Tiến xa hơn các phương pháp hiện nay là "nhận dạng" hệ điều hành từ xa, phương pháp của Tadayoshi Kohno, một nghiên cứu sinh đang theo đuổi tấm bằng tiến sĩ tại đại học California còn có thể "lấy dấu vân tay" của... phần cứng thiết bị".

Phát minh của Kohno, nếu thành công, sẽ phục vụ cho rất nhiều ứng dụng tiềm năng. Lấy thí dụ, giờ đây, người ta sẽ có thể lần theo dấu vết một thiết bị phần cứng khi nó kết nối với Internet từ nhiều điểm truy cập khác nhau, đếm được số thiết bị đằng sau một NAT kể cả khi chúng sử dụng IP ngẫu nhiên hoặc hằng số. Họ cũng có thể kiểm tra từ xa một khối địa chỉ xem những địa chỉ này có liên hệ nào với host ảo hay không.

NAT, hay địa chỉ mạng "phiên dịch", là một giao thức thường được sử dụng để tạo "ảo giác" rằng các thiết bị đằng sau tường lửa đều có cùng một địa chỉ IP như đã công bố trên Internet.

Nghiên cứu của Kohno có thể không phải dấu chấm hết cho khả năng "ẩn danh" trên Net, song nó là bước leo thang mới nhất trong cuộc chạy đua vũ trang giữa một bên là "những phần mềm theo dõi" và một bên là giới phát triển "nặc danh". Có thể "phe ẩn danh" sẽ trả đũa lại bằng cách làm xô lệch quá trình đánh dấu thời gian vào Net bằng các thủ pháp đánh số ngẫu nhiên hiệu quả hơn.

Dự án kiểu Carnivore?

Có vẻ như Kohno hiểu rất rõ sự hứng thú và quan tâm mà các tổ chức "theo dõi" dành cho công trình của mình. Anh này đã viết trong báo cáo của mình như sau: "Bạn có thể sử dụng kỹ thuật của tôi để theo dõi mọi máy laptop trên đường chúng di chuyển, giống như Carnivore vậy. (Carnivore là một phần mềm giám sát Internet mà Cục điều tra Liên bang FBI đã xây dựng). "Các nhà điều tra có thể dùng chúng để xác định liệu thiết bị laptop đang theo dõi có kết nối với Internet từ một điểm truy cập nghi vấn hay không".

Một ứng dụng tiềm năng khác là "tìm thông tin về việc liệu hai thiết bị trên Internet, với địa chỉ IP và thời gian hoán đổi, có phải thực chất là một hay không".

Theo Kohno, phương pháp của anh hoạt động dựa trên cơ chế phát hiện các "độ lệch" siêu nhỏ bên trong phần cứng của thiết bị: đối xứng lệch của đồng hồ. Trong thực tế, phần lớn các ngăn xếp TCP (Giao thức kiểm soát truyền dữ liệu) hiện đại đều triển khai theo khung thời gian của RFC 1323. (RFC hay Request for comment là những công bố chính thức của mạng Internet, được sử dụng từ năm 1969 để mô tả và tiếp thu những nhận xét về các giao thức, thủ tục, chương trình và khái niệm. Chúng thường được liệt kê dưới dạng số, chẳng hạn như RFC 1771). Nhờ đó, mỗi bên tham gia dòng lưu chuyển dữ liệu TCP đều có thông tin về lượng thời gian dành cho mỗi gói dữ liệu chuyển ra. Một "dấu vân tay" có thể sử dụng những thông tin này để ước tính "độ lệch" đồng hồ của thiết bị, từ đó xác định "danh tính" của thiết bị phần cứng.

Phương pháp của Kohno sử dụng các phép đo hằng số khi dụng cụ đo cách thiết bị một khoảng cách là hàng ngàn dặm, nhiều chặng kết nối, hoặc 1/10.000 giây, và khi thiết bị kết nối với Internet từ nhiều địa điểm khác nhau, sử dụng các công nghệ truy cập khác nhau. "Với những thiết bị trốn sau NAT hoặc tường lửa, bạn có thể ứng dụng các kỹ thuật bị động hoặc bán bị động của chúng tôi".

Kohno và nhóm của mình đã thử nghiệm kỹ thuật này trên nhiều hệ điều hành khác nhau, bao gồm cả Windows XP, Windows 2000, Mac OS X Panther, Red Hat và Debian Linux, FreeBSD, OpenBSD và kể cả Windows dành cho Pocket PC 2002. Trong tất cả các trường hợp, "chúng tôi phát hiện ra rằng mình có thể sử dụng ít nhất một trong số các phương pháp của mình để tính toán độ lệch đồng hộ trên máy, trong khi chỉ cần có một khối lượng dữ liệu rất nhỏ", Kohno nói. Để kết luận, Kohno cho rằng "ưu điểm chính của công trình này là các kỹ thuật của chúng tôi vẫn có thể vượt qua chướng ngại là khoảng cách hàng ngàn dặm hoặc nhiều chặng chia nhỏ".