Làm thế nào để bảo vệ bạn trước dấu vân tay của trình duyệt vô hình

Dấu vân tay trình duyệt là gì?

Một kỹ thuật điều tra phổ biến trong thực thi pháp luật là thu thập dấu vân tay tại hiện trường của một tội phạm. Tại thời điểm thu thập, nó không biết những dấu vân tay đó thuộc về ai, vì vậy mục tiêu là bộ sưu tập bán buôn để phân tích sau này. Những dấu vân tay này sau đó được đối chiếu với cơ sở dữ liệu dấu vân tay với chủ sở hữu đã biết để xác định những người cụ thể.

Trình duyệt vân tay, a.k.a. dấu vân tay vải, hoạt động theo cùng một cách: bộ sưu tập bán buôn càng nhiều điểm nhận dạng trình duyệt càng tốt tại một trang web mà sau đó có thể được khớp với các đặc điểm trình duyệt của những người đã biết. Trong cả hai loại dấu vân tay, phân tích có thể không tiết lộ danh tính của một người nhưng vẫn có thể cho thấy cùng một người thực hiện các hoạt động khác nhau.

Hầu hết những người đam mê quyền riêng tư đều biết rằng cách chính mà họ có thể được xác định trực tuyến là thông qua việc sử dụng địa chỉ IP của họ. TCP / IP, bộ giao thức mà internet sử dụng, nhất thiết phải yêu cầu địa chỉ IP của bạn được gửi với mọi yêu cầu để máy chủ web biết nơi gửi phản hồi.

Mạng riêng ảo (VPN) đã trở nên phổ biến trong vài năm qua như một cách để che giấu địa chỉ IP thực của bạn bằng cách mượn địa chỉ IP từ nhà cung cấp VPN được nhiều người chia sẻ. Điều này có hiệu quả che giấu địa chỉ IP thực của bạn. Lưu lượng truy cập trong máy chủ web Nhật ký đơn giản chỉ hiển thị địa chỉ IP VPN. Nhưng trình duyệt của bạn còn gửi gì nữa mà VPN không thể xóa sạch? Phần lớn phụ thuộc vào cấu hình trình duyệt của bạn, nhưng một số chỉ đơn giản là không thể giúp được. Tương quan dữ liệu trong trình duyệt Yêu cầu của bạn có thể cho phép ai đó nhận dạng bạn, ngay cả khi bạn sử dụng VPN.

Làm thế nào là lấy dấu vân tay?

Việc thu thập dữ liệu có thể được thực hiện theo hai cách; trên máy chủ và thông qua các công nghệ phía máy khách như JavaScript và Adobe Flash®.

Bộ sưu tập phía máy chủ

Nhật ký truy cập trang web trên máy chủ có thể thu thập dữ liệu được gửi bởi trình duyệt của bạn. Tối thiểu, đó thường là giao thức và URL được yêu cầu, địa chỉ IP yêu cầu, tham chiếu (sic) và chuỗi tác nhân người dùng.

Hãy cùng xem một mục nhập nhật ký truy cập Nginx tiêu chuẩn của một yêu cầu bằng trình duyệt Safari. Nó trông như thế này:

11,22.33.4 – – [18 tháng 4 năm 2023: 08: 04: 17 -0300] "NHẬN /USE-expressvpn-with-ubfox-linux-mint-or-debian-linux/HTTP/1.1" 200 12539 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, như Gecko) Phiên bản / 10.1 Safari / 603.1.30"

Địa chỉ IP, trình duyệt và hệ điều hành của tôi được bao gồm trong yêu cầu. Trình duyệt và hệ điều hành được bao gồm trong chuỗi tác nhân người dùng, đây là một phần của yêu cầu:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, như Gecko) Phiên bản / 10.1 Safari / 603.1.30"

Nếu tôi tải cùng một trang bằng Chrome, sự khác biệt duy nhất là tác nhân người dùng hiện hiển thị dưới dạng Chrome. Nhật ký hiển thị cùng một IP và cùng một hệ điều hành. Hai điểm không đủ để đưa ra một so sánh cụ thể, nhưng nó đủ để chỉ ra rằng hai yêu cầu này có thể đến từ cùng một người.

11,22.33.4 – – [18 tháng 4 năm 2023: 08: 05: 36 -0300] "GET / using-expressvpn-with-ubfox-linux-mint-or-debian-linux / HTTP / 1.1" 200 12581 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, như tắc kè) Chrome / 57.0.2987.133 Safari / 537.36"

Các máy chủ web cũng có thể được cấu hình để ghi nhật ký nhiều dữ liệu hơn trong nhật ký truy cập của nó bằng cách sử dụng các chỉ định định dạng nhật ký.

Ngoài những gì có thể được ghi lại trong nhật ký truy cập máy chủ web, trình duyệt cũng gửi một loạt các tiêu đề. Máy chủ web cần biết loại nội dung và nén mà trình duyệt hiểu. Nó cũng cực kỳ phổ biến đối với các cookie được trao đổi giữa các trình duyệt và máy chủ web. Trong các công cụ phát triển của trình duyệt Chrome của tôi, tôi thấy rằng các tiêu đề này cũng được gửi cùng với yêu cầu của tôi và có thể được sử dụng thêm để lấy dấu vân tay bởi trình duyệt:

: thẩm quyền: slumpedoverkeyboarddead.com
: phương thức: NHẬN
: path: / using-expressvpn-with-ub Ubuntu-linux-mint-or-debian-linux /
: lược đồ: https
chấp nhận: văn bản / html, ứng dụng / xhtml + xml, ứng dụng / xml; q = 0.9, hình ảnh / webp, * / *; q = 0.8
mã hóa chấp nhận: gzip, defat, sdch, br
ngôn ngữ chấp nhận: en-US, en; q = 0.8
cookie: _ga = GA1.2.251051394.1499461219; _gat = 1
dnt: 1
người giới thiệu: https: //slumpedoverkeyboarddead.com/
nâng cấp-không an toàn-yêu cầu: 1
tác nhân người dùng: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, như Gecko) Chrome / 57.0.2987.133 Safari / 537.36

Bộ sưu tập phía khách hàng

Đó là thông tin phía máy chủ dễ dàng được thu thập, nhưng JavaScript và Adobe Flash® của bạn bè cũ của chúng tôi sẽ phản bội nhiều hơn, nhiều hơn về trình duyệt của bạn. Có một số trang web trên internet sẽ hiển thị bao nhiêu dữ liệu trình duyệt của bạn sẽ cung cấp khi được hỏi.

Ví dụ, tôi học từ Am I Unique? rằng trình duyệt của tôi sẽ cung cấp một danh sách thông tin đáng ngại từ trình duyệt của tôi, chẳng hạn như:

• mỗi phông chữ có sẵn trên hệ thống của tôi
• danh sách các plugin tôi đã cài đặt
• độ phân giải màn hình của tôi
• ngôn ngữ của hệ thống của tôi
• trình duyệt của tôi có chấp nhận cookie không
• và hơn thế nữa. Toàn bộ danh sách những gì Am I Unique thu thập được ở đây, và nhiều hơn nữa là có thể.

Bảng dưới đây được lấy từ một tờ Am I Unique1 được xuất bản vào tháng 3 năm 2016. Lưu ý rằng hai lĩnh vực thu thập dữ liệu phong phú nhất là JavaScript phía Adobe và Adobe Flash®

Hãy xem xét ví dụ ở trên nơi nhật ký máy chủ hiển thị IP, trình duyệt và hệ điều hành của tôi. Bây giờ hãy thêm vào danh sách thông tin mà JavaScript và Adobe Flash® cung cấp và bạn có thể bắt đầu thấy việc truy cập các lượt truy cập dễ dàng như thế nào. Ví dụ, nếu hai lượt truy cập chia sẻ chính xác cùng một bộ dữ liệu ngoại trừ địa chỉ IP, thì vẫn có thể suy ra rằng các lượt truy cập đó là của cùng một người. Đây là một kỹ thuật đặc biệt hữu ích khi ai đó đang sử dụng VPN, làm cho địa chỉ IP của họ không hữu ích như một điểm nhận dạng.

Khi sử dụng VPN, điểm dữ liệu duy nhất thay đổi là địa chỉ IP của người yêu cầu. Am I Unique cho thấy nó có thể thu thập 21 điểm dữ liệu, thậm chí không bao gồm ba điểm dữ liệu từ nhật ký máy chủ. Do đó, sử dụng VPN để thay đổi một điểm dữ liệu (địa chỉ IP của bạn) vẫn để lại 23 điểm dữ liệu để so sánh.

Không có tiêu chuẩn toàn cầu về dấu vân tay của con người trong thực thi pháp luật, nhưng chắc chắn bất kỳ dấu vân tay nào với 23 điểm phù hợp sẽ được coi là bằng chứng lớn.

Cập nhật: Firefox đã thông báo rằng họ sẽ chặn các trang web Các nỗ lực lấy dấu vân tay của canvas bắt đầu từ phiên bản 58. Bạn sẽ chú ý trong hình bên trên rằng thông tin canvas từ trình duyệt của tôi đưa tôi vào một nhóm trình duyệt nhỏ. Bằng cách đưa ra các yêu cầu canvas cụ thể cho trình duyệt và băm kết quả, các trang web có thể thu hẹp điều đó xuống một dấu vân tay rất độc đáo. Bắt đầu với Firefox 58, trình duyệt sẽ nhắc người dùng phê duyệt các yêu cầu canvas trước khi cho phép chúng.

Làm thế nào để so sánh làm việc?

Hầu hết những người có đầu óc riêng tư đều có suy nghĩ rằng bạn cung cấp càng ít thông tin thì quyền riêng tư của bạn sẽ càng tốt. Điều này chỉ đúng trong một thế giới nơi bạn có thể chọn không làm việc. Ví dụ: nếu tôi không muốn có bất kỳ thông tin cá nhân nào trên Facebook, thì tôi chọn không sử dụng Facebook. Tuy nhiên, hầu như không thể sử dụng internet vào tất cả những ngày này, do đó, bạn sẽ nhất thiết phải để lại dấu vân tay. Do đó, mục tiêu ở đây là gây khó khăn cho các hoạt động riêng tư của bạn có tương quan với các hoạt động công cộng của bạn. Việc duy trì sự tách biệt này ngăn chặn bất kỳ ai nhận dạng bạn, cá nhân, với dữ liệu từ các hoạt động mà bạn muốn giữ riêng tư.

Tuy nhiên, các kỹ thuật bảo mật tốt như khóa trình duyệt của bạn để không cho phép javascript, cookie và yêu cầu webRTC sẽ chỉ làm cho trình duyệt của bạn trở nên độc đáo hơn do có ít người làm điều đó. Ví dụ, bằng cách sử dụng Electronic Frontier Foundation, Panopticlick, chúng ta có thể thấy sự khác biệt trong hai cấu hình. Khi bật Javascript, trình duyệt của tôi có thể dễ dàng theo dõi:

Khi javascript bị tắt, trình duyệt của tôi vẫn có thể theo dõi, nhưng nó trở nên độc đáo đến mức nó chỉ phù hợp với 1 trong khoảng 100.000 trình duyệt. Khi bạn cho rằng có hàng tỷ người dùng internet, thì 1 trên 100.000 là tương đối độc đáo.

Điều quan trọng cần lưu ý là thực sự có rất ít dữ liệu dấu vân tay có sẵn để kiểm tra. Mặc dù có một số trang web như Am I Unique (352.000 bản ghi tại thời điểm này), Panopticlick (bản ghi 470.161) và các trang khác, chúng có một lượng dữ liệu tương đối nhỏ để làm việc. Đồng thời, có lẽ hầu hết dữ liệu đó đến từ những người dùng có tư duy bảo mật hơn là dân số nói chung, vì vậy các số liệu thống kê có thể không phản ánh đúng với người dùng internet trung bình. Mối nguy hiểm thực sự đến từ khả năng các trang web như Facebook, với 1,86 tỷ người dùng thường xuyên hàng tháng, đang biên soạn cơ sở dữ liệu khổng lồ về dữ liệu vân tay của trình duyệt. Khi các trang web rất phổ biến như thế bắt đầu thu thập dữ liệu vân tay của trình duyệt, bóng ma của theo dõi internet vô hình trở nên rất thật.

Trình duyệt của bạn càng độc đáo, càng dễ xác định trên các trang web. Vì vậy, trong trường hợp này, nó không thực sự phải trả tiền để khóa trình duyệt của bạn. Mặt khác, lướt web bằng trình duyệt không an toàn là một hoạt động cực kỳ rủi ro trong những ngày này, vì vậy, giải pháp tốt nhất là gì?

Làm thế nào bạn có thể bảo vệ mình

Vì không có cách khả thi nào để sử dụng an toàn cùng một trình duyệt để thực hiện cả hoạt động internet riêng tư và công cộng của bạn, nên cách bảo vệ tốt nhất chống lại dấu vân tay ngay bây giờ là tách hai hoạt động đó. Sử dụng một hệ thống hoặc trình duyệt cho các hoạt động hàng ngày của bạn và một hệ thống riêng cho các hoạt động riêng tư của bạn. Tốt nhất là nên tiến thêm một bước và sử dụng một công cụ ẩn danh như Whonix cho các hoạt động riêng tư của bạn để đảm bảo sự tách biệt thậm chí còn lớn hơn giữa các hoạt động riêng tư và công cộng của bạn. Việc tách biệt này sẽ đòi hỏi bảo mật hoạt động tốt.

OpSec (Bảo mật hoạt động)

OpSec là quá trình thu thập một lượng lớn thông tin có sẵn về một người nào đó dường như không liên quan ngay từ cái nhìn đầu tiên, nhưng có thể được phân tích để cung cấp một số thông tin rất cụ thể. Một ví dụ rất rõ ràng là đăng nhập vào tài khoản Facebook của bạn trong khi sử dụng công cụ bảo mật như Tor. Khi bạn đăng nhập, bạn đã xác nhận danh tính của mình mà không cần đối thủ phân tích dấu vân tay trình duyệt của bạn.

Không có kết thúc cho những sai lầm ngớ ngẩn của OpSec có thể làm cho mối tương quan giữa các hoạt động internet công cộng và riêng tư của bạn dễ dàng hơn, nhưng đây là một số điểm khởi đầu.

1. Các hoạt động internet riêng tư của bạn không bao giờ liên quan đến việc sử dụng bất kỳ trang web nào bạn cũng sử dụng trong cuộc sống internet công cộng của mình. Tương quan tài khoản, chẳng hạn như ví dụ Facebook, sẽ cắt giảm thông qua các nỗ lực bảo mật của bạn.
2. Các hoạt động riêng tư của bạn nên tránh soạn tin nhắn. Điều này bảo vệ chống lại phân tích stylometric. Nếu không thể tránh soạn tin nhắn, bạn nên tìm cách thay đổi phong cách viết của mình một cách đáng kể.
3. Sử dụng một hệ thống máy tính hoàn toàn khác được kết nối vĩnh viễn với một công cụ ẩn danh như Tor hoặc VPN đáng tin cậy cho các hoạt động riêng tư của bạn. Điều này giúp ngăn ngừa rò rỉ dữ liệu vô ý như truy vấn DNS hoặc yêu cầu WebRTC.
4. Nếu bạn sử dụng VPN cho cả hoạt động internet riêng tư và công cộng, hãy kết nối với máy chủ VPN khác nhau cho từng loại hoạt động. Bạn cũng có thể muốn sử dụng VPN với Tor, trong trường hợp đó có một số VPN hoạt động tốt hơn với Tor so với các VPN khác.
5. Không sử dụng lại tên người dùng, địa chỉ email hoặc bất kỳ thông tin tài khoản nào khác từ các hoạt động công khai trong các hoạt động riêng tư của bạn. Điều này bảo vệ chống lại việc để lại một vệt bánh mì vô tình, chẳng hạn như thứ giúp xác định chủ sở hữu của thị trường Con đường tơ lụa bất hợp pháp.

Việc tách riêng các hoạt động của bạn như thế này sẽ không ngăn các hoạt động công khai hoặc riêng tư của bạn bị lấy dấu vân tay ở một mức độ nào đó, nhưng nó có thể ngăn chặn mối tương quan giữa hai loại hoạt động này. Một người quan sát có thể sẽ có thể nói rằng cùng một người đã thực hiện các hoạt động riêng tư đó, nhưng ít có khả năng ràng buộc người đó với danh tính công khai của bạn.

Dấu vân tay trình duyệt và GDPR

GDPR và Quy định bảo mật điện tử sắp tới có thể sẽ điều chỉnh dấu vân tay của trình duyệt, cũng như các phương tiện khác để theo dõi người dùng như cookie. GDPR không bao giờ đề cập đến việc lấy dấu vân tay của trình duyệt một cách rõ ràng, nhưng điều này là có chủ ý; Các nhà lập pháp đã học được từ kinh nghiệm trong quá khứ để giữ các quy tắc trung lập của bất kỳ công nghệ cụ thể. Mặt khác, Quy chế bảo mật điện tử không đề cập rõ ràng đến dấu vân tay của thiết bị.

Thay vào đó, GDPR chỉ định nghĩa dữ liệu cá nhân là bất kỳ thông tin nào có thể được liên kết với một cá nhân có thể nhận dạng được. Điều này bao gồm nhiều số nhận dạng bao gồm cookie, địa chỉ IP, ID quảng cáo và, vâng, có dấu vân tay. Tổ chức Electronic Frontier Foundation giải thích rằng nhận dạng của người dùng không yêu cầu thiết lập danh tính người dùng:

Một số lượng dữ liệu xử lý thực thể có thể gián tiếp xác định người dùng, dựa trên dữ liệu giả danh, để thực hiện một số hành động nhất định dựa trên nhận dạng đó (ví dụ: để hiển thị quảng cáo khác nhau cho những người dùng khác nhau, dựa trên hồ sơ của họ). Đây là những gì chính quyền EU gọi là đơn lẻ, khả năng liên kết hoặc suy luận.

GDPR nêu bất kỳ thực thể nào xử lý dữ liệu cá nhân phải chứng minh rằng họ có lý do chính đáng để làm. Hơn nữa, Chỉ thị ePrivacy có thể sẽ có hiệu lực vào năm 2023 sẽ yêu cầu các trang web và ứng dụng phải có được sự đồng ý của người dùng trước khi theo dõi chúng. Trên hết, các doanh nghiệp có dấu vân tay phải cho phép người dùng xem thông tin họ thu thập cũng như phạm vi, mục đích và cơ sở pháp lý của nó.

Các trình duyệt của Trình duyệt đo dấu vân tay AmIUnique với một ví dụ. Pierre Laperdrix, Walter Rudametkin, Benoit Baudry. Beauty and the Beast: Chuyển hướng các trình duyệt web hiện đại để xây dựng dấu vân tay trình duyệt độc đáo. Hội thảo chuyên đề về bảo mật và quyền riêng tư lần thứ 37 (S&P 2016), tháng 5 năm 2016, San Jose, Hoa Kỳ.