurlijk geen kwaad als hier wat meer ruchtbaarheid aan wordt
gegeven.
08-03-2005, 11:57 door Chip Zero
Door Anoniem
Anonimiteit is niet het probleem maar de mogelijkheid vrij
goed te kunnen bepalen wat een systeem gebruikt dat door
kwaadwillenden kan worden ingezet om een uitgekiende aanval
uit te kunnen voeren.
Voor deze laatste groep is elke bit informatie van
essentieel belang.

En dit is, ter illustratie, in dat licht duidelijk een no-go:

telnet testdomain.tld
Trying 192.168.222.91 ...
Connected to testdomain.tld.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Begrijp je?
Dat gaat precies ook op met fingerprinting.
Dat is slechts een van de mogelijkheden met fingerprinting. En bovendien weinig toepasbaar met deze techniek alleen. Waar ik dus aan denk, alsook vele gebruikers die iets te verbergen hebben voor opsporingsambtenaren of nieuwsgierige ISP's (veelvuldig genoemd in artikel), is anonimiteit. En met de al-oude proxy server die anonimiteit zou moeten bieden, blijft deze dus garant ondanks deze (al dan niet) nieuwe vondst. Dus zelfs zonder dat je speciale software (patches) nodig hebt was hier al een oplossing voor beschikbaar.

...

Begrijp je?
08-03-2005, 14:07 door Anoniem
Door Chip Zero
Door Anoniem
Anonimiteit is niet het probleem maar de mogelijkheid vrij
goed te kunnen bepalen wat een systeem gebruikt dat door
kwaadwillenden kan worden ingezet om een uitgekiende aanval
uit te kunnen voeren.
Voor deze laatste groep is elke bit informatie van
essentieel belang.

En dit is, ter illustratie, in dat licht duidelijk een no-go:

telnet testdomain.tld
Trying 192.168.222.91 ...
Connected to testdomain.tld.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Begrijp je?
Dat gaat precies ook op met fingerprinting.
Dat is slechts een van de mogelijkheden met fingerprinting.
En bovendien weinig toepasbaar met deze techniek
alleen.
Fingerprinting d.m.v. timestamps is een vaak
toegepaste methode om te achterhalen welk systeem en soms
welke versie in gebruik is. De toepasbaarheid heeft zich wel
bewezen. Het blijkt slechts een van de mogelijkheden te zijn
die je er mee hebt.
Waar ik dus aan denk, alsook vele gebruikers die iets
te verbergen hebben voor opsporingsambtenaren of
nieuwsgierige ISP's (veelvuldig genoemd in artikel), is
anonimiteit. En met de al-oude proxy server die anonimiteit
zou moeten bieden, blijft deze dus garant ondanks deze (al
dan niet) nieuwe vondst. Dus zelfs zonder dat je speciale
software (patches) nodig hebt was hier al een oplossing voor
beschikbaar.
Dat begrijp ik, zijnde een ander aspect,
denk ik inderdaad niet in die termen. Wie trouwens wat te
verbergen heeft voor nieuwsgierige ISP's heeft een
broertje-dood aan proxy's, die ISP zit er immers vóór. Wie
wat te verbergen heeft in het kader van opsporing kan beter
niets communiceren en geen internet nemen: proxy's hoesten
desgevraagt mooie logs op. Sorry als dat mensen zenuwachtig
maakt :)
09-03-2005, 14:18 door Chip Zero
En daar heb je het al... kopje in de Metro
(http://www.metropoint.com/ftp/20050309_1000001.pdf) "Anoniem
websurfen kan straks niet meer". *sigh* Zo fout op zo veel manieren...
09-03-2005, 15:32 door SirDice
Ken je dat geintje wat we vroeger wel eens moesten doen?

Iemand vertelt een klein verhaaltje aan diegene die links zit. Die vertelt
daarna dat verhaaltje weer aan z'n linker buurman etc. Aan het eind is er
niets meer van het originele verhaal over. Zo gaat het ook met dit soort
berichten.
09-03-2005, 19:41 door Chip Zero
"Purple monkey dishwasher" :)
14-03-2005, 01:43 door spatieman
zet een linux doos neer met squid, laat alle machines in de
lan via squid gaat, uitvogelen hoeveel erachter de cache
zitten ,wordt al moeilijker dan..

en als je die cache nog eens een andere squid laat connecten
zien ze maar 1 pc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.