В рамках этой главы мы кратко пройдемся по основным угрозам, с которыми вы подробно познакомитесь в процессе изучения нашего курса. И начнем мы с угроз деанонимизации и уникализации пользователя.

Деанонимизация

Деанонимизация − процесс установления личности пользователя в сети либо подлинного места выхода в сеть. 

Понятие деанонимизации неотделимо от понятия анонимности. Анонимность − это возможность посещать сайты, совершать какие-либо активные действия на веб-ресурсах, например оставлять сообщения, без возможности связать ваши действия с вашей реальной личностью или местом вашего выхода в сеть.

Многие приравнивают анонимность к сокрытию подлинного IP-адреса, но это очень упрощенный подход. Во-первых, злоумышленник может провести JavaScript-атаку и, используя уязвимости в веб-браузере, получить доступ к вашему устройству. Дальше, получив контроль над устройством, постараться определить владельца на основе анализа посещаемых сайтов, реального IP-адреса, документов и информации в мессенджерах. Во-вторых, через сайт можно проверить наличие у вас аккаунтов в социальных сетях, где вы авторизованы. Если вы авторизованы в Facebook и там указаны ваши реальные данные, владелец сайта сможет получить их незаметно для вас.

Пассивная и активная деанонимизация: разница и методы.

Пассивная деанонимизация основана на сборе информации из общедоступных источников, таких как социальные сети, публичные базы данных и веб-сайты. Злоумышленник собирает и анализирует доступную информацию о цели, чтобы выявить ее личные данные.

В начале января 2022 года известный западный журналист Брайан Кребс деанонизировал хакера Михаила Матвеева за голову которого ФБР объявило награду в 10млн$. Кребс специализируется на анализе данных из различных источников и сопоставлении информации. Его работа позволила выявить жителя Абакана благодаря его пренебрежительному отношению к безопасности и использованию неверифицированных аккаунтов

Активная деанонимизация происходит когда злоумышленник предпринимает активные методы сбора информации о пользователе. Это может быть использование вредоносного JavaScript, фишинг. Киберпреступники стремятся получить доступ к информации, хранимой в браузере, такой как IP-адрес, история посещенных сайтов, сохраненные документы, а также списки социальных сетей, на которых зарегистрирована жертва.

Методы деанонимизации

Рассмотрение основных методов деанонимизации, включая анализ IP-адресов и мак-адресов.

• Мониторинг сетевого трафика: Слежение за интернет-трафиком может раскрывать IP-адрес пользователя и идентификаторы устройств. Это особенно актуально, когда пользователь не использует инструменты анонимизации, такие как VPN или Tor.
• Анализ метаданных: Метаданные содержат информацию о файле или сообщении, включая дату, время, местоположение и другие детали. Злоумышленники могут использовать метаданные для выявления личности пользователя.
• Корреляция данных: Злоумышленники могут объединять информацию из различных источников, чтобы установить личность пользователя. Это может включать в себя анализ данных из социальных сетей, форумов, комментариев и других публичных источников.
• Фишинг: Атаки фишинга предполагают обман пользователя с целью получения его личных данных, таких как пароли, логины или финансовая информация.
• Атаки на анонимизирующие сети: Например, атаки на сеть Tor могут попытаться выявить реальные IP-адреса пользователей, обходя механизмы анонимизации.
• Анализ поведения: Злоумышленники могут анализировать онлайн-поведение пользователя, чтобы выявить его личность. Это может включать в себя анализ стиля общения, предпочтений и других характеристик.
• Атаки на куки и сессии: Куки и сессии, используемые для отслеживания пользователей в интернете, могут быть подвержены атакам, что позволяет злоумышленникам раскрывать их личность.
• Социальная инженерия: Этот метод включает в себя обман пользователей, чтобы они раскрывали свою личную информацию или информацию о других пользователях.
• Вредоносные программы: Злоумышленники могут использовать вредоносные программы, чтобы получить доступ к компьютеру пользователя и выявить его личные данные.
• Перехват и анализ коммуникаций: Мониторинг и анализ электронных сообщений и коммуникаций также могут помочь в деанонимизации.
   

  Совет

  Постоянно следите за обновлениями вашей операционной системы, приложений и программного обеспечения. Устанавливайте их сразу, как только они становятся доступными. Обновления часто содержат исправления уязвимостей.

Защита от деанонимизации

Работать в интернете анонимно, не оставляя за собой «цифровой след», очень сложно, для того чтобы остаться незамеченным, необходимо осознавать основные ошибки, связанные с разглашением личной информации. Вот краткий перечень рекомендаций:

• Избегайте использования одного и того же никнейма на различных форумах, социальных сетях и других онлайн-ресурсах.
• Не размещайте реальные фотографии, включая даже детские снимки.
• Избегайте публикации фотографий, которые могут раскрывать ваше местоположение.
• Не раскрывайте личные данные.
• Не используйте реквизиты для оплаты, зарегистрированные на ваше имя.
• Настраивайте максимальную приватность везде, где это возможно.
• Содержитесь в публикациях и не делитесь лишней информацией.
• Используйте специальные приложения, расширения и программы для сокрытия вашей личной информации.

 Уникализация

 Уникализация - поиск и сбор уникальных идентификаторов браузера для формирования уникального отпечатка, по которому всегда можно будет узнавать данный браузер независимо от IP-адреса и предоставляемых пользователем данных. Уникализация, как правило, не несет задачи установить личность пользователя, а лишь узнавать его в любой ситуации.

Например, вы зашли на сайт, где оставили свои данные, пусть это будет интернет-магазин. Этот магазин установил у себя антифрод систему, призванную защищать от мошенников. Антифрод система получила уникальный отпечаток вашего браузера и данные о вас, указанные при заказе. Получив эту информацию, она может узнать вас на любом сайте, который вы открыли и где размещены ее скрипты, хотите вы этого или нет.

В настоящее время практически каждый человек проводит значительную часть своего времени в онлайне. Это мотивирует компании вкладывать огромные бюджеты в интернет-рекламу. Для того чтобы она была действенной, необходимо опознавать одного и того же пользователя на различных веб-сайтах, в разных браузерах и на различных устройствах. Без такой идентификации невозможно дать ответ на ключевые вопросы, которые имеют решающее значение для рекламодателей:

• Нажал ли пользователь на рекламу, которую он только что просмотрел?
• Представляет ли собой человек, который просматривал продукт сегодня, того же самого пользователя, который видел эту рекламу несколько дней назад?
• Какие интересы у пользователя, который на данный момент находится перед компьютером и просматривает рекламный контент?
• Сколько раз мы уже показали одну и ту же рекламу одному и тому же пользователю?

Основные методы сбора информации о компьютере пользователя

• Canvas Fingerprint: Как упомянуто ранее, Canvas Fingerprint основан на том, как браузер рендерит изображения и графику. Этот метод использует различия в рендеринге, которые могут быть уникальными для каждого компьютера. Такие различия могут включать в себя информацию о графической карте, операционной системе и других параметрах.
• WebGL fingerprint (отпечаток WebGL) - это метод сбора информации о компьютере пользователя, который основан на параметрах и характеристиках, связанных с технологией WebGL (Web Graphics Library), используемой в веб-браузерах для отрисовки трехмерной графики и визуализации на веб-страницах.
• User-Agent String: Это строка, которую браузер отправляет на сервер в заголовке HTTP-запроса. Она содержит информацию о версии браузера, операционной системе и других характеристиках клиентского устройства. Хотя эта информация не всегда уникальна, она может помочь в идентификации пользователя.
• Суперкуки (Supercookies): Это файлы cookie, которые специально созданы для отслеживания пользователя и сохраняются на его устройстве долгое время. Они могут использовать различные методы для идентификации, включая IP-адрес, браузерные параметры и другие характеристики.
• Хэш IP-адреса: Этот метод создает уникальный хэш на основе IP-адреса пользователя. Хотя IP-адрес может быть изменен, хэш может использоваться для отслеживания пользователя между сменой адреса.
• Шрифтовой отпечаток (Font Fingerprint): Информация о шрифтах, доступных на компьютере пользователя, может быть использована для создания уникального идентификатора. Каждый компьютер может иметь свой набор шрифтов, что делает этот метод полезным для отслеживания.

Эти методы могут использоваться как для целей аналитики, так и для маркетинговых целей. Однако они вызывают вопросы в области приватности, и пользователи могут принимать меры для уменьшения отслеживания, такие как использование инструментов для защиты приватности и настройки безопасности браузера.

Основные способы идентификации пользователя

Cookie - Файлы cookie в основном используются для трех целей:
Управление сеансами — Логины, корзины покупок, результаты игр или что-то еще, что сервер должен запомнить.
Персонализация — Пользовательские настройки, темы и другие настройки
Отслеживание — Запись и анализ поведения пользователей
Когда-то файлы cookie использовались для общего хранения на стороне клиента. Хотя это имело смысл, когда они были единственным способом хранения данных на клиенте, теперь рекомендуются современные API-интерфейсы хранилища.

Характеристики устройства и браузера

HWID - уникальный отпечаток «железа», уникализирует устройство пользователя. Он может быть получен только при установке на ваш компьютер программы, которая соберет данные для уникализации. Уникализация устройства возможна благодаря наличию у комплектующих вашего компьютера уникальных серийных номеров. Серийный номер материнской платы, серийный номер жесткого диска задаются производителем, и изменить их − далеко не самая простая задача. Уникальные серийные номера есть даже у монитора и клавиатуры.

Даже если вы удалите программу, переустановите систему и вновь установите программу, она узнает вас по тому же HWID, сгенерированному на основе уникальных серийных номеров «железа» вашего компьютера. HWID и различные идентификаторы «железа» используются в основном для лицензирования программного обеспечения и антифрод системами приложений.

HTTP entity tag (ETag) - это часть заголовка HTTP-ответа, которая представляет собой уникальный идентификатор, присвоенный определенному ресурсу на веб-сервере. ETag используется для определения изменений в ресурсе и для кэширования данных на стороне клиента (браузера) и сервера.

Рекламные идентификаторы мобильных устройств (IDFA, Google’s AID, Microsoft’s Advertising ID и т. д.)
это уникальные идентификаторы, присваиваемые мобильным устройствам (смартфонам и планшетам) и используемые для идентификации конкретного устройства в рекламных целях. Они представляют собой строковые значения или номера, которые помогают рекламодателям и маркетологам отслеживать и достигать целевой аудитории на мобильных устройствах.

 Уникализация браузеров пользователей в основном используется для борьбы с мошенниками, но может быть использована для отслеживания и даже деанонимизации. 

В рамках нашего курса мы подробно разберем уникализацию и поможем вам надежно защититься от данной угрозы.