Deanon

Cross-device tracking

 Cross-device tracking – тип атак, представляющих возможность отслеживать пользователя параллельно через несколько устройств. Этот метод эффективен при деанонимизации пользователей, использующих для сокрытия подлинного IP-адреса такие методы, как Tor, VPN, Proxy, даже если используется Tails / Whonix, и соблюдаются все необходимые меры предосторожности - вас все равно могут найти.

 Основой атаки является ультразвуковое межустройственное отслеживание - uXDT - технология, которую рекламные платформы начали массово применять уже в 2014 году. Рекламные компании помещают в свои объявления ультразвуковые записи(звуковые маячки). Когда эта реклама проигрывается по телевизору или звучит по радио, или же когда на компьютере или мобильном устройстве выполняется заложенный в ней код, устройства издают ультразвук, который улавливается микрофонами находящихся поблизости ноутбуков, персональных компьютеров и смартфонов. Те, в свою очередь, интерпретируют этот ультразвуковой сигнал и расшифровывают содержащиеся в нем скрытые инструкции по пересылке информации о данном устройстве на сервер рекламной компании. Рекламщики это используют, чтобы в будущем можно было показывать конкретному человеку более подстроенную под него рекламу.

 Итак, теперь мы с вами поняли - звуковые маячки - это ультразвук, испускаемый рекламой или Javascript-кодом, спрятанным на странице, при просмотре которой заставляет близлежащие телефоны и компьютеры отправлять идентификационные сигналы рекламным компаниям. В этой информации содержатся такие подробности, как настоящий IP-адрес пользователя, геолокационные координаты, номер телефона, ID устройства, серийный номер IMEI, MAC-адрес устройства.

 Теперь представьте: Вы заходите на сайт-ловушку, подготовленный специально для вашей поимки. Вы спокойно путешествуете по сайту, простой атакой вас не взломать, вы хорошо подумали о безопасности. И вот вы заходите на сайт и слышите звук(а может даже и не слышите), и вроде бы ничего подозрительного и опасного не происходит. Даже если вы что-то заподозрите и закроете сайт, ничего уже не изменить. Этот звук слышит ваш телефон, и для него это сигнал. Данные о получении сигнала будут незамедлительно переданы устройством на сервера. В случае cross-device tracking телефон может отправить всю информацию на блюдечке: и координаты, и номер телефона, и контакты в адресной книге, и аккаунт Google/Apple, и историю звонков/СМС, и список используемых Wi-Fi – этого более чем достаточно для установления личности.

Тайминг-атака

Описать доступно принцип, можно на примере атаки мессенджера. Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя. Он появился в сети – система сразу отмечает у себя время, ушел – система записала время выхода. Лог выглядит примерно так:

Теперь, когда есть лог активности пользователя за несколько дней, в дело вступает система ОРМ (оперативно-розыскных мероприятий). Подобные системы есть в распоряжении спецслужб большинства стран, в России это СОРМ. Выясняется, кто в эти временные промежутки +/- 5 минут в вашей стране подключался к сети Tor. Мы знаем, что цель, которую необходимо деанонимизировать, подключилась 22.04.2018 в 11:07 и отключилась в 12:30. В эти же временные точки (+/- 5 минут) на территории страны подключились к сети Tor и отключились от нее 3000 человек. Берутся эти 3000 и смотрят, кто из них снова подключился в 14:47 и отключился в 16:54. Так, шаг за шагом, круг сужается, и в итоге удается вычислить место выхода в сеть пользователя. Чем чаще он заходит в сеть и чем меньше в это время других пользователей, тем быстрее сработает тайминг-атака.

Сопоставление соединений

Сопоставление соединений – это один из самых эффективных путей деанонимизации пользователей VPN и proxy, применяемых спецслужбами и правоохранительными органами по всему миру.

Достаточно иметь IP адрес, с которого человек заходил в сеть. Допустим, что IP-адрес принадлежит VPN-сервису и размещен в Нидерландах, а владелец VPNа игнорирует запрос о выдаче данных о владельце. При помощи СОРМ (система оперативно розыскных мероприятий) которая сканирует весь трафик всех пользователей, а также провайдеров, которые по закону сохраняют данные об активности пользователей, вычислить пользователя можно достаточно оперативно. Необходимо всего лишь посмотреть, кто из жителей в интересующий промежуток времени устанавливал зашифрованное соединение с нужным вам VPN-сервером в Нидерландах. Если это популярный публичный VPN, таких пользователей может быть несколько, но их не может быть много. Пусть будет условно три человека. Установить, кто же из них искомый пользователь, уже не представляется сложной задачей, для этого используются стандартные практики расследования, не имеющие прямого отношения к вопросам анонимности и безопасности в сети.

Деанонимизация пользователей через cookies

Cookies – это файлы, которые сайт сохраняет на компьютере посетителя для узнавания пользователя, сбора статистики, сохранения персональных настроек и некоторых других задач.

Как же cookies приводят к деанонимизации пользователей VPN и proxy? Эта тактика использовалась правоохранительными органами одной европейской страны для ловли хакеров. Хакеры обычно используют для общения и торговли многочисленные форумы, крупнейший из которых Hack Forums. У форумов есть администраторы – те, кто обслуживают форум и поддерживают его работоспособность, за ними и охотились правоохранительные органы. После ареста администратору форума делалось предложение о тайном сотрудничестве в обмен на свободу, и конечно, большинство арестованных выбирало свободу. После этого форум перенастраивался таким образом, чтобы проверять cookies у всех неавторизованных пользователей, записывать информацию об имеющихся у них на форуме аккаунтах и их текущие IP-адреса. Как это приводило к деанонимизации? Когда хакеры заходили на форум под своим аккаунтом, они использовали VPN или proxy, беспокоясь о своей анонимности, но когда они просто читали форум, то часто пренебрегали анонимностью, полагая, что в данный момент они никак не связаны со своим аккаунтом. Так их и ловили, и, согласно данным, за два месяца таким образом смогли установить подлинные IP-адреса 20% хакеров подконтрольного правоохранительным органам форума. При этом обнаружить подобную слежку практически невозможно, так как сохранение и запрос cookies – это обычный процесс.

Файлы-приманки

Особенности данной атаки – простота и эффективность.

Создаются документы, способные деанонимизировать открывшего их. Суть в двух словах: Вам присылается документ(текстовый/картинка и т.п.) в содержании которого вы заинтересованы. Проверка на Virustotal проходит на ура. Документ не проявляет никакой вредоносной активности - вот только при открытии он соединяется с сервером и тем самым отправляет на него ваш IP-адрес.

И это далеко не весь арсенал методов по деанону пользователей. А тем более если речь идет о спецслужбах, которые могут вами заинтересоваться.