Dat vereist dus dat de clock skew in combinatie met het OS een unieke
combinatie moet zijn. Ben benieuwd hoe nauwkeurig je dan moet gaan
meten...

Ze geven zelf al aan dat het niet een absolute identificatie oplevert. In het
abstract staat: "tracking, with some probability, a physical device ". Dan kan
het dus hooguit gebruikt worden als indirect bewijs.
Heerlijk hoe makers van krantenkoppen dit soort onderzoek altijd weer
weten aan te dikken.

Waar deze techniek natuurlijk wel nuttig voor is, is om ISPs te laten
bepalen hoeveel verschillende computers iemand aan zijn thuisnetwerkje
heeft hangen (vooral interessant voor ISPs die hun gebruikers verbieden
een thuisnetwerk te gebruiken maar tot nu toe geen mogelijkheid hadden
dit te controleren).

Verder is nog maar de vraag hoe moeilijk het is om je PC een andere
fingerprint te geven. Misschien kan dat zelfs softwarematig?

Ben nu de paper aan het lezen, maar ik moet het nog 3x lezen
denk ik om het compleet te snappen! ;-)
Knap spul. En ook weer samen gedaan met k. claffy, bekend
van Squid, forensics, etc,etc.
Dit kan echt GROOT worden!

Nessus doet ook TCPIP fingerprinting .. what's new?

Voor Windows 2000 en XP maken ze gebruik van een fout / truc, de
pakketten die van deze OSsen afkomen, hebben geen timing info,
maar als er van RFC 1323 afwijkende pakketten worden
teruggestuurd
gaat Windows TCP stack ze toch genereren, misschien kan
iemand testen
of je met http://support.microsoft.com/kb/q224829/ het toch
gegearandeerd
uit kan zetten, (of anders een security bug by MS loggen)
groetjes, H.

Nieuw is het niet. Maar het was me allang duidelijk dat "anoniem" surfen
eigenlijk al jaren achterhaald moest zijn.

Bestaan dit soort ISP's? Wat heeft een ISP nou met mijn thuisnetwerk te
maken?!

ach, met een anonieme proxy wordt die fingerprinting toch
weer gestopt.

Zou een Vmware sessie vanuit je computer de hardware
kenmerken van het apparaat waar je mee aan het werken bent
veranderen? Dat is wat ik me nu afvraag.

Eddee

Ach, Voor je het weet is er weer iets nieuws bedacht.
Het is een hele klus om dat allemaal te volgen en op te lossen.
Je krijgt er zo langzamerhand een dag/nacht taak aan.
Groeten, en maar er flink gebruik van zou ik zeggen.

nu hoor je het niet zo veel meer, maar toen de kabel net op
kwam stond er bij bijna alle isp's in de voorwaarden dat je
1) geen services mocht draaien (web/mail/ftp/etc) en 2) geen
netwerk mocht aanleggen (via welke anderen ook op internet
konden). Dit is ook een van de redenen dat ze een
studentenhuis niet willen aanleggen. (alhoewel de hoge
verhuissnelheid een nog grotere is). Vaak werd het echter
wel gedoogd, en langzamerhand hoor je er niets meer van. Zou
echter nog best kunnen dat jouw isp het officieel ook niet
toe laat, maar dat kan je in je voorwaarden nalezen.

De manier waarop dat gebeurd.

Linux:
echo 0>/proc/sys/net/ipv4/tcp_timestamps

Unix/BSD
sysctl net.inet.tcp.rfc1323=0

Wat nou clock skew? ;)

Eerlijk gezegd vraag ik me meer af hoeveel van de
bovenstaande "experts" daadwerkelijk het rapport eerst heeft
gelezen voordat hij/zij z'n smoel open trekt.

gelukkig kom jij met een inhoudelijke reactie (waarvoor dank)

Look who's talking now! :)

Ik proef een heerlijk scherp cynisme ;)

Ik vroeg me al af wat jij je eigenlijk afvroeg!

Beetje een gemis dat er in het artikel geen woord over proxy servers staat...
Met een proxy ben je net zo anoniem als vroeger: je 'adversary' ziet de
clockskew van de proxy server...

Anonimiteit is niet het probleem maar de mogelijkheid vrij
goed te kunnen bepalen wat een systeem gebruikt dat door
kwaadwillenden kan worden ingezet om een uitgekiende aanval
uit te kunnen voeren.
Voor deze laatste groep is elke bit informatie van
essentieel belang.

En dit is, ter illustratie, in dat licht duidelijk een no-go:

telnet testdomain.tld
Trying 192.168.222.91 ...
Connected to testdomain.tld.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Begrijp je?
Dat gaat precies ook op met fingerprinting.

Het lijkt mij inderdaad dat Chip Zero gelijk heeft. Bovendien... Als mensen
écht anoniem willen surfen, is het vast niet moeilijk is om packages
dusdanig te verminken dat je er met geen mogelijkheid nog een relevante
clockSkew uit kunt afleiden. Een proxyServer zou dan een goede optie zijn.
In principe zou de info die de pc verstuurd gebufferd moeten worden. Dit
gaat wel iets ten koste van de verbindingssnelheid. Maarja, je moet er wat
voor overhebben.

Joost

lol eindelijk iemand die in de juiste richting zoekt ;)

Weer zo'n kutlamer artikel over iets wat al jaren en jaren
bekend was onder de It-specialisten (niet de
mc$e-wannabe-guru's).

Dit artikel kan gewoon de prullenbak in, maar goed, de mass
weet er nu ook van in een meer simpele uitleg ;)

Een andere manier is door de packet te laten bewerken
voordat ie de pc uitgaat. Met sommige firewalls is dit
mogelijk, kernel hacks etc. Met een simpele stukje code kun
je zelfs een random gegeven erin zetten.

De packets zouden dan het best kunnen worden bewerkt nadat ze
het allerlaatste te identificeren stukje hardware van de PC hebben
verlaten. Maar waarmee moet dat dan gedaan worden?

De timestamp was toch voor performanceverbetering? Gaat die er op
achteruit als met de timestamp wordt geknoeid door m' bijvoorbeeld
at random een klein beetje te verhogen of verlagen?

Proxy anonymizers zijn niet handig, ze vallen nog al eens weg, zijn
overbelast of geven vertraging.

Dat klopt, kort door de bocht
voor zeer snelle verbindingen.
Niet als je dat allemaal laat
onthouden in een geheugen tezamen met de werkelijk
corresponderende tijd. Je wilt er immers de RTT (Round Trip
Time) uit herleiden om er op te kunnen anticiperen. Je kunt
in wezen voor de buitenwereld volslagen onsamenhangende
bagger verzenden, dat je door de ontvanger terug ge-echo'd
krijgt, zolang jij maar onthoudt waar het voor staat.

Een conversatie met TSopt ziet er alsvolgt uit:
TCP A TCP B

<A,TSval=1,TSecr=120> ------>

<---- <ACK(A),TSval=127,TSecr=1>

<B,TSval=6666,TSecr=127> ------>

<---- <ACK(B),TSval=131,TSecr=6666>

. . . . . . . . . . . . . . . . . . . . . .

<C,TSval=65,TSecr=131> ------>

<---- <ACK(C),TSval=191,TSecr=65>

(etc)

Meer informatie: ftp://ftp.rfc-editor.org/in-notes/rfc1323.txt

Bedoeld zeker dit:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/03/msg00187.html

Ja jammer dat de media altijd dingen moeten opblazen.

Eens testen:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCPTcp1323Opts
Type: REG_DWORD
Value: 0 disable RFC 1323
Value: 1 window scale enabled
Value: 2 both options enabled

Het lijkt inderdaad op een vingerafdruk. Maar net zoals je niet de
vingerafdrukken van iedere burger hebt, kun je dit hooguit als aanvullend
bewijsmateriaal gebruiken als je de computer al op een andere - wellicht
toevallige - manier achterhaald hebt.

Ik ben nu halverwege met lezen, zo makkelijk is het niet :-), maar het komt
mij voor dat het slechts een kwestie van tijd is (misschien is het er al, zie
de postings hiervoor) voordat er programmaatjes zijn, die deze informatie
in de TCP header zodanig bewerken dat er niets meer uit te halen valt. Net
zo goed als er systeem-identificatie-spoofing mogelijk is, zal dit hiermee
ook mogelijk zijn/worden.

Tsja, 'tuurlijk is deze manier van fingerprinting te omzeilen als 'ie eenmaal
bekend is. Dat is ook niet de essentie van het artikel. De conclusie die de
schrijvers zelf trekken (maar die niet in het abstract duidelijk staat en
daarom door alle journalisten over het hoofd is gezien) is dat ze uit iets wat
gewoonlijk als 'ruis' wordt gezien zinvolle informatie hebben weten te halen
waarmee een computer geidentificeerd kan worden. Dan kun je natuurlijk
deze bron van informatie weer afsluiten, maar het idee is dat er zeer
waarschijnlijk meer van dit soort mogelijkheden zijn om via ogenschijnlijk
onschuldige aspecten van TCP pakketjes een 'anoniem' geachte computer
te identificeren.
Vergelijk het met het ontdekken van vingerafdrukken in de echte wereld:
voordat werd ontdekt dat die uniek waren zal geen enkele inbreker zich
hebben gerealiseerd dat hij traceerbare informatie achterliet. Nadat dit wel
bekend werd, zijn alle slimme inbrekers natuurlijk handschoenen gaan
dragen. Maar wat blijkt, een aantal jaar later kunnen ze ineens worden
geidentificeerd door een achtergelaten haar of druppeltje bloed, dankzij de
ontdekking van DNA-matching.
De digitale wereld blijkt weer eens te lijken op de echte wereld. 'tuurlijk
waren er vast al langer experts op de hoogte van deze mogelijkheid, maar
het kan natuurlijk geen kwaad als hier wat meer ruchtbaarheid aan wordt
gegeven.

Dat is slechts een van de mogelijkheden met fingerprinting. En bovendien weinig toepasbaar met deze techniek alleen. Waar ik dus aan denk, alsook vele gebruikers die iets te verbergen hebben voor opsporingsambtenaren of nieuwsgierige ISP's (veelvuldig genoemd in artikel), is anonimiteit. En met de al-oude proxy server die anonimiteit zou moeten bieden, blijft deze dus garant ondanks deze (al dan niet) nieuwe vondst. Dus zelfs zonder dat je speciale software (patches) nodig hebt was hier al een oplossing voor beschikbaar.

...

Begrijp je?

Fingerprinting d.m.v. timestamps is een vaak
toegepaste methode om te achterhalen welk systeem en soms
welke versie in gebruik is. De toepasbaarheid heeft zich wel
bewezen. Het blijkt slechts een van de mogelijkheden te zijn
die je er mee hebt.
Dat begrijp ik, zijnde een ander aspect,
denk ik inderdaad niet in die termen. Wie trouwens wat te
verbergen heeft voor nieuwsgierige ISP's heeft een
broertje-dood aan proxy's, die ISP zit er immers vóór. Wie
wat te verbergen heeft in het kader van opsporing kan beter
niets communiceren en geen internet nemen: proxy's hoesten
desgevraagt mooie logs op. Sorry als dat mensen zenuwachtig
maakt :)

En daar heb je het al... kopje in de Metro
(http://www.metropoint.com/ftp/20050309_1000001.pdf) "Anoniem
websurfen kan straks niet meer". *sigh* Zo fout op zo veel manieren...

Ken je dat geintje wat we vroeger wel eens moesten doen?

Iemand vertelt een klein verhaaltje aan diegene die links zit. Die vertelt
daarna dat verhaaltje weer aan z'n linker buurman etc. Aan het eind is er
niets meer van het originele verhaal over. Zo gaat het ook met dit soort
berichten.

"Purple monkey dishwasher" :)

zet een linux doos neer met squid, laat alle machines in de
lan via squid gaat, uitvogelen hoeveel erachter de cache
zitten ,wordt al moeilijker dan..

en als je die cache nog eens een andere squid laat connecten
zien ze maar 1 pc.