Title (deu): Taktversatzbasierte Geräteidentifikation

Author: Mahrl, C. (Christoph)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Studiengang Information Security, 2017

Description (deu): Fingerprinting ist in vielen Belangen ein sehr wichtiges Instrument und gewinnt aufgrund der stetig steigenden Digitalisierung immer mehr an Bedeutung. Im Jahr 2005 leistete eine Gruppe an Forschern diesbezüglich einen wichtigen Beitrag. Sie stellten einen völlig neuen Ansatz zur Identifizierung von Systemen vor. Mit diesem Ansatz war es erstmals möglich physische Geräte voneinander zu unterscheiden. Der Identifizierungsvorgang konnte dabei auf passivem Wege auch über größere Distanzen hinweg durchgeführt werden. Da der Ansatz auf der Auswertung von TCP Timestamps beruhte, die von allen modernen Betriebssystemen unterstützt werden, war er zudem betriebssystemunabhängig. Durch Auswertung von TCP Timestamps war es möglich, die Ungenauigkeit des Taktgebers eines physischen Systems zu bestimmen. Dieser Fehler, auch Taktversatz genannt, gibt an, um wie viele Mikrosekunden pro Sekunde ein Taktgeber falsch taktet. Die Forscher Kohno et al. haben dabei herausgefunden, dass der Fehler sich indirekt linear auf die Werte von TCP Timestamps auswirkt, der Fehler über einen längeren Zeitraum konstant bleibt und für jedes System eindeutig ist. Der Taktversatz eines Systems stellte sich somit als geeignetes Identifizierungsmerkmal heraus. Mittlerweile werden TCP Timestamps auf Linux-Systemen jedoch vom Network Time Protocol (NTP) beeinflusst. Damit bleibt der Taktversatz von aktuellen Linux-Systemen nicht mehr konstant, wodurch in weiterer Folge die taktversatzbasierte Geräteidentifikation für diese Systeme nicht mehr möglich ist. Ziel dieser Arbeit war es daher, aufbauend auf der Arbeit von Kohno et al., nach neuen Identifizierungsmerkmalen zu suchen, um Geräte trotz NTP Einflusses auf TCP Timestamps voneinander unterscheiden zu können.

Description (eng): Fingerprinting is considered in many ways an essential instrument and is becoming increasingly important due to the ever-increasing digitization. In 2005, a group of researchers made a major contribution to fingerprintering by introducing a completely new approach for identifying systems. With this approach, it was possible for the first time to fingerprint physical systems. The identificiation process based on this approach could be carried out passively over long distances. Furthermore, this approach was also platform-independent, since it was based on the evaluation of TCP timestamps, which are supported by all modern operating systems. By evaluating TCP timestamps, it was possible to determine inaccuaracies of the clock of a physical device. This error, also known as clock skew, indicates how many micrososeconds per second a clock ticks incorrectly. The researchers Kohno et al. found out that this error linearily affects the values of TCP timestamps, remains constant over time and is, in principle, unique for each system. They have thus determined that the clock skew of a system is a suitable feature for identification. However, meanwhile TCP Timestamps on Linux-based systems are influenced by the Network Time Protocol (NTP). As a result, clock skews of modern Linux systems no longer remain constant and thus identification of these systems using the clock skew is no longer possible. Based on the work of Kohno et al., the aim of this thesis was therefore to research new identification features in order to identify devices despite the influence of NTP on TCP timestamps.

Object languages: German

Date: 2017

Rights: © All rights reserved

Classification: LINUX

Permanent Identifier