[Discussie]"Elke pc is te traceren" - mogelijk?

Mogelijk werkbaar.
Geen stunt.
Bullshit @ nu.nl.

Als de behoefte er voor is om iets van persoonlijke users te weten dan zal ik het wel merken.
Vele oplossingen zijn dan denk ik voor handen om dit tegen te gaan.
Maak je niet dik.

En toen ging je online via het onbeveiligde wireless-netwerk van iemand in de buurt (of juist niet)...he, niet meer zo makkelijk te traceren opeens...

Iva_Bigone schreef op maandag 07 maart 2005 @ 11:15:
En toen ging je online via het onbeveiligde wireless-netwerk van iemand in de buurt (of juist niet)...he, niet meer zo makkelijk te traceren opeens...

het hele punt is dat dit nu juist wel mogelijk is.

maaruh, wat is een clock-skew?

het gaat hier niet om traceren als in "ik weet waar je bent" maar het gaat hier om "ik weet wie je bent"..identificeren..

en dat kan, als deze techniek idd werkt, ook met dat wireless netwerkje hoor...het idee is dat je als er een computer pakketjes verzend, je hem kan taggen met een ID die niet veranderd als ik het goed heb...nieuwe hardware elke dag moet dit wel tegengaan, maarja..

verder heb ik niet genoeg gelezen om te besluiten of het nou wel werkt, maar goed, het ziet er niet uit als een hoax...

Het gaat inderdaad om hardware fingerprinting.
hierkee kun je dus zeggen dat gebruikerX een P4 1,6 heeft met 512 mb geheugen en 40 gig harddisk. allemaal herleidbaar uit timingverschillingen in ASICs.

ik het teweinig verstand van asics om er iets nuttigs over te zeggen, maar schijnbaar is dat clock skew nogal een grote design flaw in FPGAs.

maar als ik het goed begrijp moet de gebruiker wel eerst een of andere ntpdate aanvraag doen naar een server lijkt me zo.

het is juist dat die paketjes door mijn firewall heengaan als ik de klok van mijn backend sync, maar het leuke van NAT is dat het niet bestaat totdat ik ergerens een connectie mee maak.
en inderdaad wat dan nog.. dan heb je een lijstje van tig miljoen verschillende waardes.

waar het om gaat is:
wie ben je?
wat doe je?
wat wil je?

het enige waar dit antwoord op geeft is, "ben je er weer?" niks om je zorgen over te maken in mijn ogen. en dan nog, ik vraag me af of deze waardes niet kunnen veranderen als je bijvoorbeeld andere hardware erbij zet, of iets simpeles "harde muziek aan hebt" of de magnetron, waardoor de klok van de pc een beetje ontregeld wordt door EMP.

[ Voor 20% gewijzigd door Madcat op 07-03-2005 11:51 ]

een_madcat schreef op maandag 07 maart 2005 @ 11:48:
maar als ik het goed begrijp moet de gebruiker wel eerst een of andere ntpdate aanvraag doen naar een server lijkt me zo.

het is juist dat die paketjes door mijn firewall heengaan als ik de klok van mijn backend sync, maar het leuke van NAT is dat het niet bestaat totdat ik ergerens een connectie mee maak.
en inderdaad wat dan nog.. dan heb je een lijstje van tig miljoen verschillende waardes.

waar het om gaat is:
wie ben je?
wat doe je?
wat wil je?

het enige waar dit antwoord op geeft is, "ben je er weer?" niks om je zorgen over te maken in mijn ogen. en dan nog, ik vraag me af of deze waardes niet kunnen veranderen als je bijvoorbeeld andere hardware erbij zet, of iets simpeles "harde muziek aan hebt" of de magnetron, waardoor de klok van de pc een beetje ontregeld wordt door EMP.

het heeft niets met ntp pakketjes te maken. Aan waardes binnen de tcp header kan de clockskew afgeleid worden of zoiets.

en voor toepassingen, het lijkt me een effectievere maatregel dan een ip ban oid. zo kun je echt een bepaald systeem de toegang ergens toe weigeren

Dirk-Jan schreef op maandag 07 maart 2005 @ 11:57:
[...]
en voor toepassingen, het lijkt me een effectievere maatregel dan een ip ban oid. zo kun je echt een bepaald systeem de toegang ergens toe weigeren

Nee, je moet verkeer geruimte tijd (meer als minuten) observeren om aan te geven of het van een bepaald systeem komt. Met een ban ben je veel te laat. Ik denk eerder dat het toegepast gaat worden om anonieme gebruikers die al verdacht zijn ebter te identificeren. B.v. iemand doet iets fout (fraude ofzo) maar logt in met zijn laptop in een internet cafee. Later kun je (voor 95%) aantonen dat het verkeer dat verzonden is overeenkomt met de parameters van zijn laptop.

Maar dat zijn wel CSI achtige technieken, het kan, maar wel tijdsintensief.

/Edit hoe leg je dit in godsnaam aan iemand uit? Nu.nl gaat al kort door de bocht.

[ Voor 5% gewijzigd door leuk_he op 07-03-2005 13:11 ]

Dirk-Jan schreef op maandag 07 maart 2005 @ 11:57:
[...]

het heeft niets met ntp pakketjes te maken. Aan waardes binnen de tcp header kan de clockskew afgeleid worden of zoiets.

Afgezien van het kleine detail dat de TCP, IP noch Ethernet headers ook maar iets van clock- of uberhaupt hardware-related waarden bevatten. Ik heb het PDF'je niet gelezen maar tis hoe dan ook je reinste onzin: al zou je timings van de verzender kunnen fingerprinten, dan nog is die nutteloos voorbij de eerste router omdat die met z'n eigen timings de readout al teveel vervuilt.

[edit]
Okee ik heb de PDF globaal gelezen, en het is geen stunt en wel werkbaar. Echter de vertaling van Nu.nl is wel hopeloze onzin sowieso, en de auteur claimt zelf ook expliciet niet ook maar iets in die richting te kunnen:

For forensics, we anticipate that our techniques will be most useful when arguing that a given device was not involved in a recorded event. With respect to tracking individual devices, we stress that our techniques do not provide unique serial numbers for devices, but that our skew estimates do provide valuable bits of information that, when combined with other sources of information such as operating system fingerprinting results, can help track individual devices on the Internet.

Ergo: als de fingerprint van computer X bekend is, en er vervolgens op server Y geen activiteit heeft plaats gevonden met die fingerprint, is het vrijwel 100% zeker dat computer X geen activiteit naar server Y heeft verricht. Door de wilde inaccuracie is het andersom vrijwel onmogelijk.

Een enkele computer leverde bij de tests waardes op tussen 57.91 en 58.40 met een uitschieter naar 59.6 die je statistisch kunt elimineren. Dat is de orde van grootte van precisie: als er op een server geen activiteit binnen die bandbreedte is geweest is die computer er dus niet geweest: on the other hand is een marge van 0.5 op 60 natuurlijk helder genoeg om te stellen dat 1 op de 100~1000 computers globaal dezelfde fingerprint zal vertonen op korte termijn, en wellicht 1 op ~10000 op lange termijn. In een wereld met meer computers dan mensen (meer dan 6 miljard dus ) is dit natuurlijk allesbehalve een unieke identificatie

[ Voor 58% gewijzigd door curry684 op 07-03-2005 17:09 ]

curry684 schreef op maandag 07 maart 2005 @ 16:44:
[...]

Afgezien van het kleine detail dat de TCP, IP noch Ethernet headers ook maar iets van clock- of uberhaupt hardware-related waarden bevatten.

er wordt verwezen naar rfc 1323 opties. iets dat windows XP/NT ondersteund (volgens een snellle search) (maar windows 95 /98 niet)

daar is een timestamp optie gedefinier (3.2 in rfc 1323 ). Naar die optie wordt volgens mij gewezen om de "time skew" te meten. Het is dus ook niet zo dat er wordt geclaimt ELK tcp/ip apparaat te kunnen timen, alleen "Red Hat 9.0, Debian 3.0, FreeBSD
5.2.1, OpenBSD 3.5, OS X 10.3.5 Panther, Windows XP
SP2, andWindows for Pocket PC 2002 installations." wordt iets voor geclaimt.

Je speedtouch modem, je cisco router en windows 95 en je broodbakapparaat. staan hier dus niet bij.

Move NT > BV

Het is wel werkbaar, maar als ik graag stealthy wil blijven, kan ik ervoor kiezen om uberhaupt geen timestamps mee te sturen met met TCP pakketjes. En zelfs als dat geen optie is kan ik de timings kunstmatig gaan vervalsen door (bijvoorbeeld) random delays in te gaan bouwen.

Palinchron schreef op dinsdag 08 maart 2005 @ 18:38:
Het is wel werkbaar, maar als ik graag stealthy wil blijven, kan ik ervoor kiezen om uberhaupt geen timestamps mee te sturen met met TCP pakketjes.

Lees het document even TCP stuurt standaard geen timestamps, dat doet ie alleen met een extensie van het protocol die je in principe op Win2k/XP niet kunt triggeren, alleen met een 'hack' waarmee je het protocol overtreedt. Je kunt er dus niet voor kiezen, het zit in het protocol zelf waardoor alle hedendaagse TCP-stacks het doen.

curry684 schreef op dinsdag 08 maart 2005 @ 18:45:
[...]

TCP stuurt standaard geen timestamps, dat doet ie alleen met een extensie van het protocol die je in principe op Win2k/XP niet kunt triggeren, alleen met een 'hack' waarmee je het protocol overtreedt.

1. Ik heb niks gezegd over windows.
2. Wat is er mis met hacks?
3. Een ethereal scan van wat netwerkactiviteit op een W2k bak laat niks zien over timestamps...

SysRq schreef op dinsdag 08 maart 2005 @ 20:33:
En dat is nu net wat Curry ook zegt, standaard kun je 2k/XP niet zover krijgen om die timestamps mee te sturen, dus dat zul jij ook niet zien. Pas zodra je die hack zelf toepast kun je de timestamps zien.

Hoe kan een windows bak dan worden geïdentificeerd, als hij geen timestamps meestuurt?

Palinchron schreef op dinsdag 08 maart 2005 @ 21:29:
[...]

Hoe kan een windows bak dan worden geïdentificeerd, als hij geen timestamps meestuurt?

Omdat ie dat door het abusen van het protocol wel timestamps kan sturen

En dan open je een shell sessie naar een andere machine, einde verhaal.
Het klinkt allemaal wel leuk maar het lijkt me niet echt toepasbaar in de praktijk.

curry684 schreef op woensdag 09 maart 2005 @ 00:32:
[...]

Omdat ie dat door het abusen van het protocol wel timestamps kan sturen

Dan maak ik toch een module die juist die timestamp onderdrukt, ook wanneer er specifiek om wordt gevraagd?

Palinchron schreef op woensdag 09 maart 2005 @ 15:58:
[...]


Dan maak ik toch een module die juist die timestamp onderdrukt, ook wanneer er specifiek om wordt gevraagd?

is geloof ik zelfs een registry setting voor. zoek maar

/zie je wel heer tik heeft hem hieronder zo gevonden:

KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
3. In the New Value box, type Tcp1323Opts, press ENTER, and then on the Edit menu, click Modify. Note The valid range is 0,1,2 or 3 where:
0 (disable RFC 1323 options)
1 (window scale enabled only)
2 (timestamps enabled only)
3 (both options enabled)

optie op 1 zetten .. klaar.

[ Voor 42% gewijzigd door leuk_he op 10-03-2005 22:01 ]

Nog makkelijker. Dahag, techniek.

wel zo handig als je even de link meegeeft:
disable timestamping (Tcp1323Opts registrysleutel instelling)