Fingerprinting – czym jest i jak mu skutecznie zapobiegać?

payload.pl 3 lat temu

Powszechnie znana definicja odcisku palca oznacza odcisk linii papilarnych, które znajdują się na opuszkach palców. Ale jak rozpoznać odciski palców cyberprzestępców, którzy nie ujawniają swoich linii papilarnych bo ich narzędziem jest komputer/laptop? Czy można skutecznie zatrzeć ślady pozostawione w sieci?

Okazuje się, iż istnieją tzw. cyfrowe odciski palców – takim mianem określany jest fingerprint. To charakterystyczny dla danego urządzenia zbiór danych, pobranych np. z przeglądarki (tzw. browser fingerprint), dzięki którym można zidentyfikować użytkownika przy ponownym wejściu na daną stronę.

W założeniach fingerprint przypomina trochę pliki cookies, choć jest to bardziej zaawansowane rozwiązanie. Co ważne – użytkownik nie może tych danych sam usunąć, w każdym razie nie wprost. Specjalnie przygotowane algorytmy fingerprintingu „zadają pytania” danemu urządzeniu i gromadzą informacje pochodzące z przeglądarki, systemu operacyjnego, a choćby poszczególnych programów.

Jak to działa?

Fingerprinting to działanie oparte na weryfikacji różnych faktów (np. czy na komputerze jest zainstalowany Adobe Flash), oraz analizie zbiorów danych (np. lista zainstalowanych w systemie czcionek), z wyników których tworzony jest „cyfrowy odcisk palca”. Bardziej zaawansowane algorytmy umożliwiają stworzenie odcisku palca całego urządzenia, na podstawie fingerprintów jego części składowych.

Techniki oparte na cyfrowych fingerprintach opierają się na założeniu o wirtualnej swoistości, co oznacza minimalne prawdopodobieństwo stworzenia przez algorytm takiego samego fingerprintu dla innego zbioru danych. Często dane pliki dokumentów, różnią się między sobą drobiazgami. Prawidłowy algorytm pobierania odcisków palców powinien gwarantować, iż generowane przez niego fingerprinty mają oczekiwany poziom unikalności. Gdyby okazało się, iż dwa pliki dają ten sam odcisk palca nastąpiłaby tzw. kolizja i jednoznaczne zidentyfikowanie danych byłoby niemożliwe. Dlatego wirtualne odciski palca mają najczęściej co najmniej 64-bitową długość – co zapewnia ich niepowtarzalność.

Jakie były początki?

Pierwowzorem rozwiązań fingerprintingowych był algorytm Rabina, wyposażony w matematyczną analizę prawdopodobieństwa danego zdarzenia. To algorytm dopasowania wzorca, który służy do lokalizowania w tekście określonego podciągu. Jednym z jego zastosowań jest wykrywanie plagiatu. Metoda Rabina nie zabezpiecza jednak przed złośliwymi atakami. Można za jej pomocą odkryć klucz i użyć go do modyfikacji danych nie zmieniając przy tym wzorca.

Kolejnymi protoplastami były algorytmy kryptograficzne np. MD5 oraz SHA-1 – będące popularną kryptograficzną funkcją skrótu, która z ciągu danych o dowolnej długości generuje 128-bitowy skrót. Wykonanie ich zajmuje więcej czasu niż stworzenie algorytmu Rabina, ale zapewniają one większe bezpieczeństwo w przypadku złośliwych ataków. Brakuje w nich jednak sprawdzonych gwarancji możliwości kolizji. Niemniej jednak znaleziono sposób na generowanie kolizji tych algorytmów, co obniża ich bezpieczeństwo w niektórych zastosowaniach (np. podpisywaniu plików).

Z powodu istnienia znanych ataków kryptoanalitycznych, funkcje te zdecydowanie nie powinny być używane w zastosowaniach wymagających odporności na kolizje, na przykład w podpisie cyfrowym.

Fingerprinting w praktyce

Narzędzie zainstalowane na danej stronie internetowej zadaje przeglądarce serię pytań – o zainstalowane wtyczki, oprogramowanie, wielkość i rozdzielczość ekranu, kartę graficzną, strefę czasową, listę obsługiwanych czcionek i wiele innych zmiennych.

Dwa sposoby fingerprintowania

Sposób I

Polega na odczytaniu informacji, które użytkownik sam może skonfigurować bądź zainstalować w systemie / przeglądarce, np.:

  • Numer IP
  • Języki ustawione w przeglądarce
  • Pluginy
  • User-agent
  • Podłączone urządzenia USB
  • Obsługiwane algorytmy i tryby szyfrowania SSL
  • Czcionki obecne w systemie
  • Właściwości ekranu

Przeanalizujmy kilka z powyższych przykładów z uwzględnieniem różnych systemów / przeglądarek.

Właściwości ekranu

Przeglądarki udostępniają całą długość i szerokość ekranu ale również obszar zajmowany przez strony. Paski przewijania w Windows czy Ubuntu znajdują się w charakterystycznych miejscach i mają charakterystyczną grubość. dzięki prostych matematycznych wyliczeń można tylko na podstawie szerokości ekranu stwierdzić czy mamy do czynienia np. z Windows czy Ubuntu (w standardowej konfiguracji) – do tego zaraz wrócimy. A co z użytkownikami Tor Browser? Neal Krawetz (ekspert w zakresie śledzenia komputerowego, profilingu, kryptografii i analizy kryptograficznej) opisał możliwości identyfikowania użytkowników korzystających z Tor Browser oraz określenia systemu, z jakiego korzystają.

Rozmiar okna i ekranu

Na przeglądarkach desktopowych rozmiar okna jest mniejszy niż rozmiar ekranu. Na urządzeniach mobilnych rozmiar okna może być większy niż rozmiar ekranu. W Tor Browser rozmiar okna i ekranu są takie same (by przeciwdziałać profilowaniu). To paradoksalnie umożliwia natychmiastowe wykrycie, iż użytkownik korzysta z Tor Browsera.

Rozmiar okna i obrazów na systemach Mac OS

Przeglądarka Tor Browser ustawia rozmiar okna na 1000×1000, przy mniejszych ekranach wybierze szerokość będącą wielokrotnością 200 pikseli i wysokość będącą wielokrotnością 100 pikseli. Krawetz odkrył, iż na MacOS X przeglądarka błędnie przelicza rozmiar okna (prawdopodobnie w związku z paskiem ikon na dole). jeżeli więc użytkownik Tor Browser ma rozmiar ekranu nie będący wielokrotnością 100, możemy go uznać za użytkownika MacOS X.

Pasek przewijania

Choć Tor Browser normalizuje rozmiary ekranu i okna to niestety nie normalizuje wielkości powierzchni strony widzianej przez użytkownika (viewport). jeżeli wyświetla się pasek przewijania, to na podstawie wielkości obszaru strony oraz wielkości okna można ocenić grubość paska przewijania. Paski przewijania są różne w różnych systemach:

  • Tor Browser na Windowsie 7/8/10 używa pasków o grubości 17 pikseli
  • Szerokość pasków na Linuksie może być różna w zależności od środowiska graficznego (mieści się w przedziale 10-16)

Zdaniem eksperta – choćby jeżeli użytkownik zindywidualizuje grubość paska, jest to charakterystyczny atrybut i teoretycznie może służyć do śledzenia użytkownika.

Czcionki

Aby sprawdzić, jakie czcionki zostały zainstalowane w danym komputerze, wcześniej trzeba zrozumieć mechanizm fallback zaimplementowany w przeglądarkach. Otóż znajdują się w nich tzw. czcionki bazowe (serif, sans-serif, monospace). W przypadku gdy w systemie operacyjnym nie ma wybranej czcionki, przez cały czas coś musi zostać wyrenderowane, żeby nie wyświetlała się pusta strona. Aby sprawdzić zainstalowane czcionki, należy:

  • wybrać długi i charakterystyczny ciąg znaków
  • kazać przeglądarce go wyrenderować – otrzymujemy wówczas fallback, który udało się wygenerować np. serif
  • zmierzyć długość tego ciągu
  • wybrać czcionkę, której obecność chcemy sprawdzić
  • wyrenderować czcionkę z wcześniejszym fallbackiem
  • jeśli długość ciągu jest inna niż fallback, tzn. iż dana czcionkę istnieje w systemie – jeżeli jest taka sama, czcionki w systemie nie ma

Sposób II

Polega na wykonaniu takiej operacji w przeglądarce, która umożliwi przejście przez wiele warstw w systemie, jednocześnie zachowując informacje z tych warstw (np. wywołania w JS funkcji acos). Każda z tych warstw zostawia ślad informacyjny pozwalający na identyfikację użytkownika, np.:

  • Canvas fingerprinting – to metoda fingerprintingu przeglądarki służąca do śledzenia użytkowników online, która umożliwia witrynom unikalną identyfikację i śledzenie odwiedzających dzięki elementu HTML5 canvas zamiast plików cookie przeglądarki, lub w inny podobny sposób. Gdy użytkownik odwiedza daną stronę – skrypt „odcisku palca” najpierw rysuje tekst z wybraną czcionką i rozmiarem oraz dodaje kolory tła. Następnie wywołuje odpowiednią metodę, aby pobrać dane w formacie zakodowanym w standardzie Base64. Na koniec skrypt pobiera hash danych pikseli zakodowanych w tekście, które służą jako „cyfrowy odcisk palca”. Taki sposób generowania odcisku palca nie wymaga osobnej analizy wszystkich opisanych wyżej parametrów, a jest w zupełności wystarczający, aby wygenerować unikalny odcisk palca i udostępniać go partnerom reklamowym w celu identyfikacji użytkowników, którzy odwiedzają powiązane witryny. Profil użytkownika można utworzyć na podstawie aktywności przeglądania przez niego stron, umożliwiając tym samym reklamodawcom kierowanie reklam do danych demograficznych i preferencji użytkownika. Można zidentyfikować, przez jakie warstwy przechodzi ten mechanizm, mając na uwadze:
    • sposoby implementacji canvas przez przeglądarkę
    • syscalle użyte przez przeglądarkę
    • arytmetykę liczb zmiennoprzecinkowych (w danym systemie)
    • sposób implementacji sterownika karty graficznej
    • co robi sama karta graficzna
Inne fingerprinty typu II działają analogicznie:
  • WebRTC fingerprinting – technologia, która umożliwia aplikacjom internetowym i witrynom przechwytywanie i opcjonalnie przesyłanie strumieniowe multimediów audio i/lub wideo, a także wymianę dowolnych danych między przeglądarkami bez pośrednictwa serwera. Zestaw standardów, który jest dostępny przez WebRTC, umożliwia udostępnianie danych i przeprowadzanie telekonferencji peer-to-peer bez konieczności instalowania przez użytkownika wtyczek lub innego oprogramowania.
  • WebGl fingerprinting – renderowanie obrazka w przeglądarce. Różne komputery z różną konfiguracją i z różnymi systemami inaczej je renderują.
  • Audio fingerprinting – odtwarzany jest bezgłośny dźwięk w przeglądarce i zapisywany jest do formatu binarnego, dzięki czemu można zidentyfikować użytkownika.

Po co to wszystko?

Cyfrowe odciski palców umożliwiają porównywanie i przesyłanie dużych zbiorów danych, zapewniają ochronę praw autorskich, wykrywają fraudy, pomagają śledzić przestępców. Można je także wykorzystywać do eliminowania powtarzających się części w zbiorze danych. To proces stosowany przy okazji tworzenia kopii zapasowych danych. Najczęściej jednak fingerprinty używane są w celu identyfikacji danego użytkownika lub jego urządzenia.

Przykład rozwiązań fingerprintingowych

  • Baza danych HashKeeper, prowadzona przez National Drug Intelligence Center, posiada bazę odcisków palców plików komputerowych „dobrych” i „złych” i udostępnia ją w aplikacjach dla organów ścigania.
  • Fingerprinting stosuje się w internetowych systemach płatniczych typu card not present do wykrywania i blokowania użytkowników, którzy próbują dokonać płatności skradzionymi kartami.
  • Wirtualne odciski palców są często używane w systemach antyfraudowych.

Nic nie jest doskonałe…

Jeśli zastosowany w danym rozwiązaniu fingerprintingowym algorytm jest mało podatny na wprowadzane na urządzeniu zmiany, może być mało odporny na kolizję. Tego typu rozwiązania stosowane są przeważnie na stronach o małym ruchu. Natomiast jeżeli algorytm zapewnia dużą unikalność fingerprintów – będzie składał się z wielu zmiennych, co skraca żywotność tworzonych przez niego odcisków. Można temu zaradzić przez połączenie ze sobą wielu typów fingerprintów. Należy jednak pamiętać, iż użycie zbyt wielu różnych rozwiązań również obniży stabilność.

Czy to jest narzędzie idealne? Czy można mówić o końcu prywatności w sieci? Niekoniecznie, bowiem wchodząc w dużo większa skalę okaże się, iż są dwie nieoczywiste adekwatności fingerprintów:

  • Stabilność – jak długo użytkownik ma ten sam fingerprint? (wszak może usunąć jedną czcionkę po miesiącu i już ma inny fingerprint).
  • Granularność – jak wielu różnych użytkowników posiada identyczną konfigurację sprzętową i ich fingerprint wygląda tak samo?

Czy to rozwiązuje problem fraudu? Zastosowanie fingerprintingu w systemach antyfraudowych przyczyniło się do tego, aby przestępcy zajmujący się cardingiem (pozyskiwaniem danych kart kredytowych) sięgnęli po rozwiązania, które pozwolą im ominąć te bariery. Często sami nie mają czasu, ochoty a najczęściej umiejętności i wiedzy, by zagłębiać się w coraz bardziej rozbudowane systemy antyfraudowe. Zaczęli sięgać po rozwiązania rodem z wschodniego rynku i programy próbujące rozwiązywać ich problemy. Najpopularniejsze z nich powstały w krajach byłego ZSRR. W tym opisane niżej:

Antidetect sposobem na fingerprinting?

Antidetect

To jedno z najstarszych rozwiązań używanych do obejścia systemów antyfraudowych, jest odpowiednikiem RFC dla nowszych narzędzi tego typu. Antidetect znany jest też pod nazwą browser antidetect. Do tej pory powstało kilka jego wersji, pierwsze pojawiły się w 2014 roku jako:

  • FFtools antidetect (oparty o Firefox)
  • IETools antidetect (oparty o Internet Explorer)
  • Hardware antidetect (narzędzie używane do oszukiwania internetowych kasyn).

Narzędzia te rozwijane są do dziś. Co oferują poszczególne wersje?

Wersja 5.x

Pierwsze wersje kierowane były do zaawansowanych użytkowników, którzy mogli korzystać z ustawień:

  • Nazwa przeglądarki i jej wersja
  • Język
  • Platforma (x86 czy x64)
  • Rozdzielczość (jednocześnie przeglądarki, jak i Flasha)
  • Wersja systemu operacyjnego

Dodatkowo można było wybrać pluginy – autorzy zgromadzili listę najpopularniejszych z nich. Użytkownik wybierał z list dowolne wtyczki lub podawał liczbę pluginów, losowanych automatycznie, raportowanych przez przeglądarkę. Na podstawie wybranych wariantów generowano zestaw trzech plików konfiguracyjnych dla przeglądarki:

  • Wtyczki Flash
  • Nagłówków HTTP wysłanych przez przeglądarkę
  • Samej przeglądarki (tj. zawartej w niej API JavaScript)

Ciekawą funkcją była prosta możliwość zmiany czcionek w przeglądarce. Można było wykonać kopię zapasową wszystkich zainstalowanych w systemie czcionek, a następnie wybrać te, które miały być widoczne w przeglądarce. Było to realizowane przez całkowite usuwanie niepotrzebnych czcionek z systemu operacyjnego na czas działania narzędzia. Takie działanie komplikowało fingerprinting oparty na czcionkach.

Nie sposób pominąć opcji ukrywania numeru IP. W rozwiązaniu Antidetect wykorzystano do tego Proxifier. To narzędzie do wymuszania na programach niewspierających oczywistego proxy’owania, przepuszczanie całego ruchu przez pojedyncze lub wielokrotne proxy SOCKS lub https. Bonusem była możliwość generowania numeru telefonicznego z najpopularniejszych państw Europy i świata. Ta wersja Antidetecta zapewniała możliwość zapisywania i wczytywania określonych przez użytkownika ustawień, tak by mógł tworzyć sformułowane przez siebie profile przeglądarek.

Z czasem usunięto zakładkę umożliwiającą podmianę czcionek oraz sekcję odpowiedzialną za modyfikację nagłówków HTTP wysyłanych przez przeglądarkę. Opcje te dalej są obecne, jednak są automatycznie generowane przez narzędzie tak, aby nie dopuścić do możliwości ustawienia niespójnych wartości dla wybranej przeglądarki. Zastosowano natomiast funkcję losowania przeglądarki wraz z jej wersją, raportowanym przez nią systemem operacyjnym oraz wersją wtyczki Flash. Udostępniono też przyciski generujące gotowe i popularne, profile przeglądarek/urządzeń takich jak Firefox, Chrome, IE, iPhone, Mac, iPad, Android.

Najbardziej zaawansowaną funkcją wprowadzoną w tej wersji jest „JS Direct” – możliwość wykonania dowolnego, wcześniej określonego kodu w kontekście otwieranej strony. Opcja ta może służyć do fałszowania wartości zwracanych przez canvas fingerprint oraz adresów IP wyciekających z WebRTC. Inne interesujące funkcje:

  • Generator haseł – używany przy zakładaniu wielu kont
  • Możliwość ustawienia określonej strefy czasowej w systemie
  • Możliwość realnej zmiany ustawionej w systemie rozdzielczości (wraz z listą proponowanych rozdzielczości)
  • Opcja zmiany skórki samego programu (dostępnych jest około 50 skórek)

Wersja 7.x

To najbardziej aktualna, stosowana w tej chwili wersja Antidetecta. Od początku istnienia przeszła spory przełom. W przeciwieństwie do poprzednich wersji, ta nie daje użytkownikowi końcowemu możliwości konfiguracji poszczególnych opcji. Nie wymaga też znajomości sposobu działania przeglądarki, czy systemów antyfraudowych. Tu panuje minimalizm. Opcje, jakie może wybrać użytkownik, to:

  • Wersję Firefoxa, która ma zostać uruchomiona
  • Możliwość włączenia Flasha w wybranej wersji
  • Numery IP, które mają wyciec przez WebRTC
  • Język, jaki ma zostać ustawiony w przeglądarce
  • Strefę czasową, która zostanie ustawiona w systemie operacyjnym
  • Podanie długości i szerokości geograficznej, która ma być raportowana przez przeglądarkę

Bezsprzecznie najistotniejszą opcją jest wprowadzenie „mikropłatności”. To gotowe pliki konfiguracyjne zapewniające spójność pomiędzy spoofowanymi API przeglądarki. Np. jeżeli użytkownik chce być identyfikowany jako iPhone 5s z Egiptu, nabywa za drobną opłatą plik konfiguracyjny stworzony przez autorów Antidetecta. Plik ten tworzony jest na podstawie rzeczywistego urządzenia i zawiera informacje m.in o User-Agencie, rozdzielczościach, pluginach i innych opcjach charakterystycznych dla urządzenia, które mają być sfałszowane. Użytkownik uruchamia tylko program i wybiera plik konfiguracyjny.

A może Fraudfox?

Fraudfox

W przeciwieństwie do Antidetecta, Fraudfox dostarcza całą maszynę wirtualną wraz z odpowiednio skonfigurowanym systemem (Windows XP). Jak wspomniano wyżej – duży odsetek przestępców zajmujących się np. cardingiem nie posiada zaawansowanej wiedzy technicznej (jeśli w ogóle jakąś ma). Korzystają zatem z rozwiązań, gdzie potrzeba minimalnego wysiłku w kwestii zaangażowania technicznego, np. konfiguracji urządzenia/przeglądarki itp. Autorzy kolejnego rozwiązania wychodzą swoim potencjalnym klientom naprzeciw i maksymalnie zmniejszają próg wejścia. Co zatem zawiera Fraudfox?

  • Klient Tor – maszyna wirtualna tuż po uruchomieniu próbuje automatycznie łączyć się z siecią Tor. Do aktywacji samego Fraudfoxa wymagane jest połączenie się z tą siecią.
  • Vip72socks – narzędzie do łączenia się z SOCKS proxy. Strona vip72.com oferuje usługi takie jak SOCKS proxy, VPN i annonymous proxy. Płatności można dokonać dzięki bitcoinów, litecoinów, WebMoney, czy PerfectMoney. Wsparcie do produktu dostępne jest na ICQ i Jabberze.
  • SocksCap64 – narzędzie do wymuszania użycia SOCKS proxy przez programy, które domyślnie nie wspierają takiego rozwiązania. Zawiera już skonfigurowany profil dla Firefoksa.
  • CCleaner – program używany do czyszczenia danych mogących pomóc zidentyfikować użytkownika, np. cookies, ustawień przeglądarki itp.
  • OSfucate – pozwala na modyfikację adekwatności stacku sieciowego (np. TTL, MTU czy rozmiaru okna TCP), aby móc oszukać systemy do OS fingerprintingu takie jak p0f. Narzędzie posiada zestaw gotowych profili do pozorowania najpopularniejszych systemów operacyjnych.
  • Notepad++ – notatnik używany do edycji plików konfiguracyjnych Fraudfoxa.
  • Firefox (wersja portable) – przeglądarka, którą Fraudfox wykorzystuje jako bazę do swojej działalności.

Program umożliwia spoofowanie:

  • Wersji systemu operacyjnego
  • Platformy (x86 / 64 bit)
  • Języka przeglądarki
  • Strefy czasowej
  • Rozdzielczości ekranu
  • Przeglądarki i jej wersji

Fraudfox daje możliwość wyboru wersji wtyczki Flash raportowanej przez przeglądarkę. Można też wyłączyć obecną w tym pluginie możliwość enumeracji czcionek i uniemożliwić Flashowi dostęp do mikrofonów i kamer podłączonych do urządzenia. Fraudfox pozwala również na zarządzanie czcionkami zainstalowanymi w systemie i pluginami raportowanymi przez przeglądarkę. Można dodawać własne czcionki i pluginy. Tak utworzony profil można zapisać i użyć ponownie. Ciekawą funkcją jest możliwość zmiany czcionki, jej wielkości, koloru i koloru obramowania w podczas wykorzystania canvas fingerprintu.

Linken Sphere – nadzieja dla carderów czy wsparcie bezpieczeństwa?

nowa wersja Linken Sphere 7.99

W porównaniu do poprzedników to najbardziej profesjonalne i rozbudowane narzędzie pod względem technicznym. Do jego budowy użyto zmodyfikowanego silnika Chromium. Jego twórcy wykorzystali kod źródłowy i usunęli wszystkie funkcje śledzenia stworzone przez Google. Narzędzie jest dostępne na wszystkie najpopularniejsze systemy operacyjne: Windows, Mac i Linux i inne. Dane użytkownika są przechowywane w chmurze przechowywania sesji, a także są zapisywane po odinstalowaniu lub ponownym zainstalowaniu Linken Sphere.

Linken Sphere umożliwia użytkownikom celowe ujawnienie fałszywego adresu IP za pośrednictwem WebRTC. Umożliwia także połączenie przez Proxifier, Bitvise i Plink. Ponadto rozwiązanie:

  • Działa w trybie „Off-the-Record Messaging”
  • Nie korzysta z żadnych ukrytych usług Google
  • Szyfruje wszystkie zapisane dane dzięki algorytmu AES-256
  • Łączy się z Internetem za pośrednictwem różnych protokołów, w tym HTTP, SOCKS, SSH, TOR, TOR + SSH i DYNAMIC SOCKS
  • Każda sesja tworzy nową konfigurację, a użytkownicy nie potrzebują wielu maszyn wirtualnych
  • Pozwala na jednoczesną pracę z różnymi typami połączeń w trybie wielowątkowym
  • Zawiera wbudowaną profesjonalną ochronę przed wykrywaniem z regularnymi aktualizacjami konfiguracji agentów użytkownika, rozszerzeń, języków, geolokalizacji i innych parametrów, które mogą zmieniać się w czasie rzeczywistym
  • Zapisuje „odciski palców” i pliki cookie po każdej sesji, umożliwiając korzystanie z zapisanej sesji przez wielu użytkowników bez konieczności przełączania się między maszynami wirtualnymi
  • Nie wymaga specjalnych ustawień, aby działać proaktywnie, anonimowo i bezpiecznie
  • Zawiera wbudowaną licencję z bazą danych lokalizacji GeoIP2 MaxMind, umożliwiającą użytkownikom natychmiastową konfigurację czasu i geolokalizacji
  • Zawiera WebEmulator – pozwala na automatyczne zbieranie potrzebnych plików cookies pomiędzy stronami internetowymi przed rozpoczęciem pracy z nowym kontem. Działa w tle w trybie wielowątkowym, umożliwiając ustawienie parametrów odwiedzania stron internetowych, takich jak liczba odwiedzanych stron, czas spędzony na każdej z nich, przerwy i opóźnienia między wizytami. Mechanizm włącza alerty po zakończeniu zadania. Zapewnia emulację ekranu dotykowego, urządzenia mobilnego, ręczną i automatyczną podczas kopiowania tekstu podczas odwiedzania stron internetowych w tle, naśladując zachowanie prawdziwych użytkowników i zwiększając poziom zaufania dla takich kont.

Linken Sphere pozwala na zakup plików konfiguracyjnych, które umożliwiają spójne podszycie się pod urządzenie i przeglądarkę. Takie profile pochodzą od realnych urządzeń i zawierają różne dane typu lista czcionek itp. Narzędzie zawiera 60000 darmowych, preinstalowanych profili przeglądarek / urządzeń.

Linken Sphere promowany był w sieci Tor w latach 2017-2019

Poza standardowym dla tej klasy rozwiązań zestawem funkcji (podmiana rozdzielczości, User-Agenta, strefy czasowej, języka pluginów, czcionek czy wsparcie dla Flasha) Linken Sphere może modyfikować następujące odciski palców:

  • Canvas – część elementu HTML5 Canvas wyświetlająca grafikę na stronie internetowej, która jest stosowana do identyfikacji użytkowników na podstawie funkcji ich systemu wideo
  • Czcionki
  • Zainstalowane i włączone Wtyczki – pomagają identyfikować użytkowników
  • Audio (Acoustic) Fingerprint – rolą dźwiękowego odcisku palca jest uchwycenie sygnatury fragmentu dźwięku, co pozwala na odróżnienie go od innych dźwięków
  • WebGL – Javascript API do pracy w grafice 3D w przeglądarce internetowej bez użycia wtyczek
  • Geolokalizacja – umożliwia porównywanie adresów IP użytkowników i ich fizycznej lokalizacji
  • ClientRects – metoda identyfikacji użytkowników dzięki skrótów uzyskanych w wyniku skalowania obrazu
  • Ubercookie(s) – skrót odcisków palców ClientRects i Audio umożliwiający identyfikację urządzenia
  • Komunikacja w czasie rzeczywistym w sieci Web (WebRTC), w tym skróty urządzeń – technologia używana do bezpośredniego połączenia urządzenia z usługami medialnymi, takimi jak mikrofony lub kamery. Umożliwia WebRTC uzyskanie rzeczywistego adresu IP z pominięciem usług VPN i proxy, kamery i mikrofony mają własne wskaźniki lokalizacji, które również należy zmienić
  • Kaskadowe arkusze stylów (CSS) – metoda używana do identyfikacji rzeczywistego rozszerzenia okna przy użyciu technologii CSS
  • Emulacja dotyku – metoda umożliwiająca emulację ekranu dotykowego bez pokazywania kursora myszy. Po skonfigurowaniu klienta użytkownika jako urządzenia przenośnego system przeciwdziałania oszustwom przez cały czas wykrywa kursor myszy, ponieważ przez cały czas znajduje się on na wyświetlaczu
  • JS Navigator (JavaScript Windows Navigator) – zawiera czas, język i rozszerzenia – parametry przeglądarki internetowej, które są przekazywane wraz z informacjami o programie
  • Nagłówki HTTP – jeden z głównych odcisków palców przeglądarki, umożliwia mechanizmom ochrony przed oszustwami – identyfikację użytkowników
  • Domain Name System (DNS) – możliwość korzystania z własnego DNS dla każdej sesji
  • Lokalny adres IP – wskaźnik, który pomaga ujawnić rzeczywistą lokalizację użytkownika

Zdaniem twórców, wymienione powyżej odciski palców zależą od sprzętu. jeżeli użytkownik przenosi te same odciski palców z jednego komputera do drugiego, ostateczne odciski palców będą inne.

Niewątpliwie innowacją w Linken Sphere są tzw. byty czyli sesje. Każdą sesję można nazwać indywidualnie. Linken Sphere umożliwia pracę na wielu urządzeniach i nie jest powiązany z konkretnym sprzętem. Użytkownicy mogą mieć przeglądarkę na różnych urządzeniach z różnymi systemami operacyjnymi, ale mogą pracować jednocześnie tylko z jedną nazwą użytkownika i jednym hasłem. Dostęp do chmury umożliwia użytkownikom uruchamianie Linken Sphere z dowolnego urządzenia. Każde połączenie sesji można skonfigurować indywidualnie w następujący sposób:

  • bez proxy: bezpośrednie połączenie z Internetem
  • łączy się przez przeglądarkę Tor
  • Tunel Secure Socket Shell (SSH): zdalne tunelowanie sesji Linken Sphere przez SSH
  • Tor + SSH Tunnel: tunelowanie SSH (zaszyfrowane) uruchamiane przez proxy Tora
  • dynamiczne SOCKS: dynamiczne przekierowywanie portów SSH przez SOCKS umożliwia komunikację nie przez pojedynczy port, ale przez szereg portów. Ta opcja spowoduje, iż SSH będzie działał jako serwer proxy SOCKS
  • SOCKS5: Protokół internetowy zapewniający uwierzytelnianie, więc tylko autoryzowani użytkownicy mogą uzyskać dostęp do serwera, który obsługuje również protokoły TCP i UDP
  • połączenie HTTP (HyperText Transfer Protocol)
  • Sphere SOCKS: SOCKS dostarczone przez twórców Linken Sphere

Obsługa wszystkich tych sposobów połączeń mieści się bezpośrednio w samym rozwiązaniu, nie trzeba ściągać dodatkowych programów. Każda sesja ma oddzielny kontener na ciasteczka i wygenerowane fingerprinty, którego zawartość można wczytywać, modyfikować, zapisywać i przenosić pomiędzy innymi sesjami. Niestety warto wiedzieć, iż ustawione sesje po zaszyfrowaniu (AES) trafiają na serwery autorów, teoretycznie w celu korelacji między komputerami. Użytkownik końcowy nie ma szans sprawdzić, które dane i szczegóły połączenia zostaną tam przesłane.

Zapobiegaj fingerprintingowi – ostrożności nigdy dość

Opisane wyżej rozwiązania z Linken Sphere na czele, to najlepsze narzędzia zabezpieczające przed niechcianą identyfikacją tożsamości, niezależnie od tego, czym zajmuje się ich potencjalny użytkownik.

Wszystkie 3 narzędzia będą najprawdopodobniej stale aktualizowane, aby utrzymywać przewagę konkurencyjną nad firmami, które usiłują identyfikować powiązania między użytkownikami w Internecie i na tym zarabiać. Ich twórcy w każdym razie zapewniają, iż będą informować swoich klientów o aktualizacjach i nowych funkcjach.

Dodatkową zaletą tych narzędzi jest stosunkowo niska cena, przez co są dostępne dla większości chętnych (niestety również cyberprzestępców) i można je łatwo włączyć do grona swoich osobistych narzędzi ochronnych.

Nie zapominaj przy tym o podstawowych zasadach bezpieczeństwa:

A jeżeli chcesz dowiedzieć się więcej, zajrzyj też do artykułów:


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Idź do oryginalnego materiału