Pare dni wpadl w moje rece artykul "Remote physical device fingerprinting", ktorego glownym autorem jest T. Kohno.
Tematem jest rozpoznawanie konkretnej maszyny w sieci na podstawie opoznienia zagara. Do tego rozpoznawania uzyta zostala opcja Timestamp TCP.
Wsrod badanych maszyn opoznienia byly stale. Mozliwosc rozpoznawania istnieje, ale... Latwo mozna ja oszukac: wylaczyc ta opcje, uzywac mniejszej rozdzielczosci zegara czy ustawiac czesc bitow znacznika czasu na wartosci losowe.
Nie jest tak, ze praca ta oznacza koniec prywatnosci (jak sugeruje artukul na zdnet). Pomysl wydaje mi sie ciekawy, ale niezbyt nadajacy sie do wykorzystania, szczegolnie jesli sledzonych maszyn mialoby byc bardzo duzo. Duzo ciekawszym (i co wiecej praktycznym) wykorzystaniem tej techniki jest wykrywanie wielu komputerow symulowanych na jednej fizycznej maszynie (bo implementacje czasu w emulatorze honeyd okazaly sie nieidealne i wykazuja odstepstwa od rzeczywistych systemow). Pytanie tylko jak dlugo bedzie to mozliwe, zanim nie powstana odpowiednie poprawki.
Jesli mialoby dojsc do rozpoznawania fizycznych maszyn, potrzebnych jest moim zdaniem wiecej technik, nie powinno sie bazowac tylko na jednej.
Mnie zaciekawily znalezione roznice w implementacji stosow sieciowych. A metoda zmuszenia Windows, zeby wysylac jednak znaczniki, mimo ze przy normalnej konfiguacji ich nie wysyla, jest po prostu swietna (czytaj: implementacja jest dosc kiepska).
Artukul (w formacie PDF) mozna pobrac z CAIDA lub ze strony autora.
Uwaga: wersja z CAIDA ma 10MB (15 stron).