Csapás az internetes anonimitásra – távolról azonosítható PC-k

Tadajosi Kono jelenleg a doktorátusát végzi a Kaliforniai Egyetemen. A kutató elmondása szerint kidolgozott egy olyan eljárást, melynek révén úgy azonosíthatók a számítógépek a távolból, hogy ahhoz hardveres „ujjlenyomatukat” használják csak fel. Mindezt ráadásul úgy, hogy a beazonosításhoz voltaképp nincs is szükség az eszköz „beleegyezésére”, az eljárást anélkül le lehet folytatni, hogy azt a célpont észrevenné. Ezzel számos kémkedési, nyomonkövetési feladat lenne megoldható – például a noteszgépét magával vivő internetezőket bárhol be lehetne azonosítani, amint felcsatlakoznak a Világhálóra. Kono szerint minderre még akkor is lehetőség nyílik, ha NAT-os tűzfal mögött van az eszköz.

A kutató munkája felkeltheti az FBI figyelmét is. Ismeretes, hogy az USA-beli Szövetségi Nyomozóhatóságnak komoly próbálkozásai voltak az internetes adatforgalom, az online kommunikáció megfigyelésére – például a Carnivore szoftverrel. A program csomagelfogó és -elemző eszközként látta meg a világot, ezt az ügynökök már eszközökkel együttesen használták bűnözők, terroristák megfigyelésére. A komplett rendszerrel az e-mailes üzenetek elcsípése mellett olyan feladatokat is képesek vltak megvalósítani az FBI-nál, mint például egy bűnöző által meglátogatott weblap teljes, olyantén való rekonstruálása, ahogyan azt a gyanúsított látta. Használatát mégis felfüggesztették, arra hivatkozva, hogy kereskedelmi forgalomban kapható alkalmazásokkal kiváltható, sőt, hatékonyabb működés érhető el, mint a sok millió dollárért kifejlesztett Carnivore.

Hogyan működik?

Visszatérve a hardverazonosítás technikájára: Kono nagy vonalakban felvázolta, miről is van szó. Eszerint a számítógép hardvereszközeinek mikroszkopikus különbségeit használja ki az azonosítási eljárás, nevezetesen az órajel-eltérések (clock skew) révén válik beazonosíthatóvá a célpont számítógép. A legtöbb modern TCP verem használja az 1323-as RFC-ben leírt TCP időbélyegző opciót; ráadásul ez az információ minden, a számítógépet elhagyó TCP csomag fejlécében megtalálható. Ennek az adatnak a birtokában Kono algoritmusa képes egy eszköz órajel-eltérését megbecsülni, ami viszont minden számítógép esetében más és más – ez pedig voltaképp digitális ujjlenyomatként fogható fel.

Mindez úgy azonosítható be, hogy nem számít, a célpont komputer hány ezer mérföldre vagy mennyi hopra illetve hány milliszekundumra van a vizsgálat helyétől. Kono közölte, hogy állandó eredményeket kaptak vizsgálataik során, amikor a tesztelésben részt vevő számítógép más és más helyről csatlakozott fel, sőt, akkor is stabilan azonosíthatóak voltak a messzi PC-k, amikor a vizsgálatot kezdeményező eszköznél megváltoztatták az Internet-csatlakozás típusát. Ráadásul a kutató eljárásának használatához semmilyen hardveres vagy szoftveres módosítás nem szükségeltetik, a kellő ismeretek birtokában azt bárki bármikor használhatja – legyen akár Windows XP vagy 2000, Mac OS X Párduc, Red Hat vagy Debian Liunx, FreeBSD vagy OpenBSD operációs rendszere (még a Pocket PC-k számára készített Windows-ról is működött Kono eljárása). Mindehhez elegendő csupán egy kis mennyiségű adat, hatalmas forgalom generálásáról szó sincsen.

Persze az órajel-késleltetési anomáliák kihasználása esetén az is fontos szempont, hogy konstans marad-e az eltérés. A kutató beszámolt arról, hogy amikor 69 Windows XP SP1-gyel rendelkező PC-n lefuttatták a tesztet, majd 38 nappal később újra megismételték, továbbra is beazonosíthatók maradtak a számítógépek, mivel az eltérések minden esetben nagyjából változatlanok maradtak.