Як убезпечити себе від невидимих ​​відбитків пальців браузера

відбитки пальців лайтбокс


Що таке дактилоскопія браузера?

Поширена слідча техніка в правоохоронних органах – збирати відбитки пальців на місці злочину. На момент збору невідомо, до кого належать ці відбитки пальців, тому мета – оптовий збір для подальшого аналізу. Ці відбитки пальців пізніше співпадають із базою даних відбитків пальців з відомими власниками для виявлення конкретних людей.

Відбитки пальців браузера, відбитки пальців на к.а., працює так само: оптовий збір якомога більшої кількості ідентифікаційних точок браузера на веб-сайті, який згодом може бути узгоджений із характеристиками браузера відомих людей. В обох типах відбитків пальців аналіз може не виявити особу людини, але все ж може показати, що одна і та ж людина здійснювала різні дії.

Більшість любителів конфіденційності знають, що основним способом їх ідентифікації в Інтернеті є використання їх IP-адреси. TCP / IP, набір протоколів, якими користується Інтернет, обов’язково вимагає, щоб Ваша IP-адреса надсилалася з кожним запитом, щоб веб-сервер знав, куди надсилати відповідь.

Віртуальні приватні мережі (VPN) стали популярними протягом останніх кількох років, як спосіб приховати реальну IP-адресу, запозичивши IP-адресу у вашого постачальника VPN, яку поділяють багато людей. Це ефективно приховує вашу справжню IP-адресу. Трафік у журналі веб-сервера просто показує IP-адресу VPN. Але що ще надсилає ваш браузер, щоб VPN не міг очищати? Багато чого залежить від конфігурації вашого браузера, але деякі з них просто не можуть допомогти. Співвіднесення даних у запитах вашого веб-переглядача може дозволити комусь ідентифікувати вас, навіть якщо ви використовуєте VPN.

Як робиться дактилоскопія?

Збір даних може здійснюватися двома способами; на сервері та за допомогою клієнтських технологій, таких як JavaScript та Adobe Flash®.

Колекція на стороні сервера

Журнали доступу до веб-сайтів на сервері можуть збирати дані, які надсилаються вашим браузером. Як мінімум, це зазвичай запитуваний протокол і URL-адреса, запитуюча IP-адреса, референт (sic) та рядок агента користувача.

nginx-журнал доступу

Давайте подивимось на стандартний запис запису доступу до Nginx запиту за допомогою браузера Safari. Це виглядає приблизно так:

11.22.33.4 – – [18 / квіт. / 2017: 08: 04: 17 -0300] "GET /using-expressvpn-with-ubuntu-linux-mint-or-debian-linux/HTTP/1.1" 200 12539 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, як і Gecko) Версія / 10.1 Safari / 603.1.30"

Моя IP-адреса, браузер та операційна система включені до запиту. Веб-переглядач та операційна система включені в рядок агента користувача, який є цією частиною запиту:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, як і Gecko) Версія / 10.1 Safari / 603.1.30"

Якщо я завантажую ту саму сторінку за допомогою Chrome, єдиною різницею є те, що агент користувача тепер відображається як Chrome. У журналі відображається однаковий IP та та сама операційна система. Два пункти недостатньо для того, щоб провести конкретне порівняння, але достатньо вказати, що ці два запити могли походити від однієї людини.

11.22.33.4 – – [18 / квіт. / 2017: 08: 05: 36 -0300] "GET / using-expressvpn-with-ubuntu-linux-mint-or-debian-linux / HTTP / 1.1" 200 12581 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, як і Gecko) Chrome / 57.0.2987.133 Safari / 537.36"

Веб-сервери також можуть бути налаштовані для реєстрації набагато більше даних у своїх журналах доступу, використовуючи специфікатори формату журналу.

Крім того, що може бути записано у журналах доступу до веб-сервера, браузери також надсилають ряд заголовків. Веб-сервер повинен знати, які типи вмісту та стиснення розуміє браузер. Також надзвичайно часто обмін файлами cookie між браузерами та веб-серверами. У інструментах для розробників мого браузера Chrome я бачу, що ці заголовки також були надіслані з моїм запитом і можуть бути додатково використані для відбитків пальців браузером:

: авторитет: slumpedoverkeyboarddead.com
: метод: GET
: path: / using-expressvpn-with-ubuntu-linux-mint-or-debian-linux /
: схема: https
прийняти: text / html, application / xhtml + xml, application / xml; q = 0.9, image / webp, * / *; q = 0.8
accept-encoding: gzip, deflate, sdch, br
Мова прийняття: en-US, en; q = 0,8
печиво: _ga = GA1.2.251051396.1499461219; _gat = 1
dnt: 1
референт: https: //slumpedoverkeyboarddead.com/
оновлення-незахищеність-запити: 1
user-agent: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, як і Gecko) Chrome / 57.0.2987.133 Safari / 537.36

Колекція на стороні клієнта

Ця інформація на сервері легко збирається, але наші старі друзі на стороні клієнта JavaScript і Adobe Flash® зрадять набагато більше, набагато більше про ваш браузер. В Інтернеті є ряд сайтів, на яких буде показано, скільки даних надасть ваш браузер, коли його запитають.

Наприклад, я вчусь у Am I Unique? що мій браузер надасть жахливий список інформації з мого браузера, наприклад:

  • кожен шрифт, наявний у моїй системі
  • список встановлених я плагінів
  • роздільна здатність мого екрана
  • мова моєї системи
  • чи приймає мій браузер cookie
  • і більше. Весь перелік того, що збирає Am I Unique, є тут, і більше можливо.

Таблиця нижче взята з документа Am I Unique1, опублікованого в березні 2016 року. Зауважте, що двома найбагатшими областями збору даних є JavaScript на базі клієнта та Adobe Flash®

amiunique-attributes-table

Розглянемо приклад вище, де журнали сервера показували мій IP, браузер та операційну систему. Тепер додайте до списку інформацію, яку надають JavaScript та Adobe Flash®, і ви можете почати бачити, наскільки легко було б співвідносити відвідування. Якщо, наприклад, два відвідування мають однаковий набір даних, крім IP-адреси, все-таки можна було б зробити висновок, що ці відвідування були від однієї особи. Це особливо корисна методика, коли хтось використовує VPN, що робить їх IP-адресу менш корисною як точку ідентифікації.

При використанні VPN єдиною точкою даних, яка змінюється, є IP-адреса запитувача. Am I Unique показує, що він може збирати 21 точку даних, навіть не включаючи три точки даних із журналів сервера. Тому використання VPN для зміни однієї точки даних (ваша IP-адреса) все ще залишає 23 точки даних для порівняння.

У правоохоронних органах не існує глобального стандарту для дактилоскопічного відбитку людини, але, безумовно, будь-який відбиток пальців з 23 точками відповідності вважався б здоровим доказом.

Оновлення: Firefox оголосив, що блокує спроби дактилоскопії полотна веб-сайтів, починаючи з версії 58. На графіці вище ви помітите, що інформація про полотно з мого браузера розміщує мене в досить невеликому наборі браузерів. Видаючи конкретні запити на веб-переглядач і перемішуючи результати, веб-сайти можуть звузити це до дуже унікального відбитка пальця. Починаючи з Firefox 58, веб-переглядач запропонує користувачам схвалювати запити на полотні, перш ніж дозволити їх.

Як працює порівняння?

Більшість людей, що займаються конфіденційністю, думають, що чим менше ви надаєте інформації, тим кращою буде ваша конфіденційність. Це справедливо лише у світі, де ви можете не робити справ. Наприклад, якщо я не хочу мати будь-якої особистої інформації у Facebook, я вирішу не використовувати Facebook. Однак користуватися Інтернетом практично неможливо в ці дні, тому ви обов’язково збираєтеся залишати відбитки пальців. Тому тут мета – унеможливити співвідношення вашої приватної діяльності з вашою публічною діяльністю. Підтримка цього роз’єднання не дозволяє комусь ототожнювати вас особисто з даними про діяльність, яку ви хочете залишати приватною.

Однак хороші методи конфіденційності, такі як блокування веб-переглядача, щоб заборонити JavaScript, файли cookie та запити webRTC, лише зроблять ваш браузер унікальнішим, оскільки це робить менше людей. Наприклад, використовуючи Panopticlick Foundation Electronic Frontier Foundation, ми можемо побачити різницю в двох конфігураціях. Якщо увімкнено Javascript, мій браузер легко відстежувати:

panopticlick-general-stats-js

Якщо вимкнено JavaScript, мій веб-переглядач все ще відстежується, але він стає настільки унікальним, що відповідає лише 1 у приблизно 100 000 браузерах. Якщо врахувати, що є мільярди користувачів Інтернету, бути 1 на 100 000 порівняно унікально.

panopticlick-general-stats-no-js

Важливо зауважити, що доступних даних для відбитків пальців у нас дуже мало. Хоча існує ряд сайтів, таких як Am I Unique (352 000 записів на даний момент), Panopticlick (470,161 записів) та інші, вони мають відносно невеликий обсяг даних для роботи. Крім того, цілком ймовірно, що більшість цих даних надходили від орієнтованих на конфіденційність користувачів, а не від загальної кількості Інтернет, тому статистика, мабуть, не дуже відображає середнього користувача в Інтернеті. Реальна небезпека пов’язана з можливістю того, що сайти, такі як Facebook, що мають 1,86 мільярда постійних користувачів щомісяця, збирають масивні бази даних даних про відбитки пальців у браузері. Коли дуже популярні сайти, подібні до цього, починають збирати дані про відбитки пальців у браузері, привид невидимого відстеження Інтернету стає дуже реальним.

Чим унікальніший ваш веб-переглядач, тим простіше його виявити на різних сайтах. Тож у цьому випадку заблокувати веб-переглядач насправді не платять. З іншого боку, серфінг в Інтернеті з незахищеним браузером є надзвичайно ризикованою діяльністю в наші дні, тож найкраще рішення?

Як можна захистити себе

Оскільки не існує можливого способу безпечного використання одного і того ж браузера для здійснення вашої приватної та публічної діяльності в Інтернеті, найкращий захист від відбитків пальців зараз – це розділення цих двох заходів. Використовуйте одну систему чи веб-переглядач для щоденних заходів, а окрему – для приватних заходів. Краще піти на крок далі та використовувати інструмент анонімності, такий як Whonix, для вашої приватної діяльності, щоб забезпечити ще більше розмежування між вашою приватною та публічною діяльністю. Для досягнення цього розділення потрібна хороша оперативна безпека.

OpSec (Операційна безпека)

OpSec – це процес збору великої кількості доступної інформації про когось, який здається незв’язаним на перший погляд, але його можна проаналізувати, щоб надати деяку дуже конкретну інформацію. Дуже очевидний приклад – увійти до свого облікового запису Facebook, використовуючи інструмент конфіденційності, такий як Tor. Після входу ви підтвердили свою особу без необхідності, щоб противник аналізував відбиток вашого браузера..

Немає кінця помилкам OpSec, які можуть полегшити співвідношення вашої громадської та приватної діяльності в Інтернеті, але ось кілька вихідних моментів.

  1. Ваша приватна діяльність в Інтернеті ніколи не повинна включати використання будь-якого веб-сайту, який ви також використовуєте у своєму суспільному житті в Інтернеті. Кореляція облікових записів, наприклад приклад Facebook, скоротиться через ваші спроби конфіденційності.
  2. Ваша приватна діяльність повинна уникати складання повідомлень. Це захищає від стилометричного аналізу. Якщо неможливо уникнути складання повідомлень, вам слід суттєво змінити стиль написання.
  3. Використовуйте зовсім іншу комп’ютерну систему, яка постійно підключена до інструменту анонімності, наприклад Tor або довіреної VPN, для вашої приватної діяльності. Це допомагає запобігти випадковому витоку даних, таких як запити DNS або запити WebRTC.
  4. Якщо ви використовуєте VPN як для приватних, так і для загальнодоступних інтернет-заходів, підключіться до іншого VPN-сервера для кожного типу діяльності. Ви також можете використовувати VPN з Tor, і в цьому випадку є деякі VPN, які краще працюють з Tor, ніж інші.
  5. Не використовуйте повторно імена користувачів, адреси електронної пошти чи будь-яку іншу інформацію облікового запису зі своєї публічної діяльності у межах вашої приватної діяльності. Це захищає від залишення ненавмисного сліду панірувальних сухарів, наприклад, такого, який допоміг визначити власника незаконного ринку шовкового шляху..

Поділ вашої такої діяльності не завадить певній мірі відбивати відбитки пальців ні на вашій публічній, ні на приватній діяльності, але це може запобігти взаємозв’язку між цими двома видами діяльності. Спостерігач, ймовірно, зможе сказати, що та сама особа займалася тією приватною діяльністю, але менше зможе прив’язати цю особу до вашої публічної ідентичності.

Відбитки пальців у браузері та GDPR

GDPR та майбутнє Положення про конфіденційність ePrivacy, ймовірно, регулюватимуть відбитки пальців у веб-переглядачі, а також інші способи відстеження користувачів, як cookies. GDPR ніколи не згадує відбитки пальців браузера прямо, але це навмисно; Законодавці навчилися з минулого досвіду зберігати правила нейтрально щодо будь-якої конкретної технології. З іншого боку, Регламент ePrivacy чітко згадує відбитки пальців на пристрої.

Натомість GDPR просто визначає особисті дані як будь-яку інформацію, яка може бути пов’язана з ідентифікованою особою. Сюди входить багато ідентифікаторів, включаючи файли cookie, IP-адреси, ідентифікатори реклами та, так, дактилоскопію. Фонд електронних кордонів пояснює, що “для ідентифікації не потрібно встановлювати особу користувача:

“Досить, що суб’єкт, що обробляє дані, може опосередковано ідентифікувати користувача на основі псевдонімних даних, щоб здійснити певні дії, засновані на такій ідентифікації (наприклад, представити різні оголошення різним користувачам на основі їхніх профілів). Це те, що влада ЄС називає виділенням, взаємозв’язком або висновком “.

GDPR заявляє, що будь-яка організація, яка обробляє персональні дані, повинна довести, що вони мають законні підстави. Крім того, Директива про конфіденційність щодо електронної конфіденційності, яка, ймовірно, набуде чинності у 2019 році, вимагатиме, щоб веб-сайти та програми отримували згоду користувачів перед відстеженням. Крім того, підприємства, які мають відбитки пальців, повинні дозволяти користувачам бачити, яку інформацію вони збирають, а також її обсяг, мету та юридичну основу.

“Вимірювання відбитків пальців AmIUnique з прикладом браузера”. П’єр Лапердрикс, Вальтер Рудаметкін, Бенуа Бодрі. Краса і звір: перенаправлення сучасних веб-браузерів для створення унікальних відбитків браузера. 37-й симпозіум IEEE з безпеки та конфіденційності (S&P 2016), травень 2016, Сан-Хосе, США.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map