Stap aan boord voor een opwindende reis naar een ontdekking die zowel boeiend als controversieel is in de wereld van cybersecurity. We verkennen Centauri, een innovatieve techniek die unieke apparaatvingerafdrukken genereert. Deze baanbrekende technologie heeft het potentieel om de cybersecurity-dynamiek volledig te veranderen en brengt zowel opwindende mogelijkheden als belangrijke zorgen met zich mee.

Van Testmethode tot Unieke Identificatie

Enkele jaren geleden ontstond de behoefte aan een methode om geheugenfouten in DRAM-chips te veroorzaken. Het idee was om door herhaaldelijk aangrenzende geheugenadressen te benaderen, bits om te keren en zo geheugencorruptie te veroorzaken. Wat begon als een testmethode, evolueerde al snel tot verschillende browsergebaseerde aanvallen waarbij herhaaldelijk een specifiek geheugenbereik werd benaderd totdat problemen ontstonden en kwaadwillenden deze konden misbruiken.

Onderzoekers aan de Universiteit van Californië hebben deze geheugenmisbruiktechniek verder ontwikkeld. Ze ontdekten dat de geheugentestmethode eigenlijk bijzonder bruikbaar was als een methode om onderscheidende en stabiele apparaatvingerafdrukken te genereren, zelfs wanneer apparaten afkomstig zijn van dezelfde fabrikant en identieke hardware- en softwareconfiguraties hebben.

De Geboorte van Centauri

Deze nieuwe techniek werd tot "Centauri" gedoopt en catalogiseert de software- en hardwarekenmerken van een apparaat aan de hand van de zogenaamde entropiebit. Door voldoende entropiebits te verzamelen, kan Centauri een unieke identificatie vaststellen. Het herhaaldelijk beschrijven van een vast geheugenbereik leidt tot unieke gedragingen van het RAM-geheugen, wat resulteert in een unieke vingerafdruk voor elk apparaat.



Betrouwbaarheid en Toepassingen


Uit onderzoek is gebleken dat Centauri met een nauwkeurigheid van 99,91% betrouwbare en unieke apparaatvingerafdrukken kan genereren. Deze techniek heeft tal van toepassingen, zoals fraudedetectie, forensisch onderzoek en het volgen van individuen en hun gebruikte apparatuur voor bewijsvoering.



De techniek kan in een veelvoud aan toepassingsgebieden worden toegepast. Enkele voorbeelden van dergelijke toepassingen zijn:

Tracking en Surveillance: Centauri kan worden gebruikt voor stiekeme tracking en surveillance. Staat gesponsorde actoren kunnen het bijvoorbeeld inzetten om de activiteiten van specifieke doelwitten te volgen zonder hun medeweten. In tegenstelling tot op cookies gebaseerde tracking, zou deze methode moeilijk te detecteren en te omzeilen zijn.

Forensisch Onderzoek: Deze techniek biedt mogelijkheden voor forensisch onderzoek en kan een vrijwel niet te weerleggen bewijslast opleveren. Het kan positief worden ingezet in de strijd tegen kinderporno, mensenhandel en drugscriminaliteit. Echter, het misbruikpotentieel is ook aanwezig, zowel bij kwaadwillende regimes als binnen democratieën, waar overheidsdiensten deze methode kunnen inzetten op basis van verdenking. Hierbij moet men denken aan de recente problemen rondom de Nederlandse belastingdienst en de toeslagenaffaire.

Gepersonaliseerde Marketing: In de marketingsector is het begrijpen en bereiken van het doelpubliek cruciaal. Met Centauri kunnen marketeers het gebruikersgedrag nauwkeurig volgen, waardoor ze zeer gepersonaliseerde marketingstrategieën kunnen ontwikkelen. Deze mate van personalisatie kan de effectiviteit van marketingcampagnes vergroten.

Analyse Mogelijkheden: De technologie biedt betere analyse mogelijkheden voor marketeers, waardoor diepgaandere inzichten in gebruikersgedrag en voorkeuren ontstaan. Bedrijven kunnen klanten op een nog ingrijpender niveau volgen hetgeen nieuwe inzichten kan geven en kan leiden tot een verder gepersonaliseerde klantervaring.

Privacyzorgen en Regelgeving

Hoewel Centauri veel positieve toepassingen kent, is er ook het potentieel voor inbreuk op privacy. Het verzamelen van apparaatvingerafdrukken kan gevoelige informatie onthullen en anonimiteit onmogelijk maken. Het is cruciaal om een zorgvuldige afweging te maken tussen het bestrijden van criminaliteit en het waarborgen van privacy.

Deze techniek maakt het criminelen moeilijker om onzichtbaar te blijven en bewijssporen te wissen, wat gunstig is bij de bestrijding van criminaliteit. Echter, het kan ook de anonimiteit van goedwillende individuen bemoeilijken, zoals politieke dissidenten die zich willen verzetten. Bovendien is het niet ondenkbaar dat in een democratische samenleving individuele overheidsdiensten zich laten verleiden tot het inzetten van deze technologie zonder volledig na te denken over de gevolgen. Een recent voorbeeld hiervan is de problematiek rondom de Nederlandse belastingdienst en bepaalde uitkeringsinstanties.

Het is essentieel om een zorgvuldige afweging te maken tussen veiligheid en privacy bij het gebruik van dergelijke technologieën. Zonder een gedegen wettelijk kader kan misbruik van deze technologie leiden tot ongekende inbreuken op de privacy en vormt het zowel een baanbrekende als potentieel bedreigende ontwikkeling.

-- een bijdrage aan MacFreak van Doctor

Bedankt Dr. Apple, goed stuk. 

De grap is natuurlijk wel dat Centauri device gebonden is en niet persoons gebonden…

Als ze al doende het device maar niet doen crashen of het geheugen sneller doen falen.

Their approach, they say, is potentially useful for fraud detection. However, they acknowledge the system does have some flaws – it could crash fingerprinted devices or wear out their memory modules for example.

Bedankt Dr. Apple, goed stuk. 

De grap is natuurlijk wel dat Centauri device gebonden is en niet persoons gebonden…

Dank je voor het compliment 

Het is waar dat de verzamelde gegevens persoonsgebonden zijn, maar zeker op het moment dat een browser wordt gebruikt, zijn er al meerdere mogelijkheden om met enige trefzekerheid vast te stellen wie de gebruiker is (denk maar aan het inloggen op een bepaalde dienst, ophalen van de mail, etc), verder denk ik dat deze techniek opgenomen  gaat worden in andere tools.

Zou zelfs zomaar onderdeel kunnen worden van Pegasus ... Als het niet al een onderdeel is  ...

Maar dit is eigenlijk veel dichterbij wat we zouden kunnen ervaren als een "digitaal DNA". Immers, het is te achterhalen welke hardware is gebruikt in een zekere context.

Onschuldig en mogelijk gaat het lampje bij velen niet lichten, maar in mijn optiek is dit wel degelijk een zorgelijke ontwikkeling. Mijn reden tot enige vorm van scepsis is het gegeven dat zoals elk nadeel een voordeel heeft, alles wat voor het goed, ook voor het kwaad kan worden ingezet.

Plausible deniability verwordt op die manier een term uit "het verleden" 

Nog een ‘ontwikkeling’: we staan erbij en kijken ernaar…

https://www.security.nl/posting/803796/Universitair+hoofddocent%3A+client-side+scanning+plaatst+koevoet+in+privéleven+burgers

Centauri maakt gebruik van de Row Hammer (RH) techniek (of een variant). Hierbij worden (zoals doctor_apple al aangaf) bepaalde adreslijnen in het geheugen veelvuldig en volgens bepaalde patronen geactiveerd, met de bedoeling bits in nabijgelegen adreslijnen te veranderen.

Sommige soorten geheugen modules (zoals ECC) werden veiliger geacht dan andere voor HR exploits, maar, zo bleek o.m. uit onderzoek aan de Universiteit van Amsterdam, is ECC toch gevoelig voor slimmere varianten van RH.

DDR4 introduceerde een nieuwe anti-HR beveiliging, maar ook die blijkt niet altijd voldoende.

En met (LP)DDR5 zijn weer verdere stappen gezet in deze wedloop.

Nog een ‘ontwikkeling’: we staan erbij en kijken ernaar…

https://www.security.nl/posting/803796/Universitair+hoofddocent%3A+client-side+scanning+plaatst+koevoet+in+privéleven+burgers

Eens ... Heb hier ook een wat naar gevoel bij. Maar goed, het zal wel de tijdsgeest zijn in onze maatschappij. Voorlopig heeft het er veel van weg dat het privacy domein niet heel erg belangrijk gevonden wordt. Althans, andere zaken prevaleren.

Een gevolg natuurlijk van wereldwijde spanningen, maar ik kan me niet aan de indruk onttrekken dat het bepaalde partijen ook wel heel erg gunstig uitvalt, continu toezicht wel te verstaan.

helaas

Ook eens.

En we voeden allemaal de data stofzuigers: vingerafdrukken, gezichtsherkenning, foto’s in de cloud, data in de cloud, etc. etc.