Pobieranie odcisków palców w przeglądarce

[HEISENBERG]

Wiele osób korzysta z sieci Anonymity Networks, aby ukryć swój adres IP i lokalizację - ale istnieje inny sposób, w jaki można zostać zidentyfikowanym i śledzonym: poprzez odciski palców przeglądarki.

Za każdym razem, gdy korzystasz z Internetu, Twój komputer lub urządzenie przekazuje odwiedzanym witrynom bardzo szczegółowe informacje o Twoim systemie operacyjnym, ustawieniach, a nawet sprzęcie. Wykorzystanie tych informacji do identyfikacji i śledzenia użytkownika w Internecie jest znane jako odcisk palca urządzenia lub przeglądarki.

W miarę jak przeglądarki stają się coraz bardziej powiązane z systemem operacyjnym, wiele unikalnych szczegółów i preferencji może zostać ujawnionych za pośrednictwem przeglądarki. Suma tych danych wyjściowych może zostać wykorzystana do stworzenia unikalnego "odcisku palca" do celów śledzenia i identyfikacji.
Odcisk palca przeglądarki może odzwierciedlać:

• nagłówek User Agent;
• nagłówek Accept;
• nagłówek Connection;
• nagłówek kodowania;
• nagłówek Language;
• lista wtyczek;
• platforma;
• preferencje dotyczące plików cookie (dozwolone lub nie)
• preferencje Do Not Track (tak, nie lub nie przekazano);
• strefa czasowa;
• rozdzielczość ekranu i głębia kolorów;
• korzystanie z lokalnej pamięci masowej;
• korzystanie z pamięci sesji;
• obraz renderowany za pomocą elementu HTML Canvas;
• obraz renderowany za pomocą WebGL;
• obecność AdBlock;
• lista czcionek.

Skuteczność identyfikacji w ten sposób jest dobrze opisana tutaj: http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Czy strony testujące fingerprinting przeglądarki są bardzo dokładne?

Tak i nie.

Tak, strony te dostarczają dokładnych informacji o odcisku palca przeglądarki i różnych zbieranych wartościach.

Nie, wnioski dotyczące "unikalności" przeglądarki z tych stron mogą być bardzo niedokładne i bardzo mylące. Oto dlaczego:

Próbka danych: Cover Your Tracks i amiunique.org porównują odcisk palca przeglądarki z gigantyczną bazą danych starych, przestarzałych przeglądarek - z których wiele nie jest już używanych. Podczas testowania odcisku palca przeglądarki za pomocą zaktualizowanej przeglądarki może się okazać, że jest on niezwykle rzadki i unikalny, mimo że większość osób korzysta z tej samej zaktualizowanej wersji. I odwrotnie, uruchomienie testu ze starą, przestarzałą przeglądarką może pokazać bardzo dobry wynik (nie unikalny), podczas gdy w rzeczywistości bardzo niewiele osób korzysta obecnie ze starszej przeglądarki.
Rozdzielczość ekranu: Przynajmniej na komputerach stacjonarnych większość ludzi regularnie dostosowuje rozmiar ekranu przeglądarki. Każda mniejsza wartość rozmiaru ekranu będzie mierzona jako czynnik unikalności, co może być mylące.
Losowe odciski palców: Innym problemem związanym z tymi witrynami testowymi jest to, że nie uwzględniają one losowych odcisków palców, które można regularnie zmieniać za pomocą rozszerzeń przeglądarki. Ta metoda może być skutecznym sposobem zapobiegania fingerprintingowi w świecie rzeczywistym, ale nie można jej przetestować/skwantyfikować za pomocą tych stron.

Ogólnie rzecz biorąc, witryny testujące odciski palców przeglądarki są dobre do ujawniania unikalnych informacji i wartości, które można renderować z przeglądarki. Poza tym jednak próba pokonania testu poprzez uzyskanie najniższego wyniku "unikalności" może być stratą czasu i przynieść efekt przeciwny do zamierzonego.

Oto kilka dobrych sposobów na złagodzenie odcisku palca przeglądarki:
Zdecydowanie zaleca się, aby wszystko, co można uznać za związane z Darknetem, nie było wykonywane w normalnym systemie operacyjnym lub domyślnej przeglądarce. Zaleca się posiadanie oddzielnego urządzenia do tego celu.

Pamiętaj, aby się uczyć:

Zatrzyjślady

Zobacz, jak trackery widzą twoją przeglądarkę

coveryourtracks.eff.org

https://amiunique.org/ to kolejne dobre źródło. Jest to otwarte źródło i zawiera więcej informacji oraz zaktualizowane techniki pobierania odcisków palców, w tym webGL i canvas.

 

[Chemman]

Czy są jakieś precedensy, kiedy diler narkotyków został zatrzymany za identyfikację odcisków palców przeglądarki?
Czy JS jest tak niebezpieczny dla darknetu?

 

[Alenciss]

Istnieje wiele znanych luk w zabezpieczeniach, które zostały wykorzystane do deanonimizacji użytkowników Tora poprzez wykorzystanie JavaScript.

Pierwszym poważnym incydentem, w którym do tego doszło, było przejęcie "Freedom Hosting" przez FBI. FBI utrzymywało serwery online, a następnie zainstalowało płatne skrypty JavaScript, które wykorzystywały exploit zero-day w przeglądarce Firefox. Spowodowało to, że komputery oddzwaniały do serwera FBI z ich prawdziwego, niezanonimizowanego adresu IP, co doprowadziło do deanonimizacji różnych użytkowników. Więcej na ten temat można przeczytać w Ars Technica.

Ogólnie rzecz biorąc, włączenie JavaScript otwiera powierzchnię dla wielu potencjalnych ataków na przeglądarkę internetową. W przypadku poważnego przeciwnika, takiego jak podmiot wspierany przez państwo (np. FBI), ma on dostęp do exploitów zero-day. Jeśli wektory dla tych zero-day są wyłączone (np. JavaScript), to mogą mieć trudności ze znalezieniem realnego exploita, nawet jeśli mają dostęp do zero-day itp.

Jedynym powodem, dla którego projekt Tor pozwala na domyślne włączenie JavaScript w przeglądarce Tor, jest użyteczność. Wielu użytkowników Tora nie jest zaawansowanych technicznie, a JavaScript jest powszechnie używany z HTML5 w nowoczesnych witrynach internetowych. Wyłączenie JavaScript powoduje, że wiele stron internetowych jest bezużytecznych, dlatego jest on domyślnie włączony.

Najlepszą praktyką jest wyłączenie JavaScript w przeglądarce Tor i pozostawienie NoScript włączonego dla wszystkich witryn, chyba że masz bardzo ważny powód, aby tego nie robić.

 

[MuricanSpirit]

Afaik WebRTC - używany głównie jako voip - może być również używany do pobierania odcisków palców (api pokazuje, jakie urządzenia są dostępne, np. Chrome zdradza, czy masz podłączony kontroler Xbox).

Jedną z unikalnych technik fingerprintingu innych niż js jest użycie css odpowiednio do zapytania @media (widok responsywny) w celu pobrania odcisku palca poprzez "pobieranie za każdym razem nowego obrazu", gdy zmienia się rozmiar przeglądarki. Dzięki temu mogą stwierdzić, czy masz monitor 4k lub czy korzystasz z maszyny wirtualnej (większość maszyn wirtualnych ma domyślnie dostępne tylko 2 rozmiary). Jedynym sposobem na "uniknięcie" tego fingerprintingu jest nie zmienianie rozmiaru przeglądarki tor po jej uruchomieniu (uruchomi się ona w domyślnym rozmiarze).

np.

@media only screen and (max-width: 600px) { body { background: url("maxwidth600.png") } }

W ten sposób serwer wie, jaką szerokość ma przeglądarka. Punkt końcowy (np. /images/widthWHATEVER.png) nie musi nawet zwracać obrazu, a mimo to przeglądarka za każdym razem zapyta o niego podczas zmiany rozmiaru.

Mogą również użyć twojego "zachowania związanego ze zmianą rozmiaru", aby cię zidentyfikować, np. jesteś jedynym użytkownikiem z 1'000'000 próbek, który wielokrotnie zmienia rozmiar z x-szerokości na y-szerokość.

Istnieje tak wiele technik pobierania odcisków palców, że jest to niewiarygodne. Najlepiej jest unikać witryn, którym nie ufasz.

 

[HEISENBERG]

Jedyne rozsądne rozwiązanie

 

[MuricanSpirit]

Podążaj za myszą bez js (chociaż wygaśnięcie, nigdy nie widziałem tego ani nie słyszałem, że jest używany):

Działa to w backendzie w zasadzie w ten sam sposób, w jaki działa "odcisk palca rozdzielczości", ładując obraz (serwer może odpowiedzieć 404 nie znaleziono), który informuje backend o współrzędnych myszy.

// nigdy nie próbowane .main { -z-index: 999999; // umieść nad wszystkim width: 100%; height: 100%; position: absolut; top: 0; left: 0; pointer-events: none; // let the mouse click through } // letts say you care about each 1px movement, resulting in a lot of noisy requests, you probably would use 20-100px grids .main grid00 { // representing top left first pixel x:0 y:0 background: url("position0_0.png"); width: 1px; height: 1px; } .main grid01 { // reprezentujący lewy górny pierwszy piksel x:0 y:1 background: url("position0_0.png"); width: 1px; height: 1px; } // itd. wygenerowałbyś te reguły css poprzez scss (wyobraź sobie to jako [I]scripted css[/I], który generuje standardowy css).


Możesz użyć daty, aby dowiedzieć się, czy użytkownik jest aktywny na karcie, sklasyfikować jego zachowanie myszy (np. jak szybko ją przesuwa, gdzie jest jego preferowana pozycja, czy używa myszy do czytania tekstu itp. itd.)

Można utworzyć takie reguły css dla każdego przycisku, aby wiedzieć "jak użytkownik naciska przycisk" (czy porusza się od dołu do góry, prędkość ruchu itp.) i oczywiście, jaką pozycję preferuje na samych przyciskach.

 

[cederroth]

Zalecałbym, aby nie robić więcej niż jednej rzeczy na raz podczas korzystania z tor lub tails.
Kiedy chcesz zrobić coś innego, wyloguj się z tails i zaloguj ponownie. To tworzy nowy identyfikator.
Jeśli robisz wiele rzeczy w tym samym czasie, ktoś może być w stanie połączyć kropki, o których nie myślałeś.