Wie man Computer übers Internet identifiziert

Transkript

1 Remote Physical Device Fingerprinting Wie man Computer übers Internet identifiziert ein Vortrag von Cyrus Massoumi und Johannes Zschoche Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

2 Gliederung Zeitdarstellung und Zeitabweichungen in Computersystemen Kurzer Überblick über das Network Time Protocol Identifizierung von Computern anhand von Zeitabweichungen Der Zeitstempel des TCP/IP-Stacks Vorgehensweise und Praktische Anwendung Unterschiede bei virtuellen Maschinen Auswirkungen der Technik Wie kann man sich schützen Aktuelle Grenzen des Verfahrens Zusammenfassung 2

3 Computerzeit Die Zeit in einem Computer wird durch eine Quarzuhr gemessen Eine Quarzuhr enthält einen Zähler und einen Taktgeber, der in einer bestimmten Frequenz elektrische Impulse von sich gibt Der Zähler wird bei jedem Takt des Frequenzgebers erhöht Quarzuhren haben fertigungsbedingt eine Genauigkeit von +/ Sekunden im Monat 3

4 Zeitabweichungen Keine zwei Computer sind völlig identisch Selbst unter baugleichen Geräten gibt es minimale Unterschiede Diese Unterschiede sind die individuellen Abweichungen von der echten Zeit Die echte Zeit entspricht der Systemzeit des jeweiligen Computers Die individuellen Zeitabweichungen werden Clock Skews genannt 4

5 Network Time Protocol Das Network Time Protocol (NTP) ist ein Standard zur Synchronisation von Uhren in Computersystemen über das lokale Netzwerk oder das Internet NTP kann die lokale Zeit über das Internet mit einer Genauigkeit von 10 Millisekunden abgleichen, im lokalen Netzwerk sind unter optimalen Umständen Genauigkeiten von 200 Mikrosekunden möglich Durch den Einsatz von NTP wird versucht die Clock Skews zu minimieren 5

6 Identifizierung Clock Skews lassen sich über das Internet ermitteln Dies kann zur unbemerkten Identifikation von Rechnern ausgenutzt werden Die Bestimmung der Clock Skews funktioniert ohne Modifikationen des Betriebssystems Sie ist mit allen gängigen Betriebsystemen (Windows, Linux, MacOS, usw.) möglich 6

7 Zeitstempel Die Grundlage der Messungen liefern die Implementierungen des TCP/IP-Stacks mit der TCP-Option Timestamp Der Timestamp-Parameter ist eine virtuelle Uhr, die annähernd proportional zur Systemzeit ist Es wird nicht verlangt, dass der Timestamp und die Systemuhr abgeglichen werden 7

8 Zeitstempel Die Timestamp-Option wird von allen gängigen Betriebssystemen von Haus aus eingeschaltet Die Timestamp-Uhr ändert sich nicht, wenn die Systemuhr über NTP abgeglichen wird Sie wird von den meisten Betriebssystemen nach einem Neustart auf Null gesetzt und gibt dann die Zeit seit dem letzten Neustart in Millisekunden an 8

9 Vorgehensweise An einen beliebigen Computer werden TCP-Pakete mit aktivierter Timestamp- Option geschickt Der Empfänger liefert zu jedem TCP-Paket seine eigene Timestamp und die des Senders zurück Von diesen beiden Timestamps bildet man die Differenz Die Zeitabweichungen sind weitesgehend konstant 9

10 Praktische Anwendung Der Sender schickt alle 60 Sekunden ein Paket an ping -tcp-timestamp -i Der Sender schickt seine eigene Systemzeit und seinen Zeitstempel mit 09:15: Timestamp Der Zielrechner stellt den Timestamp des Senders seinem eigenen voran Timestamp

11 Clock Skews Die Grafik zeigt 69 baugleiche Computer die unter Windows XP laufen und über einen Zeitraum von mindestens 4 tagen (96 Stunden) untersucht wurden. Bildquelle: 11

12 Virtuelle Maschinen Virtuelle Maschinen liefern keine konstanten Zeitabweichungen Somit lassen sich so genannte Honigtöpfe enttarnen Ein einzelner Rechner simuliert mehrere virtuelle Rechner als ein Honeynet Anhand der unregelmäßigen Zeitabweichungen kann man virtuelle Maschinen erkennen 12

13 Virtuelle Maschinen VMWare Installation auf Redhat Linux. Die Grafik zeigt 5 Installationen von Redhat Linux. Die 5 virtuellen Maschinen haben keine konstanten Zeitabweichungen. Bildquelle: 13

14 Auswirkungen Einmal identifizierte Computer lassen sich durch die konstanten Zeitabweichung nach unbestimmten Offline-Zeiten wiedererkennen In der Computerforensik kann das Verfahren dazu dienen, den Verdacht der Beteiligung eines Rechners an einem Angriff zu beweisen oder zu entkräften 14

15 Gegenmaßnahmen Eine Möglichkeit wäre die Abschaltung des Timestamp-Parameters Dadurch wird die Leistung des TCP/IP- Stacks jedoch unnötig beeinträchtigt und man verstößt außerdem gegen die RFC- Empfehlung Eine weitere Möglichkeit wäre die Anpassung der Timestamp-Uhr bei einem Zeitabgleich über NTP Dies ist jedoch unwahrscheinlich, da es Änderungen am TCP-Stack erfordert 15

16 Grenzen Mit der derzeitigen Technik ist es nicht möglich einen Computer unter abertausenden zu finden Je mehr Computer man betrachtet, deso größer ist die Wahrscheinlichkeit, dass zwei Computer eine fast identische Zeitabweichung haben Je größer die Anzahl der Rechner, desto größer muss auch der Beobachtungszeitraum sein 16

17 Zusammenfassung Die Technik des Remote Physical Device Fingerprintings nutzt die Tatsache aus, dass heutige Computersysteme sehr kleine, messbare Zeitabweichungen haben Es ist unwahrscheinlich, dass Clock Skews in Zukunft komplett verschwinden werden, da sich die Ungenauigkeit in den Quarzen der Uhren nicht einfach abstellen lässt Neuere Version des TCP-Protokolls sollten Änderungen der Timestamp-Option in Betracht ziehen 17

18 Quellenangaben Christian Perst Unbemerktes Ausspähen c't Ausgabe Tadayoshi Kohno, Andre Broido & K.C. Claffa Remote physical Device fingerprinting Wikipedia Echtzeituhr V. Jacobson, R. Braden & D. Borman TCP Extensions for High Performence Wikipedia Network Time Protocol 18