Деанонимизация пользователей VPN и proxy через User agent и отпечатки браузера
Сразу хочу оговориться: в данной статье я использую «User agent» в качестве обобщенного термина для собираемой сайтами информации. Это хотя и не совсем верно с точки зрения терминологии, зато просто и понятно читателям.
Я уже касался в курсе угрозы уникализации, и теперь пришло время рассмотреть практическое использование уникализации для деанонимизации. Многих неподкованных пользователей эта тема пугает своей сложностью, но на самом деле ничего сложного в ней нет.
Каждый из вас путешествует по сайтам и использует для этого специальное программное обеспечение, называемое браузером. Мы работаем с разными браузерами: кто-то с Chrome, кто-то с Safari, у кого-то Яндекс.Браузер, самые разумные используют Mozilla, ну а некоторые до сих пор Internet Explorer. Но даже если у трех человек один и тот же браузер, например Mozilla Firefox, один работает с операционной системы Windows, другой с macOS, а третий с Linux Mint. Один обновляет браузер вовремя, а другой до сих пор использует устаревшую версию, у одного язык браузера английский, у другого – русский.
Сайту нужны сведения о вашем браузере: например, язык браузера, чтобы понять, какую версию мультиязычного сайта вам показать; разрешение, чтобы понять, мобильную или обычную версию сайта вам предоставить.
Сайты могут видеть многое, даже ваше системное время, оно часто используется для простой проверки наличия VPN или proxy. Предположим, вы используете VPN и ваш IP-адрес указывает, что вы находитесь в славном городе Вашингтоне. А вот ваше системное время и русский язык браузера говорят, что вы, скорее, находитесь где-то в европейской части России.
Посмотреть информацию о своем браузере вы можете по этой ссылке.
И вот сайт получил информацию о вас: тип и версию браузера, тип операционной системы, язык, системное время, разрешение экрана и некоторую другую техническую информацию. Как вы думаете, много ли найдется людей, у которых все эти данные совпадают? На самом деле, их не так мало, и по некоторым комбинациям может составлять миллионы.
Естественно, ни о какой уникализации речи идти не может, только о сужении круга. Необходимы еще показатели, которые сделают данного посетителя сайта еще уникальнее, и вот тут в игру вступают отпечатки: Canvas, WebGl и audio fingerprint.
В этом курсе у нас не одна глава будет посвящена этим отпечаткам, здесь скажу кратко. Canvas и WebGL – отпечатки, получаемые благодаря тому, что все наши браузеры обрабатывают 2D- и 3D-графику немного по-разному. В совокупности эти отпечатки обладают довольно высокой уникальностью. Посмотреть свой отпечаток Canvas вы можете тут, а WebGL – тут.
Audio fingerprint – отпечаток, получаемый благодаря особенностям обработки звука. Посмотреть свой отпечаток можно по данной ссылке.
Уникальность каждого отдельного отпечатка не так высока, если вы не используете какой-нибудь плагин для подмены Canvas или WebGL. Обычно такие плагины выдают абсолютно уникальное значение отпечатка, и вот в этом случае ваша уникальность становится стопроцентной. Сложно придумать что-то хуже использования подобного плагина.
Но даже если вы не используете таких плагинов, когда ваши отпечатки складываются вместе, к ним добавляются иные данные браузера, и уникальность становится очень высокой, вплоть до 1-10 устройств во всем мире.
Миф
По отпечаткам можно вычислить пользователя.
Реальность
Отпечатки, как и User agent, в совокупности ведут лишь к уникализации, но никак не к вычислению (деанонимизации) пользователя.
Итак, с помощью данных браузера и отпечатков мы уникализировали браузер пользователя, а как же происходит деанонимизация, иными словами, получение подлинного IP-адреса или сразу личности пользователя?
Представьте себе ситуацию: преступник покупает в интернет-магазине товар, расплатившись краденой картой. Магазин использует антифрод систему, которая собирает данные о покупателях, включая все их отпечатки. У владельца магазина на руках IP-адрес, который, естественно, не принадлежит пользователю (у подобного рода мошенников распространено проксирование трафика с использованием SSH-туннеля), и все данные его браузера, включая User agent и отпечатки.
Во-первых, владелец магазина может добавить его в черный список, и преступник, не сменив отпечатки, более ничего не купит, а если он их сменит, современные антифрод системы обнаруживают такие подмены и ограничивают пользователей.
Во-вторых, он может обратиться в правоохранительные органы. Представим, что владелец магазина потерял много денег и обращается к правоохранительным органам. За дело берется ФБР. Кибермошенничество уже давно стало их коньком, и много киберпреступников из разных стран мира посетили скамью американского суда.
Из информации о преступнике есть IP-адрес сервера, через который он проксировал интернет-трафик. И первым делом они, безусловно, проверят, кто подключался к серверу. Часто мошенники используют купленные на черном рынке взломанные сервера и подключаются к ним через SSH.
У ФБР есть контакт и с Интерполом, и со всеми ведущими хостинг- и интернет-провайдерами, а даже если нет, мало кто решится не ответить на их запрос. Киберпреступник, вероятно, использует несколько уровней защиты, подключаясь к конечному прокси через другой инструмент проксирования трафика. Это не вызовет проблем, просто займет немного больше времени.
Киберпреступники из России, как правило, хорошо осведомлены о данных возможностях спецслужб и не переоценивают защиту, даваемую proxy и VPN. Потому используют мобильный интернет при помощи 4G-модемов и купленных без оформления на свои данные сим-карт, в результате в руках спецслужб оказывается лишь примерное место выхода киберпреступника в сеть.
И здесь на помощь приходят отпечатки браузера. Вы, вероятно, ждете услышать, что берутся отпечатки браузера, оставленные преступником, и по ним он деанонимизируется? Нет, это невозможно, как бы вас ни пугали отпечатками, они не столь опасны в этом случае.
Однако они эффективны в другом случае. Например, мошенник имеет несколько аккаунтов в Google в одном браузере. С одного из них он шлет мошеннические письма, другой использует в личных целях. Это не обязательно должен быть Google, пусть это будет Facebook. И Google, и Facebook собирают отпечатки и используют их для поиска аккаунтов, зарегистрированных с одного устройства.
Мошенник хорошо разбирается в вопросах безопасности, использует режим инкогнито для «грязных дел» и разные VPN. Но благодаря User agent и отпечаткам, система видит, что это один человек.
Дальше его преступления ложатся в основу уголовного дела, и правоохранительные органы отправляют запрос условному Google с целью получить данные о пользователе, включая информацию, какие еще аккаунты у него есть. Как вы понимаете, они получат все аккаунты мошенника, включая личные, по которым его можно вычислить.
Предложенный метод практически не работает против пользователей браузера Тор, хотя многие компании и пытаются их уникализировать, по моим сведениям, пока это получается у них весьма посредственно.Ну а главной защитой от данной угрозы является использование разных браузеров. В этом случае и User agent, и отпечатки браузера будут отличаться.
