Как скрыть свой цифровой отпечаток. Настройка анонимной виртуальной машины. Часть 2.
Всем знакомо слово деанон? И это совсем не про борьбу с анонизмом. При помощи хитрых технологий вас идентифицируют все кому не лень – начиная от рекламных и медиа агенств, сборщиками big data и заканчивая различными госагенствами. Проблема очень серьезна и в этой статье мы затронем лишь верхушку айсберга и расскажем про то, как хоть немного обезопасить свой интернет-экспириенс.
Повсеместное применение технологий сбора цифровых отпечатков позволяет легко собирать личную информацию. Кроме этого, пользователи самостоятельно делятся личной информацией в социальных сетях, мессенджерах, при переписке по электронной почте и на других онлайн-платформах, зачастую даже не подозревая о том, что их данные могут попасть не в те руки.
В первой части мы разобрались что такое фингерпринтинг и сделали Firefox чуть безопаснее. Во второй части речь пойдет о том, как скрыть фингерпринт, настройке виртуальной машины, анонимных и не совсем браузерах ну и конечно же о защите своей личности в сети.
Настройка VirtualBox
Не секрет, что у виртуальной системы весьма своеобразный конфиг и цифровой отпечаток. Чтобы убедиться в этом даже не нужно использовать софт типа AIDA64 или EVEREST. Достаточно просто открыть “Диспетчер устройств”. Вся ваша система просто “кричит”, о том что это – виртуалка.
Здесь я опишу несколько манипуляций с VM для того, чтобы сделать ее фингерпринт менее узнаваемым и скрыть саму информацию о том, что это виртуальная машина.
Будем использовать VBoxHardenedLoader:
Это замечательная надстройка для VirtualBox, позволяющая менять почти любые параметры вашей виртуальной машины.
Просто скачать файл – не достаточно. Надо ещё и произвести необходимые настройки. Для этого делаем все в соответствии с мануалом.
Качаем и устанавливаем VirtualBox.
Откройте VirtualBox и создайте виртуальную машину с нужными вам настройками.
Примечание: 2048 МБ не является обязательным, вы можете настроить или уменьшить это значение по своему усмотрению, но имейте в виду – некоторые cистемы обнаружения пытаются идентифицировать виртуальную машину по доступному объему физической памяти и если она слишком мала – это красный флажок, что о том, что это виртуальная машина.
Создайте виртуальный диск
Помните, что рекомендуемый размер диска должен привышать 32, а лучше 64 гб. Меньший размер будет индикатором того, что это виртуалка.
После того, как виртуальная машина создана, откройте ее настройки – потребуется внести определенные изменения.
В меню Система (System), вкладке Материнская плата (Motherboard) установить флажок Enable I/O API.
Во вкладке Процессор (Processor) включите PAE/NX и устанавливайте как минимум 2 процессора. Если будет указано, что процессор только один – это индикатор того, что используется виртуальная машина.
В меню Ускорение (Acceleration) установите Paravirtualization Interface в Legacy и включите VT-x/Nested Paging. Если вы оставите значение паравиртуализацию “По умолчанию” выдает виртуальной машине гипервизор Virtual Box и даже название гипервизора через значение cpuid. А это полное паливо!
На вкладке Экран (Display) отключите 2D/3D Acceleration.
Хранилище (Storage)
Должно выглядить примерно так.
Сохраните все настройке и полностью закройте VirtualBox.
Скачайте прогу отсюда и сохраните где вам удобно. Например c:\vboxldr.
Теперь важная часть. Заходим в папку data и выбираем скрипт запуска системы.
hidevm_ahci для VM с SATA/AHCI контроллером и класическим BIOSом
hidevm_ide для VM с IDE контроллером и класическим BIOSом
hidevm_efiahci для VM с SATA/AHCI контроллером и EFI
hidevm_efiide для VM с IDE контроллером и EFI
Редактируем скрипт соответствующий вашей конфигурации под ваши нужды:
set vboxman=”C:\Program Files\Oracle\VirtualBox\vboxmanage.exe”
set vmscfgdir=D:\Virtual\VBOX\Settings\
Меняем vmscfgdir на папку с настройками вашей машины.
Сделайте остальные настройки и запустите скрипт с названием вашей виртуалки.
Но не запускайте VirtualBox – вы еще не готовы.
Запустите loader.exe с привелегиями Администратора.
Вам придется повторять этот шаг при каждом перезапуске ОС.
Внимание! Помните, что устанавливать Virtual Box Additions не в коем случае нельзя – это испортит все.
Как показала практика в каждой конфигурации нужен свой подход при установке и собственное написание конфиг файла. Многое зависит от операционной системы и ее версии, на которой собираемся строить виртуалку.
В гибкости и надежности системы можно не сомневаться. Всё настраивается индивидуально на ваш вкус.
Подменим всё железо нашей виртуальной машины:
– модель процессора
– изготовитель/фирма материнской платы
– ID BIOS, версию/дату
– ID CPU и ID HDD
– ID продукта Windows
– подмена видеокарты (Важно!)
– рандомный Mac-Adress сетевого устройства или же установка для каждой машины в ручном режиме
– в отличии от простой виртуальной машины, на нашей мы сможем управлять параметрами звуковой карты (намек на подмену аудио-отпечатка), но само собой, конечно же, нужно поработать еще вручную над этим и установить нужный софт.
Через VboxHardenedLoader придаем нашей будущей виртуальной машине рандомные свойства и параметры, а уже потом устанавливаем туда сам Windows. Все настройки нашей чудо машины должны быть сделаны ещё до первого запуска ОС. То есть ваша виртуальная машина уже запускается с этими настройками как полноценный ПК и и будет идентифицироваться как чей-то ПК, а не виртуальная машина с отпечатками VBOXа.
Посмотреть как все это настраивать можно в этом видео:
Как работать с виртуалкой?
Создав машину, назовем ее ГЛАВНОЙ, загружаете в неё весь нужный для работы софт, настраиваете антидетект браузера и прочее.
Готовую ГЛАВНУЮ машину мы будем клонировать и в дальнейшем станем работать только с её клонами. После “отработки” клоны можно удалить и при необходимости сделать другие клоны. Не забываем придавать клонам отоличные от ГЛАВНОЙ VM значения, помня, что это клонированная машина и она подобна ГЛАВНОЙ. А нужно, чтобы она отличалась. Запускаем написанный конфиг файл и все происходит автоматом. VboxHardened делает свое дело.
Рандомизация клонов в один клик работает со всем железом кроме процессора и материнской платы.
Модель процессора можно не менять так часто, главное, чтобы она отличалась от модели проца хоста. Важно, что сменился сам CPUID. Конечный выбор остается за вами – когда, как и насколько часто менять модель.
Для параноиков настроенную машину (и последующие клоны) можем использовать в связке с Whonix. Можно к этому добавить соседский Wi-fi.
Настройка VMWare
Существует и коммерческая виртуальная машина от пионеров темы виртуализации. Хотя в VMWare настройки оборудования не такие гибкие как в VirtualBox с надстройками, здесь есть возможность сокрытия того, что это виртуалка можно без всяких надстроек и плагинов, собственными средствами.
Я использовал VMWare Workstation для Win.
1) Для работы необходима заново установленная система, как внести изменения в уже существующую — не нашёл.
Готовите виртуальный диск, указываете систему, как это обычно делаете, и в настройках к устанавливаемой машине, у меня этот пункт назван Isolation, выключаете любой обмен данными с хостовой ОС.
2) Далее надо найти конфигурационный VMX файл, создаваемый на этапе создания машины в VMWare, и в конец добавить строки:
isolation.tools.getPtrLocation.disable = «TRUE»isolation.tools.setPtrLocation.disable = «TRUE»isolation.tools.setVersion.disable = «TRUE»isolation.tools.getVersion.disable = «TRUE»monitor_control.disable_directexec = «TRUE»monitor_control.disable_chksimd = «TRUE»monitor_control.disable_ntreloc = «TRUE»monitor_control.disable_selfmod = «TRUE»monitor_control.disable_reloc = «TRUE»monitor_control.disable_btinout = «TRUE»monitor_control.disable_btmemspace = «TRUE»monitor_control.disable_btpriv = «TRUE»monitor_control.disable_btseg = «TRUE»
Эти опции предотвращают детектирование программами виртуального окружения через такие сложные проверки, как отслеживание адресного пространства памяти, счётчиков.
Важно! Если на этапе настройки установки будет опция вроде «Express install», «Быстрая установка» — выключайте их. Также не стоит устанавливать VMWare Tools в установленную систему, т.к. некоторое ПО в проверку включает и наличие этого пакета.
3) Сохраняем файл, указываем для загрузки ISO с установщиком системы, устанавливаем ОС как обычно.
4) Несмотря на то, что подавляющее большинство программ, не любящих виртуальной среды, не заходят дальше проверок, которые мы отсекли на 2 шаге, некоторые особо упорные всё же идут дальше и пытаются искать, к примеру, всё, что похоже на название контроллеров виртуальных дисков.
Чтобы победить и их в Windows, идём в редактор реестра в ветку HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum. Как видите, там есть вполне явная отсылка к тому, что диск — виртуальный.
Нам нужно изменить его, убрав из параметра VMware, Virtual, Ven, итп, и сохранить её так.
Также имеет смысл заменить в реестре поиском по VMware/Virtual на какой-нибудь Intel или IBM всё, что меняется, а не только дисковые переменные.
После пробуйте запускать ваш упрямый объект экспериментов — в процентах 70 случаев описанные шаги помогут пройти проверки на виртуальное окружение.
Важно! Значение в HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum перезаписывается после каждой перезагрузки, так что его нужно менять после каждого нового запуска системы.
И еще о виртуальных машинах
Структурируйте виртуалки
Мы настоятельно рекомендуем разделить ваши задачи в интернете на несколько категорий и для каждой из них использовать свою виртуальную машину. Например, для доступа к личной почте, банкингу, ГосУслугам и прочим совсем личным сайтам использовать одну машину. Для доступа к социальным сетям – другую. Для серфинга в интернете – третью. Для работы – четвертую. Поверьте, все это не так сложно. Не ленитесь и настройте всё один раз. Ведь безопасность – превыше всего.
Тестируем?
Проверить, насколько вы обезопасили себя от обнаружения, а также ознакомиться с другими популярными у разработчиков средствами обнаружения песочниц и виртуалок можно средством Pafish.
Обход фингерпринтов
Начнём с того, какие существуют способы идентификации, а после перейдём к способам их обхода/отключения.
Обычный способ получения ваших данных веб-сайтами – использование файлов cookie. Куки-файлы – это небольшие пакеты текстовых файлов, которые хранятся на вашем компьютере и содержат определенные данные, которые могут предоставить веб-сайтам информацию для улучшения взаимодействия с пользователем.
Каждый раз, когда вы посещаете веб-сайт, ваш браузер будет загружать файлы cookie. Когда вы посетите тот же веб-сайт позднее, он сверит пакеты данных и предоставит вам индивидуально настроенный пользовательский интерфейс.
Подумайте о размере шрифта или разрешении экрана, которые вы просматриваете на веб-сайте. Если веб-сайт знает, что вы всегда используете iPhone 8, он предоставит вам лучшие настройки для вашего iPhone. Кроме того, таким образом, сайт знает, являетесь ли вы уникальным посетителем или вернувшимся. Файлы cookie также хранят данные о просмотре страниц, их привычках, интересах и многом другом.
Кроме того, веб-сайты используют Javascript, который будет взаимодействовать с посетителями для выполнения определенных задач, таких как воспроизведение видео. Эти взаимодействия также вызывают ответ, и поэтому они получают информацию о вас.
Чтобы идентификация браузера пользователя и без cookies появились технологии построения цифровых отпечатков (fingerprint). Наиболее широко используемые Canvas fingerprint и WebGL fingerprint. Пожалуй, самая популярная библиотека для получения цифрового отпечатка — FingerprintJS2, написанная нашим соотечественником Валентином Васильевым: https://github.com/Valve/fingerprintjs2. Обновления сделаны несколько месяцев назад, так что разработка активна.
Одним из наиболее эффективных методов защиты от отпечатков пальцев в браузере является отключение JavaScript и Flash.
Когда JavaScript отключен, веб-сайты не смогут обнаружить список активных плагинов и шрифтов, которые вы используете, и они также не смогут установить определенные куки в вашем браузере.
Недостаток отключения JavaScript заключается в том, что веб-сайты не всегда работают должным образом.
С другой стороны, Flash можно отключить без негативного влияния на работу сайтов.
Font Fingerprint
Когда точно появилась технология неизвестно, но то, что благодаря своей простоте и эффективности технология снятия отпечатка шрифтов нашла свое применение практически во всех крупных антифрод компаниях это уже не секрет. Данная технология получает список шрифтов, установленных на ПК пользователя.
Для защиты пользователю необходимо отключить Adobe Flash и JavaScript в своем браузере.
Вывод – стоит выключать если вы просто сёрфите по сети и хотите быть анонимным, а для работы нужна подмена.
Самый простой способ подмены отпечатка шрифтов – изменение масштаба страницы. При желании можно подобрать расширение в Mozilla для этих целей.
В сети есть тесты данного отпечатка, можете попробовать.
WebGl Fingerprint
Технология отвечает за ускорение и работу с графикой, является частью Canvas.
Microsoft в свое время призывала отказываться от WebGL из-за его уязвимости к внешним атакам.
Суть его заключается в том, что рисуются 3D треугольники, далее на него накладываются эффекты, градиент, разная анизотропная фильтрация и т.д. Затем он преобразуется в байтовый массив, к которому еще прикрепляется разная информация о платформозависимых константах, которые определены в WebGL. Этих констант очень много, их десятки – это, и глубина цвета, и максимальный размер текстур и тд тп. В итоге вся эта информация добавляется к нашему изображению 3D треугольника.
Версия драйверов, версия видеокарты, стандарт OpenGL в системе, версия шейдерного языка, — все это будет влиять на то, как внутри будет нарисовано это изображение. И когда оно будет преобразовано в байтовый массив, оно будет разное на многих компьютерах.
Через отпечаток сообщается информация о видеокарте пользователя.
Что делать, спросите вы. Можно отключить плагинами, но нас же интересует подмена.
Поскольку WebGl является частью Canvasa, её частично можно подменить, использовав один из плагинов подмены Canvas.
Полная подмена происходит с манипуляцией с видеокартой.
На настроенной нами виртуальной машине через VirtualBoxHardened, с заданными командами и параметрами, она имела свой отпечаток, отличающийся от основной.
В такой машине в Диспетчере устройств вместо “Virtualbox Graphics Adapter” можно увидеть “Стандартный VGA графический адаптер” со своими предустановленными вместе с Windows драйверами и идентификаторами. В итоге произведена полная подмена устройства видеоадаптера в виртуальной машине. Когда мы устанавливали Windows на виртуальную машину, он видел там не устройство видеоадаптера VBox как обычно, а полноценный ПК со своим железом, потому и драйвера встали такие какие нам нужны. Отсюда и подмена отпечатка.
Сanvas fingerprint
Сам метод достаточно понятный: при заходе на какой-либо сайт, с установленным кодом отслеживания пользователя, такой ресурс запрашивает у браузера пользователя отрисовку скрытого изображения, причем рисуется текст, с использованием доступных системе шрифтов и рендерера. Набор шрифтов и методы сглаживания немного отличается на разных машинах. Рендерер зависит от версии браузера, ОС и даже GPU. В итоге отрисованное изображение — уникально.
Существуют разные плагины для браузеров, которые отключают Canvas, например этот:
https://github.com/kkapsner/CanvasBlocker
Mouse Fingerprint
Широко используется в различных сферах – начиная от простейших систем антифрода и заканчивая правительственными программами слежения.
Как и многое другое реализована через JavaScript
Для защиты от технологии снятия отпечатка мышки рекомендуется отключить JavaScript в браузере пользователя.
Ubercookie
Новая технология, которая была изобретена исследователем из Барселоны Хосе Карлосом позволяет идентифицировать пользователя даже в сети ТОР.
Как заявляет Хосе Карлос технология Ubercookie является одной из основных методик деанонимизации пользователей ТОР сети и активно развивается в сфере антифрода ввиду ее эффективности.
Evercookie (persistent cookie)
На ваш ПК попадает маленький файл. Он плодится и неистово размножается по системе, прячась от вас в скрытых папках/файлах.
Evercookie — очень умный плагин, который может сохранять ваши данные практически везде. Evercookie использует все доступные хранилища браузера — современный HTML 5 стандарт, Session Storage, Local Storage, Indexed DB и другие.
Для обычного пользователя, который не знает всего этого, удалить эти cookies просто невозможно. Нужно посетить 6-8 мест на жестком диске, проделать ряд манипуляций для того, чтобы только их очистить. Поэтому обычный пользователь, когда посещает сайт, который использует evercookie, наверняка не будет анонимным.
Несмотря на все это, evercookie не работает в инкогнито режиме.
Для всех остальных решение конечно же есть.
Способ позволяет оградить систему от этой заразы – правильно настроенная антидетект машина будет принимать Flash cookies, Local Shared Objects-LSO cookies с радостью, но все они будут отправлены в нашу оперативную память. В результате система видит, что мы приняли кукисы, но, по сути, они не упали к нам на ПК в следствии чего они не прописались там и не смогли разможножаться, причиняя нам вред. После того, как мы закончим работать с сайтом, мы закроем окно браузера кукисы удалятся из оперативной памяти.
WebRTC Fingerprinting
WebRTC — это стандарт peer-to-peer коммуникаций через аудиопотоки, или это стандарт аудиокоммуникаций в современных браузерах. Он позволяет делать аудиозвонки и т.д.
Почему же она так опасна? Потому что P2P во время обмена информации запрашивает IP-адрес пользователя, а WebRTC эту информацию любезно предоставляет всем желающим.
Даже если пользователь работает через VPN или TOR с помощью WebRTC сайт без особого труда сможет узнать ваш реальный IP-адрес.
Проверить можно на саите whoer.net или ipleak.net.
Можно выключить, но лучше скрывать свой локальный IP от службы WebRTC. Такое решение существует. Итог у вас WebRTC включен, а сам IP не передается. Поверх будет детектится только ваш впн, к примеру.
Fingerprintjs2
Появилась в 2012 году, автор не дремлет и обновляет свое детище по сей день. Про нее мы писали чуть выше.
Суть ее в том, что код этой библиотеки опрашивает браузер пользователя на предмет всех специфичных и уникальных настроек и данных для этого браузера и для этой системы, для компьютера.
Весь список того, что код спрашивает перечислен тут.
FingerprintJS вообще не использует cookie. Никакая информация не сохраняется на жестком диске компьютера, где установлен браузер.
Работает даже в инкогнито режиме, потому что в принципе не использует хранение на жестком диске. Не имеет зависимостей и размер — 1,2 Кб gzipped.
На данный момент используется в таких компаниях как Baidu, это Google в Китае, MasterCard, сайт президента США, AddThis — сайт размещения виджетов и т.д. Эта библиотека быстро стала очень популярной. Она используется примерно на 6-7% всех самых посещаемых сайтов в Интернете на данный момент.
Тут показано, как это работает.
Вопрос: насколько уникально и точно определение? Исследование, за основу которого было взято, было сделано компанией Electronic Frontier Foundation, у них был проект Panopticlick. Оно говорит, что уникальность составляет порядка 94%, но по словам разработчика на реальных данных, которые были у него, уникальность составляла около 90%-91%.
Audiofingerprint
Заканчивает наш хит-парад так называемый аудио-отпечаток.
Метод работает следующим образом: с помощью AudioContext API на компьютер пользователя посылаются низкочастотные аудиосигналы, после чего определяется, каким образом он их обрабатывает, и создается уникальный «звуковой отпечаток». Несмотря на сложность, данный способ чрезвычайно эффективен
С ее помощью правоохранительные органы и рекламные сервисы могут деанонимизировать пользователей через VPN без необходимости расшифровывать трафик.
Было проведено исследование и из 1млн сайтов более 80% имели технологию снятия отпечатка аудио.
Существует база данных в сети за май 2016 года, там список сайтов, которые используют этот отпечаток.
http://webtransparency.cs.princeton.edu/webcensus/data/census_2016
В данный момент технология снятия отпечатка аудио активно используется спецслужбами США – ФБР и АНБ, Европы – Интерпол, а так же постепенно занимает лидирующую позицию в системах антифрода по всему миру. Данная форма идентификации пользователя настолько еще не исследована, что даже создатели ТОР браузера начиная с мая месяца 2016 года безуспешно пытаются ее обойти.
Для защиты от снятия отпечатка аудио рекомендуется полностью отключить JavaScript в браузере, однако такие кардинальные меры приведут к полной невозможности работать с большинством сайтов.
Подменяется через манипуляции со звуковым устройством, настроенное на вышеупомянутой виртуальной машине.
Анонимные и не очень браузеры
1. Tor Browser
Доступен на Windows, Mac и Linux.
Сеть TOR предназначена для одной простой задачи – анонимной коммуникации. Этот браузер наиболее безопасный.
TOR позволяет скрыть местонахождение, историю посещения сайтов, пересылаемые сообщения и другие конфиденциальные данные от людей или программных средств, занимающихся анализом трафика.
Этот браузер пересылает трафик через множество индивидуальных релеев и туннелей таким образом, что анализ заголовка теряет всякий смысл. Попросту говоря, вместо прямой пересылки из точки А в точку Б, происходит пересылка через сеть, состоящую из множества узлов.
Сниффер, слушающий только один узел в этом маршруте, никогда не узнает ни источник, ни приемник перехваченной информации.
Однако у браузера TOR есть и недостатки, главный из которых – скорость. Поскольку трафик пересылается через множество узлов, загрузка страниц может быть не очень быстрой, как бы того хотелось. Если у вас хороший канал, проблема не будет ощущаться, однако в случае низкоскоростного интернета серфинг через TOR может раздражать.
Следует отметить, что TOR наилучшее решение в плане анонимности, но полная приватность не гарантируется. Например, загрузка торрентов или незаконный просмотр ТВ оставляет вас уязвимым. Однако по сравнению с известными браузерами, как, например, Chrome и Safari, браузер TOR далеко впереди.
2. Epic Browser
Доступен для Windows и Mac.
Хотя браузер Epic не использует специальную onion-сеть, здесь отключено множество опций, негативно влияющих на вашу конфиденциальность во время серфинга.
Например, не сохраняется история, отключена функция DNS pre-fetching (используемая с целью ускорения загрузки страниц) и cookie. Также отключен DNS-кэш и автозаполнение форм.
После закрытия сессии браузер автоматически удаляет все связанные базы данных, настройки, содержимое папки Pepper Data и cookie, используемые флеш-плеером и плагином Silverlight.
3. SRWare Iron
SRWare Iron – бесплатный защищенный браузер на базе Chromium, оптимизированный для максимальной скорости работы. SRWare Iron был разработан немецкой компанией SRWare как безопасная альтернатива браузеру Google Chrome, который не защищает на 100% от слежки за пользователями со стороны web-сайтов. В SRWare Iron используется последняя версия WebKit и V8, браузер не отслеживает действий пользователей, чем обеспечивает высокий уровень безопасности и конфиденциальности.
Главное отличие между Chrome и SRWare Iron – улучшенные средства анонимности. Эксперты критикуют Chrome за использование «Unique User ID» (уникальный идентификатор пользователя). Каждый раз, когда начинается новая сессия, Google оповещается об использовании ваших данных.
SRWare не использует уникальных идентификаторов и другие функции, влияющие на безопасность, как, например, подсказки во время поиска.
4. Comodo Dragon Browser
Доступен для Windows и Mac.
Comodo даже близко не напоминает TOR, но имеет некоторые встроенные инструменты для повышения безопасности во время серфинга. Например, автоматически блокирует отслеживание, cookie и веб-шпионов. Кроме того, у этого браузера есть встроенная функция валидации, которая отделяет сильные и слабые SSL сертификаты. Также используется антивирус для защиты от троянов, вирусов и других атак.
Как и в случае с предыдущим браузером, Comodo Dragon разработан на основе Chrome. Соответственно, множество пользователей могут легко переключиться.
А теперь о совсем не анонимном Brave
Вероятно, вы слышали о браузере Brave, однако на сайте компании прямо говорится, что приложение “анонимно” мониторит пользовательскую активность. Кроме того по умолчанию поисковой системой является Google, что само собой не несет никакой анонимности. Стартовая страница браузера подключается к домашней странице brave.com и отправляет определенные запросы в ее сторону, по умолчанию включены отчеты о сбоях, которые отправляются вместе с характеристиками и настройками браузера (и возможно ПК), при каждом включении Brave будет обращаться к запросам которые явно связаны с их рекламодателями, для предоставления таргетированной рекламы. Браузер блокирует рекламу частично, можно сказать, выборочно, даже при включённом блокировщике.
Отключить можно. А подменить?
Здесь мы затроним только Firefox, про другие методы и браузеры я расскажу в следующей статье.
Переходим на browserleaks.com и поехали.
Заходим в левое меню на сайте и выбираем JavaScript:
IP, WEBRTC
Я не буду здесь касаться IP и WebRTC. Об этих параметрах говорят слишком много и, тем более, я затрону WebRTC в одной из следующих статей, а именно как организовать подмену его в виртуальной машине с одним из мощных технических решений по антидетекту.
Но ссылку на статью для общего развития про WebRTC скину:
http://incashwetrust.biz/podmena-webrtc.html
FLASH
IP, сливающийся по Flash — нельзя пропускать. Сейчас у многих, конечно, установленного флеша уже нет на вашем десктоп-решении, но если есть и вы не хотите от него избавляться — то придется произвести следующие манипуляции:
Необходимо изменить файл mms.cfg (если Flash установлен на компьютере).
Если файла нет, то создать по пути:
Windows (32Bit): С:\Windows\System32\Macromed\Flash\
Windows (64Bit): C:\Windows\SysWOW64\Macromed\Flash\
И прописать в конце файла: DisableSockets=1
Но лучше его всё-таки снести, он практически нигде уже не нужен. Так как через него идет слив тех же плагинов.
ВРЕМЯ
Смотрим на системное. Казалось бы, выставили время как у местолоположения прокси/ip и всё? Нет, этого недостаточно. Одни из технических моментов, которые вас сольют:
— Соответственно само время и совпадение с часовым поясом IP.
— У системного времени текст в скобках (Москва, стандартное время). Иногда происходит так, что там написано, к примеру, Саудовская Аравия (на одной из машин была такая проблема), хотя в настройках времени в Windows всё указано верно. Как мне кажется это связано с самой виндой и можно это изменить только сносом и переустановкой с другим образом. Все виртуальные машины, хостящиеся на ней, имели такую же проблему, как и Зеннопостер.
— Отклонение в секундах. Как вы видите разница между локальным и системным здесь 21 секунда. Как много может быть машин с таким же отклонением времени, заходящие подряд в аккаунты фейсбук? И тем более в одной подсети IP?
ЯЗЫК
Язык, а именно доля от единицы (q=0,9 или 90%) у пользователя определяется по его истории и кукам. Чем больше значение — тем выше вероятность, что пользователь использует этот язык как свой родной.
Значение после прямой черты в Заголовке и JavaScript определяется по настройкам в браузере. (В Chrome: Настройки → Дополнительные → Языки → Язык).
Значение в скобках 100% будет разное у разных виртуалок с разной историей в браузере.
TCP/IP STACK FINGERPRINTING (PASSIVE OS FINGERPRINTING)
Насчет операционной системы обмусоливать ничего не буду, виртуалки это дело закрывают точно. Интересен здесь последний параметр, TCP/IP.
Что почитать по этому поводу:
https://www.netresec.com/index.ashx?page=Blog&month=2011-11&post=Passive-OS-Fingerprinting
Вкратце — значение MTU у проводного интернета и некоторых Wi-Fi модемов должно быть 1500 (максимальное значение).
У мобильных операторов 1400 или 1500 (бывает встречается меньше 1400, обычно кратно 10, как например 1380). У некоторых usb-модемов 1340-1380, тех же usb-модемов 1340.
Также текстовое значение (Windows NT kernel) выдает в вас пользователя не мобильным оператором, а десктопного интернета. У того же пользователя Android там будет как минимум текст про Linux 2.2.x-3.x и т.д. Иногда у некоторых (модем Мегафон) встречается надпись про VPN.
К чему я всё это? Если эмулируете мобильного пользователя, но сидите с модема — этот пункт сдаст вас с потрохами. Плохие поставщики услуг аренды VPN/Proxy, которые не заморачиваются с подобной настройкой безопасности — тоже «сдадут» этим пунктом. Причем проблему с числовым значением MTU они, может быть, закроют, но решения с текстовым значением есть мало у кого на рынке на данный момент.
Одно из решений: происходит эмуляция мобильного устройства — используйте мобильное устройство для раздачи интернета. С десктопа — естественно десктоп, модем, кабель.
DNS
Ничего страшного в DNS от гугла я не вижу (8.8.8.8 и 8.8.4.4), но на дистанции использовать только его на одной подсети — это уже подозрительная вещь для ИИ. Лучше, как по мне, использовать стандартные DNS вашей подсети:
— Выдает в вас менее опытного пользователя компьютера;
— Расстояние до DNS серверов ближе (у гугла ближайшие находятся в Финляндии);
— Разные подсети — разные DNS.
НАВИГАТОР
Необходимые для нас данные:
hardwareConcurrency — количество ядер.
deviceMemory — количество ГБ оперативы.
По моему мнению, не нужно их подменять, если они более менее стандартные (к примеру 4 и 4). Но если у вас машина на 32 гб оперативы — на дистанции это будет плохим знаком.
Тут в плане подмены я не смогу ничего подсказать (как минимум в этой статье на данный момент, так как использую для этого свои шаблоны). Но в одной из следующих статей думаю, что затрону.
Оставшиеся данные в подменю Навигатор — не имеют значения, виртуалка закрывает с ними проблему.
ПЛАГИНЫ
Если хром — вам покажет более или менее стандартный набор из трех плагинов. Естественно, сайт их видит больше. Для этого вы должны иметь набор из ссылок на самые популярные 25-30 плагинов и каждый раз при настройке собственного антидетект-браузера устанавливать 2-3 плагина.
МЕСТОПОЛОЖЕНИЕ
Не вижу смысла обсуждать местоположение, так как при правильной настройке IP местоположение будет завязано на нём.
РАЗРЕШЕНИЕ ЭКРАНА И БИТНОСТЬ
Нет резона извращаться и использовать какие-то изжившие себя разрешения компьютера. Можете использовать стандартный и самый популярный 1366х768 и сильно не парится. Конечно на дистанции в 50-100 уже нужно что-нибудь поменять, но я не думаю что по этому параметру пойдет негатив от ИИ. Статистика самых популярных разрешений:
https://www.w3counter.com/globalstats.php
http://gs.statcounter.com/screen-resolution-stats
Битность 24 — стандарт. И менять его смысла нет.
HTTP ЗАГОЛОВКИ
Виртуалка так же закрывает проблему с ними.
JAVASCRIPT
На что обращаем внимание?
У параметра разрешения экрана есть ещё так же такой параметр как viewport (рабочая область в браузере). То есть из-за адресной строки и вкладок в браузере, полосы панели задач снизу с кнопкой пуск и прокрутки в браузере справа — разрешение viewport будет отличаться в меньшую сторону от разрешения экрана. Это стоит учитывать, если вы эмулируете, например, разрешение, больше размера экрана монитора (пусть 1920х1080), но viewport оставляете таким же, как при меньшем разрешении (к примеру viewport 1349×657, который принадлежит к разрешению 1366х768). Это будет очень палевным для детект-систем, особенно, если это будет повторяться.
Параметр doNotTrack я не затрагиваю, особо ни на что не влияет при работе с той же виртуалкой, скорее принудительная его смена уже позволяет думать о вас, как о более прошаренном юзере.
BATTERY STATUS API
Специально проверил, имеет ли слив по этому параметру последняя версия Chrome, выключив от сети свой ноутбук. Имеет:
Следовательно, при работе с ноутбука необходимо иметь заряд 100% и постоянное подключение к сети (при выходе и заходе в разные аккаунты, особенно в одной подсети IP).
WEB AUDIO API
Затрону при обсуждении AudioContext Fingerprint (ниже).
INSTALLED PLUG-INS
Затрагивал в прошлой статье. Держите список из ссылок на 30 самых популярных плагинов и рандомно устанавливайте каждый раз 3-5.
SILVERLIGHT
Далее в левом меню пропускаем Flash (т.к. обсуждали в прошлой статье) и выбираем Silverlight.
Если видите эту надпись — значит всё прекрасно и вы имеете одну из последних версий своего браузера (проверил на последних Chrome и Firefox), который не поддерживает эту устаревший и небезопасный плагин.
В том же случае, если он присутствует и вы не хотите от него избавляться, то стоит каждый раз очищать по пути все данные на вашей виртуальной (хостовой) машине:
- C:\Users\%Имя пользователя%\AppData\LocalLow\Microsoft\Silverlight\is\
JAVA APPLET
Следующий пункт в меню слева Java Applet.
Как понимаете, тут та же самая ситуация, как и с Silverlight. Устаревший и небезопасный плагин, который убрали из поддержки в новых версиях браузеров. Настолько устаревший, что я даже не подскажу, как его включить. Вам это надо?
WEBGL
Подскажу только с изменением значений: Unmasked Vendor, Unmasked Renderer и WebGL Report Hash (который меняется после смены первых двух). И только для Mozilla. Последнее значение разберу позже в одной из следующих статей.
Для этого набираем в адресной строке about:config, далее набираем в поиске Vendor и меняем на любое значение. К примеру, просто Mozilla.
Далее вводим Renderer и выбираем webgl.renderer-string-override:
Я ввёл к примеру ANGLE (Intel(R) HD Graphics 620 Direct3D11 vs_5_0 ps_5_0).
WebGL Report Hash у нас должен измениться тоже. Но с Image Hash придется попотеть. Я оставлю этот момент, возможно его дополню, но пока у меня нет кустарного решения по этому моменту, могу только сказать, что в разных браузерах он разный. Мне это не нужно, так как имею свой самописный браузер, где идет автоматическая подмена этого момента.
Можно, естественно и заблокировать доступ к WebGL — но это мощный звоночек к Цукеру и быстрый последующий бан.
WEBRTC LEAK TEST
С WebRTC могу выделить здесь одну вещь — так называемые Media Devices. У меня опять же, этот момент подменяется в своем браузере, но здесь могу подсказать, что можно добавить какие-то девайсы в этот список с помощью программы Virtual Audio Cable (найдете на торрентах). Поиграйтесь с этой программой, без разницы, какие параметры будете менять. Главное изменить конечное значение аудиоотпечатка.
Про наличие/отсутствие видеокамеры и микрофона — запрос предоставляется со стороны сайта и пользователь сам подтверждает, хочет он или нет предоставлять сайту доступ к ним. Так что слива тут быть не может.
CANVAS FINGERPRINT
Для подмены отпечатка Canvas можно использовать расширение Canvas Defender. Он есть как и для Mozilla, так и для Chrome. Да, это палево в какой-то степени, наверняка сайты могут подтянуть, что вы используете это расширение в данный момент. Но если других выходов нет — то можно именно так.
Как альтернатива — в Mozilla можно зайти в Настройки и найти этот раздел в меню Основные:
Выберем Дополнительно… и уберем там галочку с Разрешить веб-сайтам использовать свои шрифты вместо установленных выше. Сохраним изменения. И теперь выберем шрифт по умолчанию (поддерживающий кириллицу) с каким-нибудь размером (лучше стандартный).
Это изменит наш Canvas (кстати, как и Font Fingerprint).
FONT FINGERPRINT
Как я говорил в прошлой статье — нужно иметь набор шрифтов, рандомно устанавливать некоторые из них перед запуском новой виртуальной машины к примеру. Добавлю некоторые свои мысли — необходимо устанавливать как можно более популярные шрифты (и иметь набор наиболее популярных шрифтов). Так как при вытягивании с помощью JS сайт вытягивает установленные шрифты по своему внутреннему списку (то есть ваши заморские он может и не выявить и будет фингерпринт у вас похож на прошлый). Вытягивать он может весь список только с помощью Flash, который уже давно у всех отключен.
CONTENT FILTERING
О чем я и говорил. Canvas Protection палится и альтернативное решение в этом плане лучше.
Adblock палится, это естественно, НО ОСОБЕННО будет палиться нестандартный и повторяющийся набор блок-листов. Выход — не использовать Adblock, либо никак его не трогать, чтобы не отличаться от группы людей.
FEATURES DETECTION
Огромный набор по выделению каких-либо работающих/неработающих параметров на машине. Что можно сказать? Когда на виртуальной машине забанен аккаунт и вы не снесли винду или не почистили всё основательно — возможно, что этот набор остался и выдаст вас своим отпечатком на следующем аккаунте. То есть не устанавливайте лишних драйверов вида KLite Media Codec Pack. Конечно же, не нужно всматриваться в каждый этап, но сравните, для интереса, какие значения у вас на хостовой и виртуальной машины у Modernizr.video.h264 и например Modernizr.jpeg2000 и Modernizr.jpegxr. На хостовой машине наверняка h264 — true, а на виртуальных нет. А значения с jpeg и там и там — false. Это вполне нормальная вещь, но если будет что-то необычное и на протяжении долгого времени — это опять же составит о вас неблагоприятный отпечаток в глазах антифрод систем. Не стоит к этому цепляться, как к одному из моментов бана, но с цепочкой значений, где будет происходить слив — это будет играть больше негативно, чем наоборот.
MORE TOOLS
Выберите далее More Tools и я объясню некоторые параметры:
Firefox Resources Reader — неактуален, так как слив происходил на старых версиях Firefox. Слив заключался в том, что Firefox выдавал, что он именно Firefox и сливал некоторые хэши данных, которые хранились в его JS файлах.
ClientRects Fingerprinting — метод борьбы точно такой же, как и с Canvas. То есть изменение в Mozilla дефолтного шрифта.
CSS Media Queries — должно отличаться на разных виртуальных машинах.
Social Media Login Detection — одно из самых интересных вещей в этой статье, так как я нигде не видел об этом каких-либо мыслей. Как вы заметите, сайт определит на вашей машине, в какие из социальных сетей вы залогинены. И, наверняка, Facebook сделает тоже самое перед вашей регистрацией. Как ему неприятно будет быть вашей самой первой соцсетью, в которой вы будете зарегистрированы, Вы согласны? Сохраните этот список к себе и каждый раз перед регистрацией регайтесь на какие-нибудь из них рандомно.
AUDIOFINGERPRINT.OPENWPM.COM
Для аудиоотпечатка я использую отдельный сайт audiofingerprint.openwpm.com. Как я говорил выше, для его изменения необходимо поиграться в установленной программе Virtual Audio Cable. Чтобы проверить свой отпечаток, жмите Fingerprint me! и смотрите.
Как проверить свою безопасность?
Cуществует несколько ресурсов, которые использует те же методы сбора данных, но показывают вам слабые места в ваших настройках. Посетив такие сайты вы можете наглядно убедится насколько вероятно, что вас идентифицируют в сети:
Здесь можно провериться на раскрытие данных вашим браузером: https://browserleaks.com/
А этот сайт от американских правозащитников позволит вам проанализировать свою анонимность в сети: https://panopticlick.eff.org/
Еще один хороший ресурс, показывающий какие именно недочеты могут скомпрометировать вашу анонимность в сети и как антифродовые системы реагируют на эти аномалии: https://www.whoer.net/
Ты все еще читаешь и не охуел от всех этих методов сбора твоей персональной информации? Значит тебе с нами по пути и ты заботишься о себе и своей безопасности. А значит мы тебе обязательно расскажем о том, как обезопасить себя.
Берегите себя и помните: безопасность превыше всего. Не ленитесь и настройте все грамотно.
Вас ебали, ебут и будут ебать. Государство, хакеры, чиновники.Остановить эту свингер-пати невозможно. Но я научу предохраняться.
Я покажу и расскажу вам то о чём не пишет журнал “Хакер” и не рассказывают или просто не знают другие каналы. Здесь ты найдешь подборку лучших статей и видеоматериалов на тему кибербезопасности. Все, от аудита Wi-Fi до вскрытия автомобилей (если вы потеряли ключи). А также горячие новости с авторскими коментариями.