Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Śledzą Cię nawet wtedy gdy zmieniasz przeglądarki. Skuteczność 99%
Arstechnica donosi o nowatorskiej metodzie śledzenia użytkownika, nawet jeśli na komputerze używa różnych przeglądarek. Jak to działa? Za pomocą mapowania istotnych komponentów komputera, z którego korzystamy.
Są to takie elementy jak: rodzaj GPU, wykorzystane głośniki (wbudowane, zewnętrzne, słuchawki,…) , charakterystyka CPU, pomocne mogą być też zainstalowane fonty…:
our approach utilizes many novel OS and hardware level features, such as those from graphics cards, CPU, and installed writing scripts. We extract these features by asking browsers to perform tasks that rely on corresponding OS and hardware functionalities.
Spróbujcie tutaj wyliczyć Computer fingerprint na różnych przeglądarkach na tym samym komputerze.
Jak ze skutecznością? Po odpowiednim treningu (czyli w realnej sytuacji: odpaleniu w tle na określonych serwisach mechanizmów tworzących fingerprint) mamy > 99%. Choć ciekawe jak wyglądałoby to na większej liczbie użytkowników:
In a test that collected 3,615 fingerprints from 1,903 users over a three-month period, the technique was able to successfully identify 99.2 percent of users.
–ms
Pomagają dwa monitory o różnych rozdzielczościach :D
trzeba pomyśleć o virtualizacji monitora ;-)
A tak na poważnie, to jest jakiś sposób, aby zabronić przeglądarce wysyłania specyfikacji mojej karty graficznej? Akurat u mnie przy obliczaniu fingerprintu wywala WebGL error (brak zainstalowanych sterowników od karty graficznej – lubię tak) i nie dostaję fingerprintu.
Technika nie jest nowa, jest rozwinięciem identyfikowania użytkownika po rozdzielczości ekranu, nazwie i wersji przeglądarki. Problem w tym, że do tej pory nie było to zbyt dokładne, ale kontekst WebGL zwraca mnóstwo zbyt szczegółowych informacji przez co robi się to bardzo dokładne.
Może jakieś pluginy?
wtyczka ghostery nie chroni przed śledzeniem ?
A czy wyłączenie akceleracji sprzętowej w przeglądarce przypadkiem nie powoduje, że nie może się ona już odzywać do gpu?
W Safari można wyłączyć WebGL
NoScript może zablokować takie skrypty. Nie jest to rozwiązanie idealne, bo taki skrypt może być wbudowany w podstawowy skrypt obsługujący stronę, ale jeśli strona ładuje skrypty profilujące z zewnątrz, można je blokować.
Jest jeszcze rozszerzenie do Firefoxa o nazwie Canvas Defender, które zwraca losową wartość, gdy skrypty próbują profilować w oparciu o GPU. Jeśli budowana jest suma kontrolna w oparciu o sprzętową konfigurację, wystarczy chyba zmieniać jeden parametr, aby zakłócić działanie skryptu.
Było jeszcze jedno rozszerzenie, o którym napiszę, jak je znajdę.
U mnie zawisło na „Fingerprinting GPU”, zapewne dlatego że „webgl.disabled” mam ustawione na „true”.
Ktoś niżej pytał o jakieś rozszerzenie… owszem, istnieje jedno takie, o którym mi wiadomo i które jest u mnie w użyciu – https://addons.mozilla.org/pl/firefox/addon/privacy-settings/
PS Mała errata – uBlock (konkretnie lista „Adguard DNS filter”) wycinał skrypt spod tego linka http://www.uniquemachine.org/fingerprint/js/loader.js
Po wyłączeniu uBlocka na chwilę i odświeżeniu stronki wywaliło mi info
„Your graphics card does not seem to support WebGL.
Find out how to get it here.”
czyli „webgl.disabled” zaaplikowane przy pomocy ww. pluginu działa jak należy:)
dwie przeglądarki – 100%
3 przeglądarki Computer fingerprint 100% taki sam, nawet wyułączenie jednego monitora nic nie dało;p mają rozmach:D
a jak przedstawia się temat w zależności od systemów operacyjnych?
Jest tam browser fingerprint i machine fingerprint (2 osobne wartości)
Kurcze, na 3 różnych przeglądarkach, taki sam computer fingerprint, również w trybie incognito.
Fakt działa ale… na FF musiałem wyłączyć wszelkie blokady by test w ogóle był możliwy, natomiast na SRW Iron (chromium) który odpalam w sandboxie wywaliło błąd i brak dostępu do pliku exe, wiec test mogłem dopiero przeprowadzić po uruchomieniu bez sandboxa.
Chyba nie zadziałało co ?
I dlatego istnieje TAILS. :)
Ano: https://sekurak.pl/tails-czyli-anonimowo-bezpiecznie-w-sieci/
Ciekawe.
Linux, stary notebook z GMA 965. Przeglądarki webkitowe dają tego samego fingerprinta dla GPU, przeglądarki geckopdobne – innego. Robi się miejsce dla nowego gracza…
chrome i opera (chromiumy) ten sam fingerprint urzadzenia
ale ff czy edge juz daja inny
win 10 14393.577
U mnie wyszły kompletnie różne fingerprinty dla komputera, może rzeczywiście coś jest w tych dwóch monitorach ;) (2 razy 1920×1080)
Na systemie macOS fingerprint jest całkiem inny, a testowałem tylko na dwóch przeglądarkach :)
Przetestowałem 4 przeglądarki na 1 komputerze i w 1 OS. Żadne fingerprinty nie pasują, testowałem Chrome (zfingerprintowało), Firefox (zaczęło fingerprint po dodaniu temp wyjątku do NoScript ale nie skończyło, proces zawisł na gpu fingerprinting), Safari (proces fingerprintowania mocno obciążął komputer i powodował freeze Safari), Opera (sfingerprintowało).
Żaden computer fingerprint nie pasował do innego.
a u mnie na 3 przeglądarkach w każdej jest inna wartość w polach agent, gpu i hash value of gpu. To chyba dobrze?
a ten komp fingerprint też różny?
właśnie dla komputera fingerprint był tak sami w 3 przypadkach a dla przeglądarek różny
Chrome i Firefox odpalone w Sandboxie – dwa różne hashe zarówno jeśli chodzi o maszynę jak i przeglądarki. Flash włączony w trakcie fingerprintu, obie przeglądarki odpalone w obrebie tego samego sandboxa w tym samym czasie (test wykonany jedna po drugiej).
Technika nie jest nowa, od dawna stosuje się masę różnych czynników do identyfikacji maszyny/OS (nie przeglądarki), które w sumie dają bardzo sensowne wyniki do identyfikacji usera crossbrowser.
Chrome i Firefox pokazały różny computer fingerprint ponieważ została wykryta różna liczba czcionek.
Już to rozkminiłem, dzięki zrzutowi oom killera w dmesg. Wygląda, że strona używa silverlight, jeżeli jest. W Firefox mam włączoną wtyczkę npapi pipelight i podczas testów był uruchomiony, ergo fingerprinting go używał. Webkitowe przeglądarki nie obsługują npapi, więc silverlight nie był użyty. Dlatego też kolega zaw miał inny fingerprint na edge – choć to webkit, wydaje mi się, że obsługuje silverlight.
Jak sądzę wystarczy manipulować ustawieniami drivera gpu zmieniając ustawienia AA i anizo, aby zmienić figerprinta. Albo w przeglądarce zmieniać ustawienia webgl, wyłączać wtyczki etc. Całość wygląda póki co raczej na jakiś projekt akademicki o dużym potenchale, ale bardzo ciekawy pomysł.
https://nakedsecurity.sophos.com/2014/12/01/browser-fingerprints-the-invisible-cookies-you-cant-delete/
Wyłączyć javascript i korzystać z przeglądarek tekstowych typu lynx, w3m, elinks, links2 . Do tego zmiana useragenta do tego Linux.
Phi, przestarzała technologia. Sa bardziej zaawansowane algorytmy rozpoznawania behawioralnego użytkownika. Zmiana kompa nic nie da :P
A może po prostu trzeba napisać plugin który podmienia prototypy w klasach Javascript ktore używane są do wyciągnia danych i zamieniac ich funkcjami ktore logują wyniki w taki sposob aby były poprawne ale za kazdym razem inne.
Wykrzaczyło Firefoksa na Ubuntu puszczonym w maszynie wirtualnej.
Pod Windowsem ten sam fingerprint na Chrome i Firefox, a na Internet Explorerze nie jest w stanie skończyć.
Wygląda na to że najlepszym zabezpieczeniem jest kiepska przeglądarka :-/
Ostatnio sprawdzałem aplikacje do zmiany fingerprintu i też nic to nie pomogło ? Oczywiście z czyszczeniem ciasteczek vpn cc cleaner itd.
Na jednej stronie internetowej mam bana i nie mogę już tworzyć kont póki nie wyłączę blokady elementów śledzących. Czyściłem od zawsze ciasteczka do tego VPN’y i zapisywałem adresy by znowu bana nie dostać i zawsze ta metoda działała, ale dziś nie pomaga ani VPN ani czyszczenie ciasteczek ani CC Cleaner. Pomaga tylko i wyłącznie zmiana neta, jak zapodam nowe źródło internetu do tych wszystkich rzeczy które wymieniłem, to wtedy znowu mam dostęp i mogę stworzyć sobie konto.
Ostatnio sprawdzałem aplikacje do zmiany fingerprintu i też nic to nie pomogło ? Oczywiście z czyszczeniem ciasteczek vpn cc cleaner itd.
Wie ktoś co ta strona może przechwytywać oraz jak ominąć blokady bez zmiany internetu ???