30.07 // FPdetective выявляет попытки определения профиля системы из-под браузера
Исследователи Gьnes Acar, Claudia Diaz, Seda Gurses, Bart Preneel (Католический университет Лёвен, группа по изучению вопросов компьютерной безопасности и промышленной криптографии), Nick Nikiforakis, Frank Piessens (Бельгийский Междисциплинарный институт широкополосных технологий, проект Distrinet), Marc Juarez (Институт исследований искусственного интеллекта) обратили внимание на многочисленные утечки персонифицирующих сведений, которые создаёт веб-браузер пользователя при работе с онлайн-сервисами. Раньше такие исследования проводились на кем-то ранее написанных скриптах сбора таких данных или исследователи сами пытались создавать подобные инструменты.
В данном случае был создан проект FPDetective (от слова FingerPrinting), который выявляет неизвестные попытки сканирования браузера пользователя и позволяет выяснить, какие методики применяют сайты, вторгающиеся в приватность такого рода сведений.
Впервые внимание на проблему отпечатков браузера было в полной мере обращено Eckersly, который показал, что такие характеристики, как разрешение экрана и список установленных шрифтов позволяют проводить идентификацию уникальности устройств пользователей и различать их между собой. В отличие от cookie-файлов управлять такой идентификацией сложно. При помощи инструмента FPdetective исследователи показали, что масштаб распространённости этого явления гораздо больше, чем считалось ранее. Они выявили 17 новых идентифицирующих скриптов (как коммерческих, так и самодельных), активных даже на 500 топовых сайтах. Также ими были обнаружены ранее неизвестные способы сбора отпечатков браузера и уклонения от его идентификации: например удаления скрипта после сбора отпечатка и сбор через виджеты третьих сторон.
Исследователями были проверены на устойчивость к этим атакам Tor Browser и Firegloves — оба этих средства имеют встроенную защиту от профилирования по отпечаткам, однако в обеих средствах были найдены уязвимости, позволяющие профилировать пользователя, что указывает на сложность защиты от профилирования. Также было проверено расширение Do-Not-Track, которые сообщает сайтам, что пользователь не желает, чтобы за ним следили. Как было выявлено, включение этого расширения никак не влияет на профилирование и просто игнорируется профилирующими скриптами.
Отдельного внимания заслуживает уязвимость Tor Browser. Он предназначен для работы с анонимной сетью Tor и в настоящий момент им пользуются не более 800 000 человек в день, поэтому их профилирование является критической угрозой для анонимности. В Tor Browser встроена защита в том числе и от профилирования по установленным в системе шрифтам, но исследователям удалось выяснить, что эта защита обходится и список всех шрифтов может быть выявлен. Патч, исправляющий данную уязвимость был отправлен в Torproject.
Исследователи отмечают, что незаметный без специальных средств, широкораспространяющийся и вторгающийся характер слежки за пользователями посредством сбора отпечатков браузеров требует более активного внимания со стороны специалистов в области сетевой приватности. Возможно, хорошим началом в этом послужит инструмент FPDetective.
Публикация "FPDetective: Dusting the web for fingerprinters" будет представлена на конференции по компьютерной и коммуникационной безопасности CCS-2013 в Берлине.
– Где этот инструмент FPDetective?
комментариев: 9796 документов: 488 редакций: 5664
Сам по себе, скорее всего нет. В работе он даже не упомянут, в отличие от Firegloves. Некоторые вещи выявляются и без JS. А индивидуальные настройки NoScript у разных пользователей облегчают профилирование.
Может не опубликовали ещё:
В статье только описано из чего и как он сделан.
Firegloves — интересный проект, хоть и, как пишут, уже заброшенный. Рекомендую включить JS и попроходить их тест. Когда первый раз проходишь, пишет, что вы новый юзер. Когда проходишь второй и последующие разы, что бы ни менял, он уверенно пишет
Идеальное профилирование уже есть и работает? Не разбирался с их методикой.
Это неудивительно ни чуть. Даже судя по хабру и вебмастерам, которые там обитают, в среде веб-разработчиков очень популярно городить костыли, которые бы позволили точно распознавать пользователя в его последующие визиты.
Статью стоит более внимательно прочитать, но это потом. Пока что скажу вам спасибо за перевод и в благодарность дарю вам zero-day в TBB, обнаруженный при внешнем анализе трафика TBB на роутерах:
Действительно, зачем моему DNS-серверу знать, какой у меня hostname? Я что, сам своего IP-адреса не знаю? Не DHCP же. 67.215.65.132 — это то, что возвращает OpenDNS, когда должно быть no IP found.
P.S. Проверяем, багрепортим, если что.
Что странно, Linux иногда не даёт сменить hostname: пишешь произвольное слово в hostname, а он говорит, что оно is not valid hostname или что-то в том духе. Правда, после перезагрузки попробовал, и всё сработало. Что это было — так и не понял.
Вы изменили имя хоста не определив его сетевой адрес (через /etc/hosts). И файерфокс очень любопытный, хочет знать имя, а затем адрес этого имени.
Зачем анонимному браузеру знать мой локальный IP и имя? Его предел знаний — то, что я — socks-прокси на 127.0.0.1:PORT, больше ничего ему про систему знать не требуется. Сейчас вообще убрал hostname из настроек, теперь Linux мне говорит, что я некто _none_ или (none) — так лучше?
Посмотрел /etc/hosts, там прописаны 2 строчки:
127.0.0.1 localhost
127.0.1.1 HOSTNAME
Вопрос: почему HOSTNAME висит не на 127.0.0.1? Маска на lo, конечно, 0xff000000, но, тем не менее.
Видимо, да. Кстати, изменил я его ранее, просто при описании теста поменял его ещё раз, что помогло вам догадаться. В любом случае, я нахожу такое поведение TBB странным и противоречащим его дизайну, сути и духу.
Мне вот и с обычными браузерами непонятно, а зачем имя хоста, системы? https://mxr.mozilla.org/mozill...../nsSystemInfo.cpp#57
Кастую unknown'а в багтрекер.
Про обычные браузеры нет смысла говорить, оно там за тем же, зачем и всякие geoip в about:config и др. подобные настройки. Цель — как можно больше поведать информации удалённой стороне о себе, тем самым сделав как можно более тонкую заточку предоставляемого сервиса под себя. Ну, об обратной стороне такого подхода мы знаем. Пока претензии только конкретно к TBB. К тому же, если сегдня этот функционал находится в спящем состоянии, то завтра из-за bug2bug-несовместимости TBB попытается что-нибудь зарезолвить через Tor у своего же местного ISP, и вот тогда будет полный epic fail.
комментариев: 9796 документов: 488 редакций: 5664
Попробую выкроить время и поэкспериментировать. Вообще у меня все UDP запросы для заторенных пользователей завёрнуты через файрволл в сам же тор, так что по крайней мере через местного провайдера не отрезолвится, как уже было.
Есть ещё команда hostname и набор смежных команд, которые в её мане описаны. Или примеры, как корректно менять hostname.
Не нашёл этого в коде. Получение адреса хоста используется только при автоматическом детектировании прокси с использованием скриптов.
В коде нет, а в tcpdump'е есть.
Хотите сказать, что tcpdump и netstat оговаривают белый пушистый
лисfirefox? :) Ну тогда запустите pftop -s1 на промежуточном роутере и убедитесь.комментариев: 9796 документов: 488 редакций: 5664
Кстати, возможно, если в снифере как-то заданы опции DNS-resolution. Когда-то видел такое в Wireshark — он почему-то упорно хотел отрезолвить локалхост через внешние DNS сервера.
Preventing Tor DNS Leaks:
Может корректнее использовать опцию -p, чтобы не переводить сетевуху в "неразборчивый" режим?
Опция -n запрещает DNS-резволинг при выводе пакетов, а включение -p максимум приведёт к тому, что вы какие-то подозрительные пакеты в сети попросту не увидите, к DNS это не имеет ни малейшего отношения.
комментариев: 9796 документов: 488 редакций: 5664
Перегруженный или глючные свич может пропускать какие-то жалкие проценты пакетов с чужого порта. Сам когда-то такое видел на снифере, возможно сейчас такого глючного железа уже не делают.