Δακτυλικό αποτύπωμα προγράμματος περιήγησης

[HEISENBERG]

Πολλοί άνθρωποι χρησιμοποιούν τα Δίκτυα Ανωνυμίας για να αποκρύψουν τη διεύθυνση IP και την τοποθεσία τους - αλλά υπάρχει και άλλος τρόπος να σας αναγνωρίσουν και να σας εντοπίσουν: μέσω του αποτυπώματος του προγράμματος περιήγησης.

Κάθε φορά που μπαίνετε στο διαδίκτυο, ο υπολογιστής ή η συσκευή σας παρέχει στους ιστότοπους που επισκέπτεστε πολύ συγκεκριμένες πληροφορίες σχετικά με το λειτουργικό σας σύστημα, τις ρυθμίσεις, ακόμη και το υλικό σας. Η χρήση αυτών των πληροφοριών για τον εντοπισμό και την παρακολούθησή σας στο διαδίκτυο είναι γνωστή ως αποτύπωση συσκευής ή προγράμματος περιήγησης.

Καθώς τα προγράμματα περιήγησης διαπλέκονται όλο και περισσότερο με το λειτουργικό σύστημα, πολλές μοναδικές λεπτομέρειες και προτιμήσεις μπορούν να εκτεθούν μέσω του προγράμματος περιήγησής σας. Το άθροισμα αυτών των εξόδων μπορεί να χρησιμοποιηθεί για την απόδοση ενός μοναδικού "δακτυλικού αποτυπώματος" για σκοπούς εντοπισμού και ταυτοποίησης.
Το δακτυλικό αποτύπωμα του προγράμματος περιήγησής σας μπορεί να αντικατοπτρίζει:

• την επικεφαλίδα πράκτορα χρήστη,
• την επικεφαλίδα αποδοχής,
• την επικεφαλίδα σύνδεσης,
• την επικεφαλίδα κωδικοποίησης,
• την επικεφαλίδα Language,
• τη λίστα των πρόσθετων προγραμμάτων,
• η πλατφόρμα,
• τις προτιμήσεις των cookies (επιτρέπονται ή όχι),
• τις προτιμήσεις Do Not Track (ναι, όχι ή δεν κοινοποιείται),
• η ζώνη ώρας,
• την ανάλυση οθόνης και το βάθος χρώματος,
• τη χρήση τοπικής αποθήκευσης,
• τη χρήση της αποθήκευσης περιόδου λειτουργίας,
• μια εικόνα που αποδίδεται με το στοιχείο HTML Canvas,
• μια εικόνα που αποδίδεται με WebGL,
• η παρουσία του AdBlock,
• ο κατάλογος των γραμματοσειρών.

Η αποτελεσματικότητα της ταυτοποίησης με αυτόν τον τρόπο περιγράφεται καλά εδώ: http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Είναι πολύ ακριβείς οι δοκιμαστικοί ιστότοποι δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης;

Ναι και όχι.

Ναι, αυτοί οι ιστότοποι παρέχουν ακριβείς πληροφορίες σχετικά με το δακτυλικό αποτύπωμα του προγράμματος περιήγησής σας και τις διάφορες τιμές που συλλέγονται.

Όχι, το συμπέρασμα "μοναδικότητας" για το πρόγραμμα περιήγησής σας από αυτούς τους ιστότοπους μπορεί να είναι εξαιρετικά ανακριβές και πολύ παραπλανητικό. Ακούστε γιατί:

Δείγμα δεδομένων: Cover Your Tracks και amiunique.org συγκρίνουν το δακτυλικό αποτύπωμα του προγράμματος περιήγησής σας με μια γιγαντιαία βάση δεδομένων παλαιών, ξεπερασμένων προγραμμάτων περιήγησης - πολλά από τα οποία δεν χρησιμοποιούνται πλέον. Όταν δοκιμάζετε το δακτυλικό αποτύπωμα του προγράμματος περιήγησής σας με ένα ενημερωμένο πρόγραμμα περιήγησης, μπορεί να το εμφανίσει ως εξαιρετικά σπάνιο και μοναδικό, παρόλο που η πλειονότητα των ανθρώπων χρησιμοποιεί την ίδια ενημερωμένη έκδοση. Αντίθετα, η εκτέλεση της δοκιμής με ένα παλιό, ξεπερασμένο πρόγραμμα περιήγησης μπορεί να δείξει ένα πολύ καλό αποτέλεσμα (όχι μοναδικό), ενώ στην πραγματικότητα πολύ λίγοι άνθρωποι χρησιμοποιούν σήμερα το παλαιότερο πρόγραμμα περιήγησης.
Ανάλυση οθόνης: Τουλάχιστον στα επιτραπέζια μηχανήματα, οι περισσότεροι άνθρωποι προσαρμόζουν τακτικά το μέγεθος της οθόνης του προγράμματος περιήγησης. Κάθε μικρή τιμή μεγέθους οθόνης θα μετρηθεί ως παράγοντας μοναδικότητας, γεγονός που μπορεί να είναι παραπλανητικό.
Τυχαία δακτυλικά αποτυπώματα: Ένα άλλο πρόβλημα με αυτές τις τοποθεσίες δοκιμών είναι ότι δεν λαμβάνουν υπόψη τα τυχαία δακτυλικά αποτυπώματα που μπορούν να αλλάζουν τακτικά μέσω επεκτάσεων του προγράμματος περιήγησης. Αυτή η μέθοδος μπορεί να είναι ένας αποτελεσματικός τρόπος για την αποτροπή δακτυλικών αποτυπωμάτων στον πραγματικό κόσμο, αλλά δεν μπορεί να δοκιμαστεί/ποσοτικοποιηθεί μέσω αυτών των ιστότοπων.

Σε γενικές γραμμές, οι ιστότοποι δοκιμής δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης είναι καλοί για την αποκάλυψη των μοναδικών πληροφοριών και τιμών που μπορούν να αποδοθούν από το πρόγραμμα περιήγησής σας. Πέρα από αυτό, ωστόσο, η προσπάθεια να νικήσετε το τεστ παίρνοντας τη χαμηλότερη βαθμολογία "μοναδικότητας" μπορεί να είναι χάσιμο χρόνου και αντιπαραγωγική.

Ακολουθούν μερικοί καλοί τρόποι για να μετριάσετε το δακτυλικό αποτύπωμα του προγράμματος περιήγησης:
Συνιστάται ανεπιφύλακτα να μην κάνετε οτιδήποτε που θα μπορούσε να θεωρηθεί ότι σχετίζεται με το Darknet στο κανονικό σας λειτουργικό σύστημα ή στο προεπιλεγμένο πρόγραμμα περιήγησης. Συνιστάται να έχετε μια ξεχωριστή συσκευή για το σκοπό αυτό.

Φροντίστε να μελετήσετε:

Καλύψτε τα ίχνη σας

Δείτε πώς οι ανιχνευτές βλέπουν το πρόγραμμα περιήγησής σας

coveryourtracks.eff.org

Τοhttps://amiunique.org/ είναι ένας άλλος καλός πόρος. Είναι ανοιχτού κώδικα και παρέχει περισσότερες πληροφορίες και ενημερωμένες τεχνικές αποτύπωσης δακτυλικών αποτυπωμάτων, συμπεριλαμβανομένων των webGL και canvas.

 

[Chemman]

Υπάρχουν προηγούμενα κατά τα οποία ένας έμπορος ναρκωτικών συνελήφθη για την αναγνώριση δακτυλικών αποτυπωμάτων φυλλομετρητή;
Είναι το JS τόσο επικίνδυνο για το darknet;

 

[Alenciss]

Υπάρχει ένας αριθμός γνωστών ευπαθειών, που έχουν χρησιμοποιηθεί, για την αποανωνυμοποίηση των χρηστών του Tor μέσω της αξιοποίησης της JavaScript.

Το πρώτο σημαντικό περιστατικό όπου συνέβη αυτό ήταν με την κατάσχεση του "Freedom Hosting" από το FBI. Το FBI διατήρησε τους διακομιστές σε απευθείας σύνδεση και στη συνέχεια εγκατέστησε paylods με javascript που εκμεταλλεύονταν ένα exploit μηδενικής ημέρας στον Firefox. Αυτό έκανε τους υπολογιστές να καλούν ξανά σε έναν διακομιστή του FBI από την πραγματική, μη ανωνυμοποιημένη IP τους, οδηγώντας στην αποανωνυμοποίηση διαφόρων χρηστών. Μπορείτε να διαβάσετε περισσότερα σχετικά με αυτό στο Ars Technica.

Σε γενικές γραμμές, η ενεργοποίηση της JavaScript ανοίγει την επιφάνεια για πολλές περισσότερες πιθανές επιθέσεις εναντίον ενός προγράμματος περιήγησης ιστού. Στην περίπτωση ενός σοβαρού αντιπάλου, όπως μια κρατικά υποστηριζόμενη οντότητα (π.χ. το FBI), έχει πρόσβαση σε zero-day exploits. Εάν οι φορείς για αυτά τα zero-day είναι απενεργοποιημένοι (π.χ. JavaScript), τότε μπορεί να δυσκολευτούν να βρουν ένα βιώσιμο exploit, ακόμη και αν έχουν πρόσβαση σε zero days κ.λπ.

Ο μόνος λόγος για τον οποίο το πρόγραμμα Tor επιτρέπει την ενεργοποίηση της JavaScript από προεπιλογή στο πρόγραμμα περιήγησης Tor είναι η ευχρηστία. Πολλοί χρήστες του Tor δεν έχουν τεχνικές γνώσεις, και η JavaScript χρησιμοποιείται συνήθως με την HTML5 στις σύγχρονες ιστοσελίδες. Η απενεργοποίηση της JavaScript προκαλεί πολλές ιστοσελίδες να είναι άχρηστες, επομένως είναι ενεργοποιημένη από προεπιλογή.

Ως βέλτιστη πρακτική, θα πρέπει να απενεργοποιείτε τη JavaScript στο πρόγραμμα περιήγησης Tor και να διατηρείτε το NoScript ενεργοποιημένο για όλους τους ιστότοπους, εκτός αν έχετε έναν εξαιρετικά επιτακτικό λόγο να μην το κάνετε.

 

[MuricanSpirit]

Afaik Το WebRTC - που χρησιμοποιείται κυρίως ως voip - μπορεί επίσης να χρησιμοποιηθεί για να σας αποτυπώσει (το api δείχνει ποιες συσκευές είναι διαθέσιμες π.χ. το Chrome προδίδει αν έχετε συνδέσει ένα χειριστήριο xbox).

Κάποια μοναδική μη js τεχνική δακτυλικών αποτυπωμάτων είναι η χρήση του css αντίστοιχα του @media query (responsive view) για να σας αποτυπώσει με το να "κατεβάζει κάθε φορά μια νέα εικόνα" όταν αλλάζει το μέγεθος του browser. Έτσι μπορούν να καταλάβουν αν έχετε οθόνη 4k ή αν τρέχετε ένα vm (τα περισσότερα vms έχουν μόνο 2 μεγέθη διαθέσιμα από προεπιλογή). Ο μόνος τρόπος για να "αποφύγετε" αυτό το fingerprinting είναι να μην αλλάξετε το μέγεθος του προγράμματος περιήγησης tor αφού ξεκινήσει (θα ξεκινήσει στο προεπιλεγμένο του μέγεθος).

Πχ.

@media only screen and (max-width: 600px) { body { background: url("maxwidth600.png") } }

Με αυτόν τον τρόπο ο διακομιστής γνωρίζει τι πλάτος έχει το πρόγραμμα περιήγησης. Το τελικό σημείο (π.χ. /images/widthWHATEVER.png) δεν χρειάζεται καν να επιστρέψει μια εικόνα και παρόλα αυτά ο browser θα ζητάει κάθε φορά μια εικόνα όταν αλλάζει το μέγεθος.

Μπορούν επίσης να χρησιμοποιήσουν τη "συμπεριφορά αλλαγής μεγέθους" για να σας αναγνωρίσουν π.χ. είστε ο μόνος χρήστης από 1'000'000 δείγματα που αλλάζει το μέγεθος από x-width σε y-width επανειλημμένα.

Υπάρχουν τόσες πολλές τεχνικές για να σας αποτυπώσουν, που είναι απίστευτο. Το καλύτερο είναι να αποφεύγετε κάθε ιστότοπο που δεν εμπιστεύεστε.

 

[HEISENBERG]

Η μόνη λογική λύση

 

[MuricanSpirit]

Ακολουθήστε το ποντίκι χωρίς js (αν και expirment, δεν το είδα ποτέ αυτό ούτε άκουσα ότι χρησιμοποιείται):

Λειτουργεί στο backend βασικά με τον ίδιο τρόπο που λειτουργεί το "resolution fingerprinting" φορτώνοντας μια εικόνα (ο διακομιστής μπορεί να απαντήσει με 404 not found) η οποία λέει στο backend τις συντεταγμένες του ποντικιού.

// never tried .main { -z-index: 999999; // βάλτε πάνω από τα πάντα width: 100%; height: 100%; position: absolut; top: 0; left: 0; pointer-events: none; // αφήστε το ποντίκι να κάνει κλικ μέσα } // ας πούμε ότι σας ενδιαφέρει κάθε μετακίνηση 1px, με αποτέλεσμα να έχετε πολλά θορυβώδη αιτήματα, πιθανώς θα χρησιμοποιούσατε 20-100px grids .main grid00 { // που αντιπροσωπεύει το πρώτο pixel πάνω αριστερά x:0 y:0 background: url("position0_0.png"); width: 1px; height: 1px; } .main grid01 { // που αντιπροσωπεύει το πάνω αριστερά πρώτο pixel x:0 y:1 background: url("position0_0.png"); width: 1px; height: 1px; } // κλπ. θα δημιουργούσατε φυσικά αυτούς τους κανόνες css μέσω του scss (φανταστείτε το σαν [I]scripted css[/I] που παράγει τυπικό css)


Θα μπορούσατε να χρησιμοποιήσετε την ημερομηνία για να μάθετε αν ο χρήστης είναι ενεργός στην καρτέλα, να ταξινομήσετε τη συμπεριφορά του ποντικιού του (π.χ. πόσο γρήγορα το μετακινεί, πού είναι η προτιμώμενη θέση του, χρησιμοποιεί το ποντίκι του για να διαβάσει το κείμενο κ.λπ. pp.)

Θα μπορούσατε να δημιουργήσετε τέτοιους κανόνες css για κάθε κουμπί για να γνωρίζετε "πώς πατάει ο χρήστης ένα κουμπί" (κινείται από κάτω προς τα πάνω, ταχύτητα της κίνησης κ.λπ.) και φυσικά ποια θέση προτιμάει στα ίδια τα κουμπιά

 

[cederroth]

Θα συνιστούσα να μην κάνετε περισσότερα από ένα πράγματα ταυτόχρονα όταν χρησιμοποιείτε tor ή ουρές.
Όταν θέλετε να κάνετε κάτι άλλο, αποσυνδεθείτε από το tails. και συνδεθείτε ξανά. Αυτό δημιουργεί ένα νέο id.
Αν κάνετε πολλά πράγματα ταυτόχρονα, μπορεί κάποιος να είναι σε θέση να συνδέσει σημεία που δεν σκέφτεστε.