Как защитить себя от невидимых отпечатков пальцев браузера

лайтбокс с отпечатками пальцев


Что такое дактилоскопия в браузере?

Обычная методика расследования в правоохранительных органах - сбор отпечатков пальцев на месте преступления. Во время сбора неизвестно, кому принадлежат эти отпечатки пальцев, поэтому цель - оптовая сбор для последующего анализа. Эти отпечатки пальцев впоследствии сопоставляются с базой данных отпечатков пальцев известных владельцев для идентификации конкретных людей..

Отпечатки браузера, a.k.a. отпечатки пальцев на холсте, работает аналогичным образом: оптовый сбор как можно большего числа идентификационных точек браузера на веб-сайте, который затем можно сопоставить с характеристиками браузера известных людей. При обоих типах снятия отпечатков пальцев анализ может не выявить личность человека, но все же может показать, что один и тот же человек выполнял разные действия.

Большинство энтузиастов конфиденциальности знают, что основным способом их идентификации в Интернете является использование их IP-адреса. TCP / IP, набор протоколов, который использует Интернет, обязательно требует, чтобы ваш IP-адрес отправлялся при каждом запросе, чтобы веб-сервер знал, куда отправлять ответ.

Виртуальные частные сети (VPN) стали популярными за последние несколько лет как способ скрыть ваш реальный IP-адрес, заимствуя IP-адрес у вашего VPN-провайдера, которым пользуются многие люди. Это эффективно скрывает ваш реальный IP-адрес. Трафик в журнале веб-сервера просто показывает IP-адрес VPN. Но что еще ваш браузер отправляет, что VPN не может очистить? Многое из этого зависит от конфигурации вашего браузера, но с некоторыми просто невозможно помочь. Сопоставление данных в запросах вашего браузера может позволить кому-то идентифицировать вас, даже если вы используете VPN.

Как делается дактилоскопия??

Сбор данных может быть сделан двумя способами; на сервере и с помощью клиентских технологий, таких как JavaScript и Adobe Flash®.

Коллекция на стороне сервера

Журналы доступа к веб-сайту на сервере могут собирать данные, отправленные вашим браузером. Как минимум, это обычно запрашиваемый протокол и URL, запрашивающий IP-адрес, реферер (sic) и строка агента пользователя.

Nginx-доступ журнал

Давайте посмотрим на стандартную запись в журнале доступа Nginx запроса с помощью браузера Safari. Это выглядит так:

11.22.33.4 - - [18 / апр / 2017: 08: 04: 17 -0300] "GET /using-expressvpn-with-ubuntu-linux-mint-or-debian-linux/HTTP/1.1" 200 12539 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, как Gecko) Версия / 10.1 Safari / 603.1.30"

Мой IP-адрес, браузер и операционная система включены в запрос. Браузер и операционная система включены в строку агента пользователя, которая является этой частью запроса:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, как Gecko) Версия / 10.1 Safari / 603.1.30"

Если я загружаю ту же страницу с помощью Chrome, единственное отличие состоит в том, что пользовательский агент теперь отображается как Chrome. Журнал показывает тот же IP и ту же операционную систему. Двух точек недостаточно, чтобы провести конкретное сравнение, но достаточно указать, что эти два запроса могли поступить от одного и того же человека..

11.22.33.4 - - [18 / апр / 2017: 08: 05: 36 -0300] "GET / using-expressvpn-with-ubuntu-linux-mint-or-debian-linux / HTTP / 1.1" 200 12581 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 57.0.2987.133 Safari / 537.36"

Веб-серверы также могут быть настроены так, чтобы регистрировать гораздо больше данных в своих журналах доступа с помощью спецификаторов формата журналов..

В дополнение к тому, что может быть записано в журналах доступа веб-сервера, браузеры также отправляют серию заголовков. Веб-сервер должен знать, какие типы содержимого и сжатия понимает браузер. Обмен файлами cookie между браузерами и веб-серверами также весьма распространен. В инструментах разработчика моего браузера Chrome я вижу, что эти заголовки были также отправлены с моим запросом и могут быть в дальнейшем использованы для идентификации в браузере:

: Власть: slumpedoverkeyboarddead.com
Метод: GET
: Путь: / с помощью-expressvpn-с-убунту-Linux-мята-или-Debian-Linux /
: Схема: HTTPS
принимаем: Текст / HTML, приложение / XHTML + XML, приложение / XML; д = 0,9, образ / WebP, * / *; д = 0,8
принять кодировку: gzip, deflate, sdch, br
Accept-Language: EN-US, еп, д = 0,8
печенье: _ga = GA1.2.251051396.1499461219; _gat = 1
ДНТ: 1
реферер: https: //slumpedoverkeyboarddead.com/
обновить-небезопасные-запросов: 1
пользовательский агент: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 57.0.2987.133 Safari / 537.36

Коллекция на стороне клиента

Это информация на стороне сервера, которую легко собирать, но наши старые друзья на стороне клиента JavaScript и Adobe Flash® предадут намного больше информации о вашем браузере. В Интернете есть несколько сайтов, которые показывают, сколько данных будет предоставлять ваш браузер, когда их спросят..

Например, я учусь у меня уникальный? что мой браузер предоставит мне огромный список информации, такой как:

  • каждый шрифт, доступный в моей системе
  • список плагинов, которые я установил
  • разрешение моего экрана
  • язык моей системы
  • принимает ли мой браузер куки
  • и более. Весь список того, что я собираю, находится здесь, и возможно больше.

Приведенная ниже таблица взята из статьи Am I Unique1, опубликованной в марте 2016 года. Обратите внимание, что две самые богатые области сбора данных - это клиентский JavaScript и Adobe Flash®.

amiunique-атрибуты стола

Рассмотрим пример выше, где в журналах сервера показывался мой IP, браузер и операционная система. Теперь добавьте в список информацию, предоставляемую JavaScript и Adobe Flash®, и вы сможете начать видеть, как легко было бы соотнести посещения. Например, если при двух посещениях используется один и тот же набор данных, за исключением IP-адреса, все равно можно сделать вывод, что эти посещения принадлежали одному и тому же человеку. Это особенно полезный метод, когда кто-то использует VPN, что делает его IP-адрес менее полезным в качестве точки идентификации.

При использовании VPN единственной точкой данных, которая изменяется, является IP-адрес запрашивающей стороны. Является ли я уникальным показывает, что он может собрать 21 точек данных точек, даже не включая три точки данных из журналов сервера. Поэтому при использовании VPN для изменения одной точки данных (вашего IP-адреса) все еще остается 23 точки данных для сравнения..

В правоохранительных органах не существует глобального стандарта для снятия отпечатков пальцев с человека, но, безусловно, любой отпечаток пальца с 23 совпадающими точками будет считаться убедительным доказательством.

ОбновитьFirefox объявил, что он заблокирует попытки дактилоскопии веб-сайтов, начиная с версии 58. На приведенном выше рисунке вы заметите, что информация о холсте из моего браузера помещает меня в довольно небольшой пул браузеров. Отправляя конкретные запросы холста в браузер и хешируя результаты, веб-сайты могут сузить это до очень уникального отпечатка пальца. Начиная с Firefox 58, браузер будет предлагать пользователям утвердить запросы холста, прежде чем разрешить им.

Как работает сравнение?

Большинство людей, настроенных на конфиденциальность, считают, что чем меньше информации вы предоставляете, тем лучше будет ваша конфиденциальность. Это верно только в мире, где вы можете не делать вещи. Например, если я не хочу иметь какую-либо личную информацию на Facebook, я предпочитаю не использовать Facebook. Тем не менее, практически невозможно не пользоваться Интернетом в эти дни, поэтому вы обязательно оставите отпечатки пальцев. Поэтому цель здесь состоит в том, чтобы затруднить увязку ваших личных действий с вашими публичными действиями. Сохранение этого разделения не позволяет никому идентифицировать вас лично с данными о действиях, которые вы хотели бы сохранить в тайне.

Тем не менее, хорошие методы обеспечения конфиденциальности, такие как блокировка вашего браузера, чтобы запретить JavaScript, cookie-файлы и запросы webRTC, только сделают ваш браузер более уникальным, так как это делают меньше людей. Например, используя Panopticlick от Electronic Frontier Foundation, мы видим разницу в двух конфигурациях. С включенным Javascript мой браузер легко отслеживается:

panopticlick-общем-статистика-JS

С отключенным javascript мой браузер по-прежнему отслеживается, но он становится настолько уникальным, что соответствует только одному из примерно 100 000 браузеров. Если учесть, что есть миллиарды интернет-пользователей, то быть 1 на 100 000 - это относительно уникально.

panopticlick генерал-статистика-нет-JS

Важно отметить, что на самом деле очень мало данных о дактилоскопии, доступных для тестирования. Хотя существует ряд сайтов, таких как Am I Unique (352 000 записей в настоящее время), Panopticlick (470 161 запись) и другие, у них относительно небольшой объем данных для работы. Кроме того, вероятно, что большая часть этих данных была получена от пользователей, предпочитающих конфиденциальность, а не от общего числа пользователей интернета, поэтому статистика, вероятно, не очень отражает средний интернет-пользователь. Реальная опасность исходит от возможности того, что такие сайты, как Facebook, с 1,86 миллиардами постоянных пользователей в месяц, собирают огромные базы данных данных о дактилоскопии браузера. Когда очень популярные сайты, подобные этому, начинают собирать данные об отпечатках пальцев браузера, призрак невидимого интернет-отслеживания становится очень реальным.

Чем более уникален ваш браузер, тем легче его идентифицировать на разных сайтах. Таким образом, в этом случае не стоит платить за блокировку вашего браузера. С другой стороны, работа в Интернете с небезопасным браузером в наши дни является чрезвычайно рискованным занятием, поэтому какое решение лучше?

Как вы можете защитить себя

Поскольку не существует реального способа безопасного использования одного и того же браузера для выполнения ваших личных и общедоступных интернет-действий, наилучшей защитой от снятия отпечатков пальцев сейчас является разделение этих двух действий. Используйте одну систему или браузер для повседневной деятельности, а другую - для личной. Лучше сделать еще один шаг и использовать инструмент анонимности, например Whonix, для своей частной деятельности, чтобы обеспечить еще большее разделение между частной и публичной деятельностью. Для обеспечения этого разделения потребуется хорошая операционная безопасность..

OpSec (операционная безопасность)

OpSec - это процесс сбора большого количества доступной информации о ком-то, что на первый взгляд кажется несвязанным, но может быть проанализировано для предоставления некоторой очень конкретной информации. Очень очевидный пример - вход в учетную запись Facebook с использованием инструмента конфиденциальности, такого как Tor. После того, как вы вошли в систему, вы подтвердили свою личность, и злоумышленнику не нужно анализировать отпечатки вашего браузера..

Нет конца грубым ошибкам OpSec, которые могут упростить соотношение вашей публичной и частной интернет-активности, но вот некоторые отправные точки.

  1. Ваша личная интернет-деятельность никогда не должна включать использование сайта, который вы также используете в своей публичной интернет-жизни. Корреляция аккаунта, такая как пример Facebook, обрежет ваши попытки конфиденциальности.
  2. Ваши личные действия должны избегать написания сообщений. Это защищает от стилометрического анализа. Если невозможно избежать написания сообщений, вам следует значительно изменить свой стиль письма..
  3. Используйте совершенно другую компьютерную систему, которая постоянно подключена к инструменту анонимности, такому как Tor, или доверенному VPN для вашей личной деятельности. Это помогает предотвратить непреднамеренную утечку данных, такую ​​как запросы DNS или запросы WebRTC.
  4. Если вы используете VPN как для своей частной, так и для публичной интернет-деятельности, подключитесь к другому VPN-серверу для каждого типа активности. Вы также можете использовать VPN с Tor, и в этом случае некоторые VPN работают лучше с Tor, чем другие..
  5. Не используйте повторно имена пользователей, адреса электронной почты или любую другую информацию учетной записи в ваших публичных действиях в ваших личных действиях. Это защищает от непреднамеренного следования крошек, таких как тот, который помог определить владельца незаконного рынка Шелкового пути.

Такое разделение ваших действий не помешает в какой-то степени ни вашей публичной, ни частной деятельности быть отпечатками пальцев, но может предотвратить корреляцию между этими двумя типами действий. Наблюдатель, вероятно, сможет сказать, что тот же человек занимался этими частными действиями, но не сможет связать этого человека с вашей публичной личностью..

Отпечатки пальцев в браузере и GDPR

GDPR и предстоящий Регламент ePrivacy, скорее всего, будут регулировать дактилоскопию в браузере, а также другие средства отслеживания пользователей, такие как куки-файлы. GDPR никогда не упоминает явную дактилоскопию браузера, но это сделано намеренно; законодатели извлекли уроки из прошлого опыта, чтобы правила были нейтральными в отношении любой конкретной технологии. Регламент ePrivacy, с другой стороны, прямо упоминает отпечатки пальцев устройства.

Вместо этого GDPR просто определяет персональные данные как любую информацию, которая может быть связана с идентифицируемым лицом. Это включает в себя множество идентификаторов, включая файлы cookie, IP-адреса, рекламные идентификаторы и, да, дактилоскопию. Фонд Electronic Frontier объясняет, что «идентификация не требует установления личности пользователя:

«Достаточно того, что объект, обрабатывающий данные, может косвенно идентифицировать пользователя на основе псевдонимов, чтобы выполнить определенные действия на основе такой идентификации (например, для представления разных объявлений разным пользователям на основе их профилей). Это то, что власти ЕС называют выделением, связностью или выводом ».

GDPR заявляет, что любая организация, которая обрабатывает персональные данные, должна доказать, что у них есть законные основания для этого. Кроме того, директива ePrivacy, которая, вероятно, вступит в силу в 2019 году, потребует, чтобы веб-сайты и приложения получили согласие пользователей на их отслеживание, прежде чем их отслеживать. Вдобавок ко всему, компании, которые имеют отпечатки пальцев, должны позволять пользователям видеть, какую информацию они собирают, а также ее объем, назначение и правовую основу..

«Браузерные измерения отпечатков пальцев AmIUnique на примере». Пьер Лапердрикс, Вальтер Рудаметкин, Бенуа Бодри. Красавица и чудовище: современные веб-браузеры для создания уникальных отпечатков браузера. 37-й симпозиум IEEE по безопасности и конфиденциальности (S&P 2016), май 2016, Сан-Хосе, США.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

21 − = 20

map