Антидетект Браузера, Фрингерпринты. Как за нами следит наш браузер!

Антидетект Браузера, Фрингерпринты. Как за нами следит наш браузер!

BezLich

1. Антидетект Виртуалки. VirtualBoxHardened

Такая настройка системы в первую очередь добавляет плюсы в нашу копилкуанонимности, а уже потом экономит наши средства на дедиках. Есть наверно такие тут, кто только пришел и думает для вбивов им достаточно лишь виртуальной машины и ВПН. Конечно есть, все когда то так думали. Знания приходят не сразу.


Думаю не секрет, что у виртуальной системы своеобразная "начинка" - не нужно использовать даже никакие программы наподобии AIDA64 или EVEREST, чтобы убедиться в этом. Достаточно лишь открыть Диспетчер Устройств на нашей виртуальной машине и ужаснуться. Вся ваша система просто кричит в первую очередь о том, что она виртуальная машина, а уж потом, как и любая незащищенная система будь то стационар или дедик, передает ваши данные третьим лицам, включая ваше местоположение(это уже край, если пренебрегать даже простыми мерами защиты и анонимизации).


После нескольких манипуляций с виртуальной машиной она будет не хуже дедика, ведь все параметры системы выбирали Вы. Как будто Вы сходили в магазин и собрали себе ПК с нужными вам комплектующими. Вот что нам нужно.

Есть в паблике такая наработка называется VBoxHardenedLoader(github.com/hfiref0x/VBoxHardenedLoader). 

Не достаточно лишь скачать архив и думать, что на этом все заканчивается. Нужно настроить сам файл и вбить туда команды и значения, которые нужны нам. Даже разрешение задать, которое ваш ПК не поддерживает.

В связи с тем, что практически все мануалы и обсуждения ведутся на зарубежных бордах и форумах, русскоговорящее сообщество лишено источников знаний по этой теме.


"Хочешь владеть информацией - будь готов платить за неё."


Как показала практика к каждому железу нужен свой подход при установке такого чуда и свое написание конфиг файла. Часто в гости приходит синий экран смерти, если не то вписать. Зависит еше от той операционной системы и ее версии, на которой собираемся строить такую машину.

В гибкости и надежности системы можно не сомневаться.

Всё настраивается индивидуально под ваш вкус и цвет.

Подменим всё железо нашей виртуальной машины начиная с

- модель процессора

- изготовителя/фирму нашей материнской платы, ее версии и всей подноготной

- ID BIOS, версию/дату

- ID CPU и ID HDD

- ID продукта Windows

- подмена видеокарты (Важно!)

- рандомный Mac-Adress сетевого устройства или же установка для каждой машины в ручном режиме

- в отличии от простой виртуальной машины, на нашей мы сможем управлять параметрами звуковой карты(намек на подмену аудио-отпечатка) не само собой конечно же, нужно поработать еще в ручную над этим и установить нужный софт.


Как же всё это работает.​

Мы через VboxHardenedLoader придаем нашей будущей виртуальной машине рандомные свойства и параметры, а уже потом устанавливаем туда сам Windows. Все качества наша чудо машина получает до своего первого запуска. То есть ваша виртуальная машина уже запускается с этими характеристиками как полноценный ПК и в сети он будет так же идентифицироваться как чей то ПК, а не виртуальная машина с отпечатками VBOXа.


Как работать с такой виртуалкой.

Создав такую машину, назовем ее ГЛАВНОЙ, вы загружаете в неё весь нужный вам для работы софт, настраиваете антидетект браузера и прочее.

Уже готовую ГЛАВНУЮ машину мы будем клонировать и в будущем будем работать только с клонами, которых после в отработку - удаляем и делаем ещё клонов. Представьте, что это дедики, заюзал и выкинул. Но за них вы не платите никому, они ваши и вы выбираете какой она будет, остается только носочки почище одеть и бежать шопиться. Единственное что нужно сделать, это запустить команду и придать клонам рандомные от ГЛАВНОЙ машины значения, мы ведь помним что это клонированная машина и она подобна ГЛАВНОЙ. Нам нужно, чтобы она отличалась и что же мы делаем. Запускаем написанный конфиг файл и все происходит в атоматическом режиме. Заданы команды и VboxHardened делает свое дело.

Рандомизация клонов в один клик работает со всем железом кроме процессора и материнской платы. Если очень уж понадобится это кому то, то все изменяется в ручную через наш VboxHardened.

Как по мне модель процессора можно не менять так часто или вовсе оставить неизменным, главное что модель отличается от модели вашего стационара или ноутбука, с которого вы сидите. То есть один раз задали ей модель и всё. Для нас важно что сменился сам ID CPU. В любом случае конечный выбор будет за пользователем - когда, как и насколько часто менять модель своего процессора.

Мы можем создавать таких виртуальных машин хоть 100. В количестве мы не ограничены и в хранении тоже, было бы место на HDD/SSD.

И так, в каждом вбиве Вы имеете рандомно настроенную систему. Проще говоря вы просто пересели со своего ПК на совершенно другой, и так постоянно меняем их хлеще носков и дедиков. Время создания такой машины с рандомными персональными ID устройствами и заданными им характеристиками занимает у нас 5 минут если это SSD, и чуть больше если HDD.

У этих машин нет связи никакой с вашим ноутбуком. Дополнения Гостевой ОС конечно же не устанавливаем и в самом VirtualBox убита служба VboxNetworking.


Для особых параноиков такую настроенную машину(и последующих наших клонов) можем использовать в связке с Whonix. Все это залить сверху соседским Wi-fi, находящимся в паре кварталов от нас, и можно подавать блюдо. Все индивидуально по вашему желанию. Помните всему можно научиться, если будет хороший учитель.


2. Антидетект Браузера, Фрингерпринты. Как за нами следит наш браузер!

Каждый день системы идентификации и антифрода совершенствуются. Прогресс не стоит на месте. Нужно всегда стараться идти в ногу со временем, хотя бы бежать за ним, пытаясь догнать.

Люди хотят быть анонимными, но они думают что вся анонимность заканчивается на установке ТОРа или её связки с ВПН. Большинство до сих пор считают, что программа CCTools реально меняет что то в машине. Удалите её пожалуйста и забудьте о ней навсегда.


"Владеешь информацией - владеешь миром" © Черчилль


Font Fingerprint

Когда точно появилась технология неизвестно, но то что благодаря своей простоте и эффективности технология снятия отпечатка шрифтов нашла свое применение практически во всех крупных антифрод компаниях это уже не секрет. Данная технология получает список шрифтов, установленных на ПК пользователя.

Разработчики Mozilla обещали в версии 52 защитить пользователей от этого отпечатка.

Для защиты от технологии снятия отпечатка шрифтов пользователю необходимо отключить Adobe Flash и JavaScript в своем браузере.

Как вы уже догадались это нам не подходит. Ведь мы пытаемся подражать американцу или англичанину, никто из них не будет выключать ни Flash ни Java. Это ненужные нам лишние очки антифрода в копилку.

Вывод - стоит выключать если вы просто сёрфите по сети и хотите быть анонимным, а для работы нужна подмена.

Самый простой способ подмены отпечатка шрифтов – изменение масштаба страницы. При желании можно подобрать расширение в Mozilla для этих целей.

В сети есть тесты данного отпечатка, можете попробовать.


Тесты:

Font Fingerprinting - Fonts Detection - BrowserLeaks.com

Panopticlick - WebGl Fingerprint. WebGl 1.0/2.0

Технология отвечает за ускорение и работу с графикой, является частью Canvasa.

Microsoft в свое время призывала отказываться от WebGL из-за его уязвимости к внешним атакам.

Суть его заключается в том, что рисуются 3D треугольники, далее на него накладываются эффекты, градиент, разная анизотропная фильтрация и т.д. Затем он преобразуется в байтовый массив, к которому еще прикрепляется разная информация о платформозависимых константах, которые определены в WebGL. Этих констант очень много, их десятки - это и глубина цвета и максимальный размер текстур и тд тп. В итоге вся эта информация добавляется к нашему изображению 3D треугольника.

Версия драйверов, версия видеокарты, стандарт OpenGL в системе, версия шейдерного языка, — все это будет влиять на то, как внутри будет нарисовано это изображение. И когда оно будет преобразовано в байтовый массив, оно будет разное на многих компьютерах.

Через отпечаток сообщается информация о видеокарте пользователя.


Что делать спросите вы. Можно конечно отключить плагинами, но нас же интересует подмена.

Поскольку WebGl является частью Canvasa, её частично можно подменить, использовав один из плагинов подмены Canvas.

Полная подмена происходит с манипуляцией с видеокартой.


На настроенной мною виртуальной машине через VirtualBoxHardened, с моими заданными командами и параметрами, она имела свой отпечаток, отличающийся от основной.

В такой машине в Диспетчере устройств вместо "Virtualbox Graphics Adapter" можно увидеть "Стандартный VGA графический адаптер" со своими предустановленными вместе с Windows драйверами и идентификаторами. В итоге произведена полная подмена устройства видеоадаптера в виртуальной машине. Когда мы устанавливали Windows на виртуальную машину, он видел там не устройство видеоадаптера VBox как обычно принято, а полноценный ПК со своим железом, потому и драйвера встали такие какие нам нужны. Отсюда и отпечаток подменился.


Тесты:

WebGL Browser Report - WebGL Fingerprinting - WebGL 2 Test - BrowserLeaks.com - Сanvas fingerprint

Обнаружен был исследователями из Принстона.

Сам метод достаточно понятный: при заходе на какой-либо сайт, с установленным кодом отслеживания пользователя, такой ресурс запрашивает у браузера пользователя отрисовку скрытого изображения, причем рисуется текст, с использованием доступных системе шрифтов и рендерера. Набор шрифтов и методы сглаживания немного отличается на разных машинах. Рендерер зависит от версии браузера, ОС и даже GPU. В итоге отрисованное изображение — уникально.


Существуют разные плагины для браузеров, которые отключают наш Canvas. Среди них выделила для себя один, который не только подменит наш Canvas, но и скроет свои следы присутствия.

Старая версия плагина не обнаруживается, если верить этому тесту browserleaks.com/proxy "HTML5 Canvas Protection ✔ not detected"

Обновление от автора почему то лишило её этих качеств.


Тест:

Canvas Fingerprinting - BrowserLeaks.com - Mouse Fingerprint

Широко используется в различных сферах – начиная от простейших систем антифрода и заканчивая правительственными программами слежения.

Как и многое другое реализована через JavaScript

Для защиты от технологии снятия отпечатка мышки рекомендуется отключить JavaScript в браузере пользователя.


Тесты:

test - Ubercookie

Новая технология, которая была изобретена исследователем из Барселоны Хосе Карлосом позволяет идентифицировать пользователя даже в сети ТОР.

Личный блог автора - Jose Carlos Norte Personal Blog

Как заявляет Хосе Карлос технология Ubercookie является одной из основных методик деанонимизации пользователей ТОР сети и активно развивается в сфере антифрода ввиду ее эффективности.


Evercookie (persistent cookie)

На ваш ПК попадает маленький файл. Он плодится и неистово размножается по системе, прячась от вас в скрытых папках/файлах.

Evercookie — очень умный плагин, который может сохранять ваши данные практически везде. Evercookie использует все доступные хранилища браузера — современный HTML 5 стандарт, Session Storage, Local Storage, Indexed DB и другие.

Для обычного пользователя, который не знает всего этого, удалить эти cookies просто невозможно. Нужно посетить 6-8 мест на жестком диске, проделать ряд манипуляций для того, чтобы только их очистить. Поэтому обычный пользователь, когда посещает сайт, который использует evercookie, наверняка не будет анонимным.

Несмотря на все это, evercookie не работает в инкогнито режиме.


Для всех остальных решение конечно же есть.

Способ позволяет оградить систему от этой заразы - правильно настроенная антидетект машина будет принимать Flash cookies, Local Shared Objects-LSO cookies с радостью, но все они будут отправлены в нашу оперативную память. В результате система видит, что мы приняли кукисы, но по сути они не упали к нам на ПК в следствии чего они не прописались там и не смогли разможножаться, причиняя нам вред. После того, как мы закончим работать с платежной системой или иным сайтом, мы закроем окно браузера кукисы удалятся из оперативной памяти.


Тесты:

Are You Trackable?

UberCookie demo by Jose Carlos Norte - http://jcarlosnorte.com

ClientRects Fingerprinting - BrowserLeaks.com - WebRTC Fingerprinting

WebRTC — это стандарт peer-to-peer коммуникаций через аудиопотоки, или это стандарт аудиокоммуникаций в современных браузерах. Он позволяет делать аудиозвонки и т.д.

Почему же она так опасна? Потому что P2P во время обмена информации запрашивает IP-адрес пользователя, а WebRTC эту информацию любезно предоставляет всем желающим.

Даже если пользователь работает через VPN или TOR с помощью WebRTC злоумышленник без особого труда сможет узнать ваш реальный IP-адрес.


Проверить можно на саите whoer.net или ipleak.net

Можно выключить, но лучше скрывать свой локальный IP от службы WebRTC. Такое решение существует. Итог у вас WebRTC включен, а сам IP не передается. Поверх будет детектится только ваш впн, к примеру.


Fingerprintjs2

Появилась в 2012 году, автор не дремлет и обновляет свое детище по сей день. Разработан нашим соотечественником.

Суть ее в том, что код этой библиотеки опрашивает браузер пользователя на предмет всех специфичных и уникальных настроек и данных для этого браузера и для этой системы, для компьютера.

Весь список того, что код спрашивает перечислен тут , на сегодня там 26 пунктов. В будущем не исключены пополнения вместе с обновлениями.

GitHub - Valve/fingerprintjs2: Modern & flexible browser fingerprinting library - looking for maintainer


FingerprintJS вообще не использует cookie. Никакая информация не сохраняется на жестком диске компьютера, где установлен браузер.

Работает даже в инкогнито режиме, потому что в принципе не использует хранение на жестком диске. Не имеет зависимостей и размер — 1,2 Кб gzipped.

На данный момент используется в таких компаниях как Baidu, это Google в Китае, MasterCard, сайт президента США, AddThis — сайт размещения виджетов и т.д.

Эта библиотека быстро стала очень популярной. Она используется примерно на 6-7% всех самых посещаемых сайтов в Интернете на данный момент.

Тут показано, как это работает.

Вопрос: насколько уникально и точно определение? Исследование, за основу которого было взято, было сделано компанией Electronic Frontier Foundation, у них был проект Panopticlick. Оно говорит, что уникальность составляет порядка 94%, но по словам разработчика на реальных данных, которые были у него, уникальность составляла около 90%-91%.


Audiofingerprint

Заканчивает наш хит-парад и забивает плотнее крышку гроба нашей личной жизни так называемый аудио-отпечаток.

Метод работает следующим образом: с помощью AudioContext API на компьютер пользователя посылаются низкочастотные аудиосигналы, после чего определяется, каким образом он их обрабатывает, и создается уникальный «звуковой отпечаток». Несмотря на сложность, данный способ чрезвычайно эффективен

С ее помощью правоохранительные органы и рекламные сервисы могут деанонимизировать пользователей через VPN без необходимости расшифровывать трафик.


Было проведено исследование и из 1млн сайтов более 80% имели технологию снятия отпечатка аудио. Существует база данных в сети за май 2016 года, там список сайтов, которые используют этот отпечаток, можете поискать свой шоп. http://webtransparency.cs.princeton.edu/webcensus/data/census_2016

В данный момент технология снятия отпечатка аудио активно используется спецслужбами США – ФБР и АНБ, Европы – Интерпол а так-же постепенно занимает лидирующую позицию в системах антифрода по всему миру. Данная форма идентификации пользователя настолько еще не исследована, что даже создатели ТОР браузера начиная с мая месяца 2016 года безуспешно пытаются ее обойти, о чем свидетельствует тикет, который переностится из месяца в месяц: https://trac.torproject.org/projects/tor/ticket/13017


Для защиты от снятия отпечатка аудио рекомендуется полностью отключить JavaScript в браузере, однако такие кардинальные меры приведут к полной невозможности работать с платежными системами, банками и прочими сервисами.


Подменяется через манипуляции со звуковым устройством, настроенное на вышеупонятой виртуальной машине.

На рынке существует и решение за 2к$, но насколько оно актуально сказать не могу. По заверениям автора, если правильно настроить виртуальную машину, этот способ тоже работает и подменить аудио отпечаток им можно. Напомню, что звуковое устройство по умолчанию в не подвергается манипуляциям и изменению, все делается под VBoxHardened.

Мы еще услышим об этом отпечатке и о методах её подмены.

Тесты:

https://audiofingerprint.openwpm.com/

https://browserprint.info/

https://fpcentral.irisa.fr/

⚡️Читайте самые интересные материалы про безопасность на канале BezLich ⚡️