Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

Iedere pc op internet valt te achterhalen

Rob (R@b)

kachelpieper en Nononono hadden ons via de nieuws-submit te melden:

Tadayoshi Kohno (aka Yoshi Kohno)

Een student aan de universiteit van Californië heeft een manier gevonden waarmee hij iedere computer op het internet kan identificeren. Ook pc's die achter een zogenaamde NAT-netwerk (network address translation) zitten en pc's met een wisselend ip-adres kunnen worden geïdentificeerd. Op deze manier kunnen anonieme internetters worden ontmaskerd.

De student in kwestie, Tadayoshi Kohno, zegt dat er een aantal methoden zijn om van afstand een besturingssysteem te 'fingerprinten'. Bij de fingerprinting-techniek wordt informatie in de TCP (transmission control protocol) headers gebruikt om de "clock skew" van een computer te bepalen, die door kleine afwijkingen in de hardware veroorzaakt wordt. De techniek werkt zelfs als een computer duizenden kilometers ver weg is, er meerdere hops zich tussen het meetapparaat en de computer bevinden en is niet afhankelijk van de technologie waarmee verbinding met het internet gemaakt wordt, zo schrijft Security.nl.

De student heeft zijn methode met succes getest op besturingssystemen als Windows XP en 2000, Mac OS X Panther, Red Hat, Debian Linux, FreeBSD, OpenBSD en Windows Pocket pc 2002.

-
Meer op Caida.org.

Help ons; deel dit item als je het leuk vond

Heb je een leuk of interessant bericht gevonden dat je graag op FOK! terug ziet? Tip ons dan via de submit!

Zoek jij altijd de leukste nieuwtjes en kun je daar leuk over schrijven? Meld je aan als nieuwsposter!

77 reacties

Reactiepagina:

1 2

dinsdag 8 maart 2005, 10:06 uur #1

Cerby

Om je dood te lachen!!

gelukkig staat windows ME er niet tussen foto

dinsdag 8 maart 2005, 10:07 uur #2

draaier

Knap van die jongen btw wist niet dat er zoveel besturingssystemen bestaan. foto

dinsdag 8 maart 2005, 10:07 uur #3

Pim_In_Memoriam

Het lijkt inderdaad op een vingerafdruk. Maar net zoals je niet de vingerafdrukken van iedere burger hebt, kun je dit hooguit als aanvullend bewijsmateriaal gebruiken als je de computer al op een andere - wellicht toevallige - manier achterhaald hebt.

dinsdag 8 maart 2005, 10:07 uur #4

hirihiri123

vrouwtje

Moeten wij als pc gebruikers BLIJ mee zijn ? Ik vind het trouwens wel een knap staaltje werk van die knaap. foto

dinsdag 8 maart 2005, 10:08 uur #5

Dickjeh

woei, dat is best interessant.
Zowel voor hackers als voor de mensen die ze opsporen foto
Hackers kunnen met zulke info namelijk een stuk makkelijker een systeem hacken,
en hun opspoorders vervolgens hen traceren.

Al zal het me niets verbazen als er binnen x weken een packet-modifier patch oid uitkomt,
waardoor de techniek niet meer werkt.

*wacht op nieuwe nmap versie foto *

dinsdag 8 maart 2005, 10:09 uur #6

Aka-Zigor

Ga ik me lekker niet druk om maken, ik doe niets verkeerds op mijn pc'tje. Zou wel weer een doorbraak kunnen betekenen bij bv. bestrijding van terrorisme (in ieder geval kan de regering dat goed gebruiken als smoes).

dinsdag 8 maart 2005, 10:09 uur #7

Thucydides

Leuk gedaan door die student, maar of we hier nu blij mee moeten zijn? In ieder geval erg interessant voor de mensen die hard werken aan de Big Brother-samenleving. foto

dinsdag 8 maart 2005, 10:10 uur #8

welck

Music, Video & Art

Ha ha, behalve met AmigaOS! Als iemand die dan nog gebruikt dan. foto

dinsdag 8 maart 2005, 10:10 uur #9

warbringer

King of the land!

Dos 6.22 , windows 3.11, win95, win98 staan er ook niet tussen maar waarschijnlijk lukt het daar ook wel mee.

Wel knap trouwens om zoiets te ontdekken.. ik ben alleen benieuwd wat er gebeurd als je 2 dezelfde machines hebt met dezelfde hardware?

Pak een multinational bedrijf dat achter 1 gemeenschappelijke firewall en 3000 dezelfde IBM machines heeft staan.. Is het dan nog steeds te achterhalen?

I plan on living forever, so far.. so good.

dinsdag 8 maart 2005, 10:10 uur #10

Burning_RefleX

quote:
Op dinsdag 8 maart 2005 10:07 schreef draaier het volgende:
Knap van die jongen btw wist niet dat er zoveel besturingssystemen bestaan. foto

dit is niet een 10% van alle besturingssystemen foto

Dit is eigenlijk best wel handig voor verspreiders van bv. kinderporno enzo.

dinsdag 8 maart 2005, 10:11 uur #11

Fluwijn

Boekiemonster

Uh-oh...toch m'n upl.oads maar ff uitzetten foto

dinsdag 8 maart 2005, 10:12 uur #12

Bensel

Ladderzat

Er is alleen 1 probleem die ik zie: het gebruikt TCP/IP.. Dus een ander protocol, en dan is het weer niet te traceren...

For every fact, there is an equal and opposite opinion.
Twitch.tv/bensel15

dinsdag 8 maart 2005, 10:14 uur #13

sop

ahum

Uhm... identificeren is niet hetzelfde als traceren.

dinsdag 8 maart 2005, 10:15 uur #14

The_Matrix

Hallo ?! Leest iemand tegenwoordig nog de bron voordat er wat geplaatst wordt of gaan we voor de sensatie berichten? Dit is oud nieuws en er valt geen zak te tracen (hoogstens voor isp of iemand meedere PC's gebruikt achter zijn modem). En met een getunde-linux of een proxyserver werkt het al helemaal niet meer...

dinsdag 8 maart 2005, 10:18 uur #15

Demonizer

Tik voor de gein eens "finger"in bij google... foto

dinsdag 8 maart 2005, 10:18 uur #16

Yekx

it's a mystery

Andere hardware of internetcafe en je bent weer anoniem...

All are lunatics, but he who can analyze his delusion is called a philosopher.

dinsdag 8 maart 2005, 10:19 uur #17

Croga

quote:
Er is alleen 1 probleem die ik zie: het gebruikt TCP/IP.. Dus een ander protocol, en dan is het weer niet te traceren...

Maar aangezien Internet volledig op TCP/IP draait, kun je geen ander protocol gebruiken....... foto

dinsdag 8 maart 2005, 10:19 uur #18

pietjeaap

maar aangezien iedereen op internet TCP/IP gebruikt is dat bniet zo'n groot probleem.

Overigens kun je hiermee niet systeemen aan de andere kant van de wereld uniek identificeren. Je kan echter wel vast stellen of een systeem GEEN toegang heeft gehad tot een ander systeem. Door in de log te kijken, en de fingerprint staat er niet tuyssen, dan weet je 100% zeker dat het systeem geen toegang heeft gehad. Staat de fingerprint er wel tussen, dan kan het systeem toegang hebben gehad, maar dat is niet 100% zeker.

dinsdag 8 maart 2005, 10:20 uur #19

alien8ed

ignorance is bliss

Op zich wel goed bedacht, maar ik gok dat er zeer spoedig een tooltje of desnoods een box uitkomt dat je TCP/IP signaal afvangt, de headers aanpast naar een anonymous header en weer doorgooit.
Supersimpel om met C++ of C## een NIC op het laagste niveau te beinvloeden, dus ook afvangen, headers editen en doorzenden moet kunnen.

Dus het feestje bij de FBI zal van korte duur zijn foto

hak hout, haal water
Transhumanist, Piraat

dinsdag 8 maart 2005, 10:21 uur #20

Anlock_Distronix

Komkommerschillen

quote:
Op dinsdag 8 maart 2005 10:10 schreef warbringer het volgende:
Wel knap trouwens om zoiets te ontdekken.. ik ben alleen benieuwd wat er gebeurd als je 2 dezelfde machines hebt met dezelfde hardware?

Pak een multinational bedrijf dat achter 1 gemeenschappelijke firewall en 3000 dezelfde IBM machines heeft staan.. Is het dan nog steeds te achterhalen?

De situatie die je schetst is onmogelijk. De afwijkingen in die packets worden veroorzaakt door verschillen in hardware. Dat kan al een processorpad zijn wat 0.0002 micron afwijkt van het pad van eenzelfde processor. Geen enkele chip is volledig identiek, en daar gaat deze werkwijze vanuit.

Verder is idd de gemeenschappelijke deler TCP/IP. En laat daar nou 98% van de pc's thuis mee communiceren. Alleen oude Apple's (of nieuwere apple's van applefreaks foto) lopen op bijv Appletalk. Ook grotere systemen bij bedrijven gebruiken vaker andere protocols, maar ik denk niet dat deze techniek gebruikt gaat worden om bedrijven te identificeren...

"Computer games don't affect kids; I mean if PacMan affected us as kids, we'd all be running around in darkened rooms, munching magic pills and listening to repetitive electronic music." - Kristian Wilson, Nintendo, Inc, 1989

dinsdag 8 maart 2005, 10:22 uur #21

Jace_TBL

Hoezo "valt te achterhalen" en anonieme internetters "ontmakseren" foto
Dan weet je dat iemand met 194.109.58.76 eigenlijk 192.168.0.12 is, en dan? Je hebt niet zijn naam of adres ofzo foto

Bovendien: proxies... foto

Hi, I'm a signature virus, put me in your signature to help me spread :)

dinsdag 8 maart 2005, 10:22 uur #22

beavis2050

quote:
Op dinsdag 8 maart 2005 10:20 schreef alien8ed het volgende:
Op zich wel goed bedacht, maar ik gok dat er zeer spoedig een tooltje of desnoods een box uitkomt dat je TCP/IP signaal afvangt, de headers aanpast naar een anonymous header en weer doorgooit.
Supersimpel om met C++ of C## een NIC op het laagste niveau te beinvloeden, dus ook afvangen, headers editen en doorzenden moet kunnen.

Dus het feestje bij de FBI zal van korte duur zijn foto

Met C## is het inderdaad heel makkelijk.

dinsdag 8 maart 2005, 10:24 uur #23

Jace_TBL

quote:
Op dinsdag 8 maart 2005 10:19 schreef Croga het volgende:
Maar aangezien Internet volledig op TCP/IP draait, kun je geen ander protocol gebruiken....... foto

Je server/router/etc kan die TCP/IP packets wel opnieuw "inpakken" en zelf sturen.

Hi, I'm a signature virus, put me in your signature to help me spread :)

dinsdag 8 maart 2005, 10:28 uur #24

alien8ed

ignorance is bliss

quote:
Op dinsdag 8 maart 2005 10:19 schreef Croga het volgende:

[..]

Maar aangezien Internet volledig op TCP/IP draait, kun je geen ander protocol gebruiken....... foto

Maar je kunt nog altijd een andere PC hacken en overnemn, om vanaf die PC verder te hacken.
Dan werk je met zijn PC, dus met zijn fingerprint.
Problem solved.

hak hout, haal water
Transhumanist, Piraat

dinsdag 8 maart 2005, 10:28 uur #25

beany

Qui ni fucis est, penis est

quote:
Op dinsdag 8 maart 2005 10:19 schreef Croga het volgende:

[..]

Maar aangezien Internet volledig op TCP/IP draait, kun je geen ander protocol gebruiken....... foto

dit is niet helemaal waar.... het internet draait volledig op IP. TCP en ook UDP zijn daar weer een laagje bovenop.

Wees niet kritisch, praat met de menigte mee en val vooral niet op, alleen dan ben je welkom...

dinsdag 8 maart 2005, 10:28 uur #26

ViPeRII

It's a good day to die

Feest en als ik nou mijn internet netwerk over IPX laat lopen, met een routing naar TCP/IP? Dan komt hij er vast niet bij! foto

Ik zie trouwens niet er bij staan dat novell netware is geprobeerd :-) foto

-- ViPeRII --

dinsdag 8 maart 2005, 10:31 uur #27

Sakura

Dat is dus voortaan regelmatig je netwerk kaart vervangen foto

Wie is jouw favoriete sprookjesfiguur, Sinterklaas, Hans en Grietje, Roodkapje, of Jezus?

dinsdag 8 maart 2005, 10:31 uur #28

Mrkoen

quote:
Op dinsdag 8 maart 2005 10:12 schreef Bensel het volgende:
Er is alleen 1 probleem die ik zie: het gebruikt TCP/IP.. Dus een ander protocol, en dan is het weer niet te traceren...

Zover ik de paper begrijp maakt het niet zoveel uit of het TCP is of niet. Wel een raar bedachte manier om zoiets te doen. Wat ik verder begrijp is dat als je je PC met regelmaat synchroniseert met een NTP server dat het al iets moeilijker wordt om je te fingerprinten. Toch maar ff doen dan foto

dinsdag 8 maart 2005, 10:42 uur #29

Sybesma

quote:
Op dinsdag 8 maart 2005 10:10 schreef warbringer het volgende:
Wel knap trouwens om zoiets te ontdekken.. ik ben alleen benieuwd wat er gebeurd als je 2 dezelfde machines hebt met dezelfde hardware?

Pak een multinational bedrijf dat achter 1 gemeenschappelijke firewall en 3000 dezelfde IBM machines heeft staan.. Is het dan nog steeds te achterhalen?

2 machines (of meer) met dezelfde hardware bestaat niet. Het MAC Adres van de netwerkkaart is altijd uniek.

dinsdag 8 maart 2005, 10:46 uur #30

Cheese

quote:
Op dinsdag 8 maart 2005 10:42 schreef Sybesma het volgende:

2 machines (of meer) met dezelfde hardware bestaat niet. Het MAC Adres van de netwerkkaart is altijd uniek.

Die kun je met bepaalde software veranderen, no problem.

dinsdag 8 maart 2005, 10:48 uur #31

FendtVario

The leader drives Vario!

Oud nieuws. Deze techniek is een jaar of 2 ook al eens gepubliceerd maar werd toen gebruikt om te tellen hoeveel pc's er in een NAT netwerk stonden. Princiepe komt op hetzelfde neer.

www.fendt.com

dinsdag 8 maart 2005, 10:56 uur #32

Zero2Nine

Fatsoen moet je doen

quote:
Op dinsdag 8 maart 2005 10:42 schreef Sybesma het volgende:

[..]

2 machines (of meer) met dezelfde hardware bestaat niet. Het MAC Adres van de netwerkkaart is altijd uniek.

het gaat neit om het MAC van de hardware (dat is te spoofen ook) maar het gaat om hele kleine afwijkingen. door op zo'n kleine schaal te werken krijg je een soort vingerafdruk want wat iemand al zei uiteindelijk is geen enkele chip echt indentiek aan een andere.het MAC-adress is netzoiets als je sofi-nummer. dit is meer een vingerafdruk. een stuk moeilijker te faken.

Hoewel ik me wel afvraag wat er gebeurt als je op een of andere manier in staat bent de TCP headers aan te passen (als dat mogelijk is, ik weet niet hoe het TCP in detail werkt).

---
And when the leaves fall the land looks more human
it's got me questioning the essence of my farm boy blues
hence, I never wore the fashions of the know-what-I'm-doin'

dinsdag 8 maart 2005, 10:56 uur #33

mschol

quote:
Op dinsdag 8 maart 2005 10:10 schreef warbringer het volgende:
Dos 6.22 , windows 3.11, win95, win98 staan er ook niet tussen maar waarschijnlijk lukt het daar ook wel mee.

Wel knap trouwens om zoiets te ontdekken.. ik ben alleen benieuwd wat er gebeurd als je 2 dezelfde machines hebt met dezelfde hardware?

Pak een multinational bedrijf dat achter 1 gemeenschappelijke firewall en 3000 dezelfde IBM machines heeft staan.. Is het dan nog steeds te achterhalen?

de firewall maakt niks uit, dit staat in het bericht

en de afwijking in de harware is altijd per computer verschillend, ze kunnen nooit 100% hetzelfde zijn

ik vind dit alleen niet bevoordelijk voor de privacy op internet
EN stichtingen als brein etc kunnen op deze manier makkelijk iemand achterhalen (ben er zelf sceptisch over foto )

dinsdag 8 maart 2005, 10:58 uur #34

mschol

quote:
Op dinsdag 8 maart 2005 10:46 schreef Cheese het volgende:

[..]

Die kun je met bepaalde software veranderen, no problem.

maar niet bij alle netwerk kaarten foto

dinsdag 8 maart 2005, 11:02 uur #35

Jace_TBL

quote:
Op dinsdag 8 maart 2005 10:56 schreef mschol het volgende:
ik vind dit alleen niet bevoordelijk voor de privacy op internet
EN stichtingen als brein etc kunnen op deze manier makkelijk iemand achterhalen (ben er zelf sceptisch over foto )

Welnee man, hoe dan! Dan weten ze je interne lan-IP, leuk, en dan? Ze hebben niet ineens je naam en adres hoor.

Hi, I'm a signature virus, put me in your signature to help me spread :)

dinsdag 8 maart 2005, 11:03 uur #36

zomaareennaam

vindt overal wel wat van

Hij kan alleen besturingssysteem en zo zien hoor. Echt niet welke bestanden je op je harde schijf hebt staan.

Dat zal vast ook ooit wel eens komen / hoe goed je ook afschermt er is altijd wel weer een nerd die iets ontdekt om het te omzeilen.

zoekt en gij zult vinden
maar of je het gevondene waardeeert?

dinsdag 8 maart 2005, 11:17 uur #37

jimmydehelle

Wauw .. ik heb toch geen crap op de PC staan waarmee ze iets kunnen, mochten ze dat willen. Maar goed foto

dinsdag 8 maart 2005, 11:23 uur #38

Otmeister

quote:
Bij de fingerprinting-techniek wordt informatie in de TCP (transmission control protocol) headers gebruikt om de "clock skew" van een computer te bepalen, die door kleine afwijkingen in de hardware veroorzaakt wordt.

Aaaah, okee!

foto

dinsdag 8 maart 2005, 11:26 uur #39

Nononono

quote:
Op dinsdag 8 maart 2005 10:56 schreef mschol het volgende:

de firewall maakt niks uit, dit staat in het bericht

en de afwijking in de harware is altijd per computer verschillend, ze kunnen nooit 100% hetzelfde zijn

Je zou wel op firewall-niveau een routine in kunnen bouwen die de timestamps random een tikje aanpast voor ze de deur uitgaan, en zelfs een afwijking kunnen simuleren van een andere machine...

Ik denk trouwens dat oudere machines niet genoemd worden omdat je op oude FAT32 schijven de timestamp niet fijnmazig genoeg kan wegschrijven (max 2-3 sec verschil zelfs), dus zo'n test kun je VANAF zo'n oudere machine in ieder geval niet zinnig runnen.

dinsdag 8 maart 2005, 11:26 uur #40

pberends

OMFG, deze kid moet achter slot en grendel.

dinsdag 8 maart 2005, 11:30 uur #41

Pnieuwkamp

Via de Clock skew van de originele pc? Lijkt me 1 grote dikke hoax...

Clockskew heb je bij parallelle signalen (niet op alle aders komt de data of puls tegelijkertijd aan), en ethernet of een telefoonlijn is serieel.

Daarnaast wordt bij iedere simpele huis-tuin-en-keuken switch store-and-forward gebruikt, wat inhoud dat die switch het pakketje zelf opnieuw verzend en niet slechts 2 fysieke koperspoortjes met elkaar verbind.

Wat dus weer betekend dat een pakketje dat bij hem aankomt al een keer of 10 is gekopieerd (en de oude steeds is 'weggegooid').

De laatste keer dat ik TCP-headers bekeek zat daar nog geen veldje in met daarin de clockskew van de verzender?

dinsdag 8 maart 2005, 11:33 uur #42

Fred

Beroepschagrijn

Lekker belangrijk als ze een nummer van een pc hebben dan weten ze toch nog niks.
Wij rijden ook allemaal met een kenteken op onze auto en daar schijnt ook niemand last van te hebben.

So we just called him Fred

dinsdag 8 maart 2005, 11:37 uur #43

Jo0Lz

Lick the box!

Dit is toch al langer bekend ?
Het enige punt nu is de eigenaar van al die pc's achterhalen foto

 Yes we can! | I didn't fail, it's just postponed success.

dinsdag 8 maart 2005, 11:40 uur #44

klnvntrbyt

Enlighten Me

quote:
Een student aan de universiteit van Californië

"student" moet eigenlijk vervangen worden door "PhD-student" (of door "AIO"), hij is geen studentje die in z'n vrije tijd na z'n colleges die heeft bedacht, dit is blijkbaar (onderdeel van) zijn promotiewerk.

dag OV-kaart, dag studentenleven ;'(
hallo fatsoenlijk onbetaalbaar starters-appartement, hallo lease-auto (met 25% 20% bijtelling...)

dinsdag 8 maart 2005, 11:58 uur #45

bramiozo2002

hup B.U.V.O.V.V. !!!

Hij heeft géén manier gevonden om iedere computer te achterhalen, hij heeft een manier gevonden om een computer waarvan de skew bekend is te identificeren.

if you assume nothing you assume you know everything

dinsdag 8 maart 2005, 12:05 uur #46

Salvad0R

universal

en nog is het in elke situatie een compleet raadsel wie er achter het keyboard zit foto

dinsdag 8 maart 2005, 12:18 uur #47

frutser

quote:
Op dinsdag 8 maart 2005 11:58 schreef bramiozo2002 het volgende:
Hij heeft géén manier gevonden om iedere computer te achterhalen, hij heeft een manier gevonden om een computer waarvan de skew bekend is te identificeren.

En wie zegt dat de skew niet bewust is aangebracht?

dinsdag 8 maart 2005, 12:26 uur #48

KlappernootatWork

Tot mijn strot in het genot..

Ok Tadayoshi Kohno, dan mag je nu direct alle spammers aanpakken.

foto

Shit! werken zuigt...
Op donderdag 22 november 2007 @ 12:42 schreef Neelis het volgende: Rabbelneuteaantwaark ?

dinsdag 8 maart 2005, 12:28 uur #49

typtypo

quote:
Op dinsdag 8 maart 2005 10:09 schreef Aka-Zigor het volgende:
Ga ik me lekker niet druk om maken, ik doe niets verkeerds op mijn pc'tje. Zou wel weer een doorbraak kunnen betekenen bij bv. bestrijding van terrorisme (in ieder geval kan de regering dat goed gebruiken als smoes).

Je zit hier wel op fok.
Dat is dus hartstikke fout !!!

foto

"Britain and France had to choose between war and dishonor. They chose dishonor. They will have war.” Churchill
www.jihadwatch.org

dinsdag 8 maart 2005, 12:30 uur #50

sinisters

patent aanvragen en geld innen. Basta

Reactiepagina:

1 2

Reageer zelf