Huellas digitales del navegador

[HEISENBERG]

Mucha gente utiliza las redes de anonimato para ocultar su dirección IP y su ubicación, pero hay otra forma de que le identifiquen y rastreen: a través de la huella digital del navegador.

Cada vez que se conecta a Internet, su ordenador o dispositivo proporciona a los sitios que visita información muy específica sobre su sistema operativo, configuración e incluso hardware. El uso de esta información para identificarle y seguirle en línea se conoce como huella digital del dispositivo o navegador.

A medida que los navegadores se entrelazan cada vez más con el sistema operativo, muchos detalles y preferencias únicos pueden quedar expuestos a través de su navegador. La suma total de estos resultados puede utilizarse para obtener una "huella digital" única con fines de seguimiento e identificación.
La huella digital de su navegador puede reflejar:

• el encabezado Agente de usuario
• el encabezado Accept
• el encabezado Connection
• la cabecera Encoding
• la cabecera Idioma;
• la lista de plugins
• la plataforma;
• las preferencias de cookies (permitidas o no)
• las preferencias Do Not Track (sí, no o no comunicado);
• la zona horaria
• la resolución de pantalla y su profundidad de color
• el uso de almacenamiento local
• el uso del almacenamiento de sesión;
• una imagen renderizada con el elemento HTML Canvas
• una imagen renderizada con WebGL
• la presencia de AdBlock;
• la lista de fuentes.

La eficacia de la identificación de este modo está bien descrita aquí: http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

¿Son muy precisos los sitios web de prueba de huellas dactilares de navegador?

Sí y no.

Sí, estos sitios web proporcionan información precisa sobre la huella digital de su navegador y los distintos valores que se recogen.

No, la conclusión sobre la "unicidad" de su navegador que se desprende de estos sitios web puede ser tremendamente inexacta y muy engañosa. He aquí por qué:

Muestra de datos: Cover Your Tracks y amiunique.org comparan la huella digital de tu navegador con una gigantesca base de datos de navegadores antiguos y obsoletos, muchos de los cuales ya no se utilizan. Cuando pruebas la huella digital de tu navegador con un navegador actualizado, puede mostrarla como extremadamente rara y única, aunque la mayoría de la gente esté usando la misma versión actualizada. Por el contrario, realizar la prueba con un navegador antiguo y obsoleto puede mostrar un resultado muy bueno (no único) cuando en realidad muy pocas personas utilizan el navegador antiguo en la actualidad.
Resolución de pantalla: Al menos en las máquinas de sobremesa, la mayoría de la gente ajusta regularmente el tamaño de la pantalla de su navegador. Cada valor menor de tamaño de pantalla se medirá como un factor de unicidad, lo que puede inducir a error.
Huellas aleatorias: Otro problema de estos sitios de prueba es que no tienen en cuenta las huellas aleatorias que pueden cambiarse regularmente mediante extensiones del navegador. Este método puede ser una forma eficaz de evitar las huellas digitales en el mundo real, pero no se puede probar/cuantificar a través de estos sitios.

En general, los sitios web de prueba de huellas dactilares del navegador son buenos para revelar la información y los valores únicos que se pueden obtener de su navegador. Aparte de eso, sin embargo, tratar de superar la prueba obteniendo la puntuación más baja de "unicidad" puede ser una pérdida de tiempo y contraproducente.

He aquí algunas buenas maneras de mitigar la huella digital de su navegador:
Se recomienda encarecidamente que cualquier cosa que pueda considerarse relacionada con la Darknet no la hagas en tu sistema operativo normal, o en tu navegador por defecto. Es aconsejable tener un dispositivo separado para este fin.

Asegúrese de estudiar:

Cubre tus huellas

Vea cómo los rastreadores ven su navegador

coveryourtracks.eff.org

https://amiunique.org/ es otro buen recurso. Es de código abierto y proporciona más información y técnicas actualizadas de fingerprinting, incluyendo webGL y canvas.

 

[Chemman]

¿Existe algún precedente de detención de un traficante de drogas por identificar las huellas dactilares de un navegador?
¿Es tan peligrosa la JS para la darknet?

 

[Alenciss]

Hay una serie de vulnerabilidades conocidas, que se han utilizado, para desanonimizar a los usuarios de Tor aprovechando JavaScript.

El primer incidente importante en el que esto ocurrió fue con la incautación de "Freedom Hosting" por el FBI. El FBI mantuvo los servidores en línea, y luego instaló paylods javascript que explotaban una vulnerabilidad de día cero en Firefox. Esto provocaba que los ordenadores volvieran a llamar a un servidor del FBI desde su IP real, no anonimizada, lo que llevó a la desanonimización de varios usuarios. Puedes leer más al respecto en Ars Technica.

En general, habilitar JavaScript abre la superficie a muchos más ataques potenciales contra un navegador web. En el caso de un adversario serio como una entidad respaldada por el Estado (por ejemplo, el FBI), tienen acceso a exploits de día cero. Si los vectores para estos días cero están deshabilitados (por ejemplo, JavaScript), entonces pueden estar en apuros para encontrar un exploit viable incluso si tienen acceso a días cero, etc.

La única razón por la que el proyecto Tor permite que JavaScript esté activado por defecto en el navegador Tor es la usabilidad. Muchos usuarios de Tor no son técnicamente expertos, y JavaScript se usa comúnmente con HTML5 en sitios web modernos. Desactivar JavaScript hace que muchos sitios web sean inutilizables, por lo que está activado por defecto.

Como mejor práctica, uno debería deshabilitar JavaScript en el navegador Tor y mantener NoScript habilitado para todos los sitios, a menos que tenga una razón extremadamente convincente para no hacerlo.

 

[MuricanSpirit]

Afaik WebRTC - utilizado sobre todo como voip - se puede utilizar también para fingerprint usted (el api muestra qué dispositivos están disponibles por ejemplo, Chrome delata si usted tiene un controlador de Xbox conectado).

Alguna técnica única de fingerprinting no js es usar css respectivamente el @media query (responsive view) para fingerprintarte "descargando cada vez una nueva imagen" cuando el tamaño del navegador cambia. Así pueden saber si tienes un monitor 4k o si estás ejecutando una vm (la mayoría de las vms sólo tienen 2 tamaños disponibles por defecto). La única manera de "evitar" este fingerprinting es no cambiar el tamaño del navegador tor una vez iniciado (se iniciará en su tamaño por defecto).

Ej.

@media only screen and (max-width: 600px) { body { background: url("maxwidth600.png") } }

De esta forma el servidor sabe qué ancho tiene el navegador. El endpoint (ej. /images/widthWHATEVER.png) ni siquiera tiene que devolver una imagen y aún así el navegador preguntará cada vez por una al redimensionar.

También pueden utilizar tu "comportamiento de redimensionamiento" para identificarte, por ejemplo, si eres el único usuario de 1.000.000 de muestras que redimensiona de x-ancho a y-ancho repetidamente.

Hay tantas técnicas para tomar huellas digitales que es increíble. Lo mejor es evitar cualquier sitio en el que no confíes.

 

[HEISENBERG]

La única solución sensata

 

[MuricanSpirit]

Sigue el ratón sin js (aunque caduca, nunca he visto esto ni he oído que se utilice):

Funciona en el backend basicamente de la misma manera que funciona el "resolution fingerprinting" cargando una imagen (el servidor puede responder con 404 not found) que le dice al backend las coordenadas del raton.

// nunca probado .main { -z-index: 999999; // poner encima de todo width: 100%; height: 100%; position: absolut; top: 0; left: 0; pointer-events: none; // deja que el ratón haga click } // digamos que te importa cada movimiento de 1px, resultando en un montón de peticiones ruidosas, probablemente usarías grids de 20-100px .main grid00 { // representando el primer pixel superior izquierdo x:0 y:0 background: url("position0_0.png"); width: 1px; height: 1px; } .main grid01 { // representando el primer pixel de la parte superior izquierda x:0 y:1 background: url("position0_0.png"); width: 1px; height: 1px; } // etc. generarías esas reglas css a través de scss (imagínalo como [I]scripted css[/I] que genera css estándar).


Podrías usar la fecha para saber si el usuario está activo en la pestaña, clasificar su comportamiento con el ratón (ej. a qué velocidad lo mueve, cuál es su posición preferida, si usa el ratón para leer el texto, etc. pp.)

Podrías crear reglas css para cada botón para saber "cómo pulsa el usuario un botón" (si se mueve desde abajo hacia arriba, la velocidad del movimiento, etc.) y por supuesto qué posición prefiere en los botones.

 

[cederroth]

Yo recomendaría no hacer más de una cosa a la vez cuando se utilizan tor, o colas.
Cuando quieras hacer otra cosa, sal de tails. y vuelve a entrar. Eso crea un nuevo id.
Si usted hace muchas cosas al mismo tiempo, uno puede ser capaz de conectar los puntos que usted no piensa.