Добро пожаловать обратно, мои амбициозные кибервоины!
Большинство из вас знает, что The Onion Network (ToR) — основа Даркнета. Изначально разработанная ВМС США для сокрытия своей онлайн-активности, теперь она представляет собой проект с открытым исходным кодом, доступный всем через проект ToR. Многие считают, что их действия в сети ToR безопасны и анонимны. На самом деле, большинство людей, используя сеть ToR, считают себя анонимными и в результате совершают фатальные ошибки.
На этой неделе одно немецкое издание сообщило, что правоохранительные органы Германии нашли способ деанонимизировать пользователей сети ToR. Эта информация получила достаточно широкое освещение в прессе, но это уже не новость. Более десяти лет назад Управление национальной безопасности (АНБ) США впервые применило этот метод деанонимизации (я писал об этом в своей книге 2018 года «Основы Linux для хакеров»). Это непросто и может быть дорого, но вашу личность можно определить, если вы пересекаете сеть ToR. Это применимо, если вы используете ToR для посещения обычного интернет-сайта, но НЕ для тех, кто остаётся в сети ToR. Ключ к вашей деанонимизации — корреляция данных пакетов между входными и выходными узлами.
В течение многих лет веб-сайты и разведывательные службы используют файлы cookie, встроенные в ваш браузер, для идентификации вас, ваших личных характеристик и посещаемых вами сайтов. Зная это, пользователи, стремящиеся к анонимности, отключают сбор файлов cookie браузером и надеются сохранить анонимность. К сожалению, новый метод, известный как «браузерный отпечаток», может быть ещё более коварным и точным. Спецслужбы и другие организации могут использовать «браузерный отпечаток», в частности, для деанонимизации вас.
Какой бы браузер вы ни использовали, он оставляет отпечаток вашей личности. Правоохранительные органы просто сопоставляют отпечаток вашего трафика с трафиком, исходящим из сети ToR. Если они совпадают, ваш трафик идентифицирован. Следующий шаг — связать ваш трафик с вашей личностью. Это самая простая часть.
Чтобы лучше понять этот метод деанонимизации, давайте подробнее рассмотрим отпечатки браузера. Мы можем разделить эти отпечатки браузера на семь (7) основных категорий, каждую из которых можно дополнительно разделить на более мелкие подкатегории, что даёт более 50 переменных для деанонимизации. При 50 переменных и минимум двух вариантах (вкл./выкл.) количество уникальных возможностей составляет 1 125 899 906 842 624. Поскольку на Земле всего (?) 7 500 000 000 человек, эта система имеет более 150 000 потенциальных уникальных возможностей на человека. Более чем достаточно, чтобы деанонимизировать практически любого.
Вот часть элементов отпечатка пальца из браузера по умолчанию в Kali.
К этим параметрам относятся:
Будьте осторожны, используя VPN или ToR, поскольку они скрывают только ваш IP-адрес. В вашем браузере через интернет передается гораздо больше данных, которые могут и будут использованы для вашей деанонимизации.
Большинство из вас знает, что The Onion Network (ToR) — основа Даркнета. Изначально разработанная ВМС США для сокрытия своей онлайн-активности, теперь она представляет собой проект с открытым исходным кодом, доступный всем через проект ToR. Многие считают, что их действия в сети ToR безопасны и анонимны. На самом деле, большинство людей, используя сеть ToR, считают себя анонимными и в результате совершают фатальные ошибки.
На этой неделе одно немецкое издание сообщило, что правоохранительные органы Германии нашли способ деанонимизировать пользователей сети ToR. Эта информация получила достаточно широкое освещение в прессе, но это уже не новость. Более десяти лет назад Управление национальной безопасности (АНБ) США впервые применило этот метод деанонимизации (я писал об этом в своей книге 2018 года «Основы Linux для хакеров»). Это непросто и может быть дорого, но вашу личность можно определить, если вы пересекаете сеть ToR. Это применимо, если вы используете ToR для посещения обычного интернет-сайта, но НЕ для тех, кто остаётся в сети ToR. Ключ к вашей деанонимизации — корреляция данных пакетов между входными и выходными узлами.
В течение многих лет веб-сайты и разведывательные службы используют файлы cookie, встроенные в ваш браузер, для идентификации вас, ваших личных характеристик и посещаемых вами сайтов. Зная это, пользователи, стремящиеся к анонимности, отключают сбор файлов cookie браузером и надеются сохранить анонимность. К сожалению, новый метод, известный как «браузерный отпечаток», может быть ещё более коварным и точным. Спецслужбы и другие организации могут использовать «браузерный отпечаток», в частности, для деанонимизации вас.
Какой бы браузер вы ни использовали, он оставляет отпечаток вашей личности. Правоохранительные органы просто сопоставляют отпечаток вашего трафика с трафиком, исходящим из сети ToR. Если они совпадают, ваш трафик идентифицирован. Следующий шаг — связать ваш трафик с вашей личностью. Это самая простая часть.
Чтобы лучше понять этот метод деанонимизации, давайте подробнее рассмотрим отпечатки браузера. Мы можем разделить эти отпечатки браузера на семь (7) основных категорий, каждую из которых можно дополнительно разделить на более мелкие подкатегории, что даёт более 50 переменных для деанонимизации. При 50 переменных и минимум двух вариантах (вкл./выкл.) количество уникальных возможностей составляет 1 125 899 906 842 624. Поскольку на Земле всего (?) 7 500 000 000 человек, эта система имеет более 150 000 потенциальных уникальных возможностей на человека. Более чем достаточно, чтобы деанонимизировать практически любого.
Вот часть элементов отпечатка пальца из браузера по умолчанию в Kali.
Что такое «фингерпринтинг браузера»?
Что такое «отпечаток браузера»? Это метод определения множества параметров, которые ваш браузер передает веб-сайту, чтобы обеспечить вам наилучший опыт взаимодействия с сайтом. Существует более 50 переменных, которые ваш браузер передает и которые могут быть использованы для вашей идентификации.К этим параметрам относятся:
№ 1 Дактилоскопия холста
Считывание отпечатков Canvas — это сложная технология веб-отслеживания, которая использует элемент HTML5 Canvas для создания уникальных идентификаторов пользователей, позволяя веб-сайтам идентифицировать и отслеживать посетителей, не полагаясь на традиционные файлы cookie.Как работает дактилоскопия холста
- Процесс рендеринга : когда пользователь посещает веб-страницу, использующую технологию Canvas Fingerprinting, скрипт рисует текст или графику на элементе HTML5 Canvas. Этот процесс включает в себя указание различных атрибутов, таких как размер шрифта и цвет фона.
- Извлечение данных : затем скрипт использует метод toDataURL API Canvas для преобразования отрисованного содержимого в строку в кодировке Base64, которая представляет собой пиксельные данные холста.
- Хеширование : Наконец, эта строка хешируется для создания уникального отпечатка, который можно хранить и использовать для отслеживания на разных веб-сайтах.
№ 2. Отпечатки пальцев WebGL
WebGL-фингерпринтинг — это метод идентификации и отслеживания пользователей на основе уникальных характеристик графического оборудования их устройств через API WebGL. Этот метод использует возможности рендеринга графического процессора (GPU) пользователя для создания уникального идентификатора, который может сохраняться в различных сеансах просмотра и на разных веб-сайтах.- Создание контекста WebGL : когда пользователь посещает веб-сайт, использующий WebGL, браузер сначала устанавливает контекст WebGL, который позволяет ему взаимодействовать с графическим процессором и выполнять задачи по рендерингу графики.
- Рендеринг графики : веб-сайт затем поручает браузеру отобразить определённую графику, часто содержащую сложные трёхмерные фигуры или узоры. Процесс рендеринга зависит от различных факторов, включая видеокарту пользователя, драйверы и реализацию браузера.
- Сбор и хеширование данных : после рендеринга выходные данные собираются, и анализируются конкретные характеристики изображения. Затем эти данные хешируются для создания уникального отпечатка, отражающего возможности графического рендеринга устройства.
- Хранение и отслеживание : сгенерированный отпечаток WebGL может храниться на сервере, что позволяет веб-сайту распознавать возвращающихся пользователей, сравнивая новые отпечатки с ранее сохраненными.
Факторы, способствующие уникальности
Уникальность отпечатка WebGL обусловлена несколькими факторами:- Различия в графических картах : различные графические процессоры визуализируют изображения немного по-разному из-за внутренних различий в конструкции оборудования.
- Версии драйверов : обновления и изменения в графических драйверах могут изменить способ обработки графики.
- Различия между браузерами : каждый браузер может реализовывать WebGL по-разному, что приводит к различиям в результатах рендеринга.
- Влияние операционной системы : базовая операционная система также может влиять на то, как визуализируется и обрабатывается графика.
№ 3. Дактилоскопирование медиа-устройств
Цифровая идентификация медиаустройств — это метод, используемый для уникальной идентификации и отслеживания устройств на основе характеристик их медиа-возможностей. Этот метод собирает различные атрибуты, связанные с аудио- и видеоаппаратурой и программными конфигурациями устройства, что обеспечивает постоянную идентификацию даже в ситуациях, когда традиционные методы отслеживания, такие как файлы cookie, могут быть заблокированы или удалены.Как работает дактилоскопия медиаустройства
- Сбор данных : когда пользователь взаимодействует с веб-сайтом или приложением, использующим идентификацию медиаустройства, система собирает информацию о медиа-функциях устройства. Это может включать:
- Возможности аудио и видео : поддерживаемые кодеки, разрешения и форматы.
- Характеристики устройства : информация о микрофоне, камере и динамиках.
- Информация о браузере и ОС : сведения об используемой операционной системе и веб-браузере.
- Создание уникального идентификатора : собранные данные обрабатываются для создания уникального идентификатора или «отпечатка пальца». Этот «отпечаток» генерируется путем анализа комбинаций атрибутов, которые часто уникальны для каждого устройства.
- Механизм отслеживания : После создания отпечатка пальца его можно сохранить на сервере. При повторном подключении того же устройства система может распознать его, сопоставив новый отпечаток с ранее сохранёнными идентификаторами.
Отпечатки пальцев TLS № 4
TLS-фингерпринтинг — это метод идентификации и характеристики клиентов на основе информации, передаваемой во время рукопожатия TLS (Transport Layer Security), в частности, сообщения «Client Hello». Этот метод использует уникальные атрибуты реализации TLS клиента, обеспечивая эффективную идентификацию даже в случае блокировки или удаления традиционных идентификаторов, таких как файлы cookie.Как работает TLS-фингерпринтинг
- TLS-рукопожатие : процесс начинается с TLS-рукопожатия, при котором клиент запрашивает защищённое соединение с сервером. Это рукопожатие включает несколько этапов, включая обмен криптографическими параметрами.
- Приветственное сообщение клиента : во время этого рукопожатия клиент отправляет приветственное сообщение клиента, которое содержит важную информацию, такую как:
- Поддерживаемые наборы шифров : список алгоритмов шифрования, поддерживаемых клиентом, представленный в порядке предпочтения.
- Версия TLS : версия протокола TLS, которую клиент желает использовать.
- Расширения : дополнительные параметры, которые могут улучшить или изменить соединение, например, указание имени сервера (SNI).
- Генерация цифрового отпечатка : анализируя поля в приветственном сообщении клиента, можно создать уникальный цифровой отпечаток. Этот цифровой отпечаток отражает не только конфигурацию программного и аппаратного обеспечения клиента, но и его конкретную библиотеку TLS (например, NSS для Firefox или BoringSSL для Chrome) и поддерживаемые ею наборы шифров.
- Хеширование : собранные данные можно хешировать для создания компактного представления отпечатка пальца, часто с использованием таких форматов, как JA3, который генерирует хеш MD5 из определенных полей в сообщении Client Hello.
№ 5. Отпечатки шрифтов
Отпечатки шрифтов — это метод отслеживания, позволяющий идентифицировать и контролировать пользователей на основе установленных на их устройствах шрифтов. Этот метод использует уникальность комбинаций шрифтов в различных системах для создания уникального идентификатора, который можно использовать для отслеживания пользователей на различных веб-сайтах и в разных сеансах.Как работает отпечаток шрифта
- Определение установленных шрифтов : когда пользователь посещает веб-сайт, в фоновом режиме запускаются скрипты, определяющие, какие шрифты доступны на его устройстве. Это можно сделать несколькими способами:
- JavaScript и CSS : веб-страницы могут динамически тестировать шрифты, измеряя размеры отображаемого текста с использованием различных шрифтов.
- Canvas API : HTML5 Canvas API может отображать текст с использованием различных шрифтов и измерять полученные размеры для определения доступности шрифтов.
- Перечисление шрифтов : этот простой подход использует JavaScript для запроса списка установленных шрифтов из браузера.
- Создание уникального идентификатора : собранная информация об установленных шрифтах анализируется и хешируется для создания уникального отпечатка. Этот отпечаток отражает конкретную комбинацию шрифтов, присутствующих на устройстве пользователя, которая часто достаточно уникальна для эффективной дифференциации пользователей.
- Механизм отслеживания : После создания этот отпечаток может храниться на серверах, что позволяет веб-сайтам распознавать возвращающихся пользователей, не полагаясь на файлы cookie или другие традиционные методы отслеживания.
№ 6. Дактилоскопирование мобильных устройств
Снятие отпечатков мобильных устройств (fingerprinting) — это особый тип снятия отпечатков устройств, направленный на сбор данных о мобильных устройствах, таких как смартфоны и планшеты, для создания уникального идентификатора для каждого устройства. Этот процесс включает в себя сбор различных атрибутов, связанных с аппаратной и программной конфигурациями устройства, что позволяет осуществлять постоянное отслеживание и идентификацию даже при отсутствии доступа к традиционным методам, таким как файлы cookie.Как работает дактилоскопия мобильного устройства
- Сбор данных : Считывание отпечатков пальцев мобильных устройств собирает широкий спектр данных, включая:
- Операционная система : информация о мобильной ОС (например, iOS, Android).
- Разрешение экрана : размеры дисплея устройства.
- Уровень заряда батареи : Текущее состояние батареи, которое может различаться в зависимости от устройства.
- Местоположение по GPS : данные геолокации, если включены службы определения местоположения.
- Установленные приложения : список приложений, установленных на устройстве.
- Характеристики оборудования : такие данные, как тип процессора, объем оперативной памяти и другие уникальные идентификаторы.
- Создание уникального идентификатора : собранные данные объединяются для формирования уникального идентификатора или «отпечатка» мобильного устройства. Благодаря уникальной комбинации атрибутов статистически маловероятно, что этот «отпечаток» будет продублирован другим устройством.
- Механизм отслеживания : После создания этот отпечаток может храниться на серверах, позволяя компаниям распознавать возвращаемые устройства в различных приложениях и на веб-сайтах. Эта возможность обеспечивает непрерывное отслеживание поведения пользователей.
№ 7 Аудиодактилоскопия
Аудио-отпечатки — это технология, позволяющая идентифицировать и отслеживать аудиоконтент. Она работает путем создания уникальной цифровой подписи, или «отпечатка», для каждой аудиозаписи на основе ее акустических характеристик. Эти отпечатки затем могут использоваться для идентификации аудиофайлов в различных приложениях. Процесс аудио-отпечатков включает в себя:- Извлечение перцептивных характеристик из аудиосигнала, таких как форма волны, спектральная огибающая, высота тона, гармоники и обертоны.
- Объединение этих характеристик в компактный цифровой отпечаток, называемый акустическим отпечатком.
- Сравнение этого отпечатка с базой данных предварительно вычисленных отпечатков для идентификации аудио.
- Они устойчивы к таким аудиоухудшениям, как сжатие, шум и артефакты передачи.
- Они допускают небольшие изменения в звуке, которые не влияют на человеческое восприятие.
- Они позволяют быстро идентифицировать аудио путем сравнения с большими базами данных.
Краткое содержание
Многие используют ToR и VPN, чтобы скрыть свою личность в интернете. Хотя эти сервисы скрывают ваши IP-адреса, разведка и коммерческие организации разработали ещё более эффективный способ идентификации через отпечаток браузера. Это работает даже при отключенных cookie-файлах.Будьте осторожны, используя VPN или ToR, поскольку они скрывают только ваш IP-адрес. В вашем браузере через интернет передается гораздо больше данных, которые могут и будут использованы для вашей деанонимизации.
