Hvernig á að verja þig gegn ósýnilegum fingraförum vafra

fingrafar ljósbox


Hvað er fingrafar vafra?

Algeng rannsóknartækni við löggæslu er að safna fingraför á vettvangi glæps. Við söfnunina er ekki vitað hver fingraförin tilheyra. Markmiðið er heildsöfnun til síðari greiningar. Þessum fingraförum er síðar samsvarað gagnagrunni með fingraförum með þekktum eigendum til að bera kennsl á tiltekið fólk.

Fingrafar vafra, a.k.a. fingrafar á striga, virkar á sama hátt: heildsafn safna eins margra auðkennisstaða vafra og mögulegt er á vefsíðu sem síðan er hægt að passa síðar við eiginleika vafra. Í báðum gerðum fingrafaranna kann greining ekki að sýna fram á persónu en getur samt sýnt að sami einstaklingur sinnti mismunandi athöfnum.

Flestir áhugamenn um friðhelgi einkalífs eru meðvitaðir um að aðal leiðin sem hægt er að bera kennsl á á netinu er með því að nota IP-tölu þeirra. TCP / IP, samskiptareglur sem internetið notar, þarf endilega að senda IP-tölu þína með hverri beiðni til þess að vefþjónninn geti vitað hvert hann eigi að senda svarið.

Raunveruleg einkanet (VPN) hafa orðið vinsæl undanfarin ár sem leið til að fela raunverulegt IP tölu þitt með því að fá lánaðan IP tölu hjá VPN veitunni þinni sem er deilt af mörgum. Þetta leynir raunverulega IP-tölu þinni. Umferð í notkunarskrá netþjónsins sýnir einfaldlega IP-tölu VPN. En hvað sendir vafrinn þinn annars að VPN geti ekki skúrað út? Margt af því fer eftir stillingum vafrans en sumt af því er einfaldlega ekki hægt að hjálpa. Með því að samræma gögnin í beiðnum vafrans þíns getur einhver gert þér kleift að bera kennsl á þig, jafnvel þó þú notir VPN.

Hvernig er fingrafar gert?

Gagnasöfnunina er hægt að gera á tvo vegu; á netþjóninum og í gegnum tækni viðskiptavinarins eins og JavaScript og Adobe Flash®.

Netþjónn hliðarsíðu

Aðgangsskrár á vefsvæðið geta safnað gögnum sem send eru af vafranum þínum. Að lágmarki, það er venjulega bókunin og slóðin sem beðið er um, IP-tölubeiðandinn, tilvísandi (sic) og umboðsmaður notandastrengs.

nginx-aðgangsskrá

Við skulum skoða venjulega Nginx aðgangsskrá færslu beiðni með Safari vafranum. Það lítur svona út:

11.22.33.4 – – [18 / Apr / 2017: 08: 04: 17 -0300] "GET /using-expressvpn-with-ubuntu-linux-mint-or-debian-linux/HTTP/1.1" 200 12539 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, eins og Gecko) Útgáfa / 10.1 Safari / 603.1.30"

IP-talan mín, vafrinn og stýrikerfið eru innifalin í beiðninni. Vafrinn og stýrikerfið er innifalinn í notandaumboðsstrengnum sem er þessi hluti beiðninnar:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, eins og Gecko) Útgáfa / 10.1 Safari / 603.1.30"

Ef ég hlaða sömu síðu með Chrome er eini munurinn sá að umboðsmaður notenda birtist núna sem Chrome. Loginn sýnir sama IP og sama stýrikerfi. Tvö atriði duga ekki til að draga fram raunverulegan samanburð, en það er nóg til að gefa til kynna að þessar tvær beiðnir hefðu getað komið frá sama manni.

11.22.33.4 – – [18 / Apr / 2017: 08: 05: 36 -0300] "FÁ / nota-expressvpn-með-ubuntu-linux-myntu-eða-debian-linux / HTTP / 1.1" 200 12581 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, eins og Gecko) Chrome / 57.0.2987.133 Safari / 537.36"

Einnig er hægt að stilla vefþjóna til að skrá miklu fleiri gögn í aðgangsskrárnar sínar með því að nota sniðmát fyrir snið.

Til viðbótar við það sem heimilt er að taka upp í aðgangsskrám netþjónanna senda vafrar einnig röð af hausum. Vefþjónninn þarf að vita hvaða tegundir af innihaldi og samþjöppun sem vafrinn skilur. Það er líka mjög algengt að smákökum sé skipt á milli vafra og netþjóna. Í þróunarverkfærunum í Chrome vafranum mínum sé ég að þessi haus voru einnig send með beiðni minni og hægt er að nota þau frekar til að nota fingrafar með vafra:

: heimild: slumpedoverkeyboarddead.com
: aðferð: FÁ
: slóð: / using-expressvpn-með-ubuntu-linux-myntu-eða-debian-linux /
: fyrirætlun: https
samþykkja: text / html, forrit / xhtml + xml, forrit / xml; q = 0,9, mynd / vefsíðan, * / *; q = 0,8
accept-encoding: gzip, deflate, sdch, br
samþykkismál: en-BNA, en; q = 0,8
kex: _ga = GA1.2.251051396.1499461219; _gat = 1
dnt: 1
tilvísandi: https: //slumpedoverkeyboarddead.com/
uppfæra-óöruggar beiðnir: 1
notandi-umboðsmaður: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, eins og Gecko) Króm / 57.0.2987.133 Safari / 537.36

Viðskiptavinur-hlið safn

Þetta eru upplýsingar um netþjóninn sem auðvelt er að safna en gömlu vinir okkar við hlið viðskiptavinarins JavaScript og Adobe Flash® svíkja miklu, miklu meira um vafrann þinn. Það er fjöldi vefja á internetinu sem sýnir hversu mikið af gögnum vafrinn þinn mun láta í té þegar hann er spurður.

Til dæmis læri ég af Er ég einstök? að vafrinn minn muni veita ógnvekjandi lista yfir upplýsingar úr vafranum mínum eins og:

  • hvert letur sem er í boði á kerfinu mínu
  • listinn yfir viðbætur sem ég hef sett upp
  • upplausn skjásins míns
  • tungumál kerfisins míns
  • hvort vafrinn minn samþykkir smákökur
  • og fleira. Allur listinn yfir það sem Am I Unique safnar er hér og fleira er mögulegt.

Taflan hér að neðan er tekin úr blaðinu Am I Unique1 sem birt var í mars 2016. Athugið að tvö ríkustu svæði gagnaöflunar eru JavaScript hlið viðskiptavinarins og Adobe Flash®

amiunique-attribute-borð

Lítum á dæmið hér að ofan þar sem netþjóns netþjóns, vafrinn og stýrikerfið sýndi. Bættu nú við lista yfir upplýsingar sem JavaScript og Adobe Flash® veita, og þú getur byrjað að sjá hversu auðvelt það væri að samsvara heimsóknum. Ef tvær heimsóknir deila nákvæmlega sama gögnum nema fyrir IP-tölu, til dæmis væri samt hægt að álykta að þessar heimsóknir væru frá sama einstaklingi. Þetta er sérstaklega gagnleg tækni þegar einhver notar VPN sem gerir IP-tölu þeirra minna gagnlegt sem auðkenni.

Þegar VPN er notað er eini gagnapunkturinn sem breytist IP-tala umsækjandans. Am I Unique sýnir að það getur safnað 21 stiga gagnapunkta, ekki einu sinni meðtalið þrjú gagnapunkta úr netþjóninum. Því að nota VPN til að breyta einum gagnapunkti (IP-tölu þinni) skilur eftir sig 23 stig af gögnum til samanburðar.

Það er enginn alþjóðlegur staðall fyrir fingrafar manna í löggæslu, en vissulega væri hvaða fingrafar með 23 samsvörunarmörk talin mikil sönnunargögn.

Uppfæra: Firefox hefur tilkynnt að það muni loka á fingrafarartilraunir vefsvæða frá og með útgáfu 58. Þú munt taka eftir á myndinni hér að ofan að upplýsingar um striga í vafranum mínum setja mig í nokkuð litla vafra. Með því að gefa út sérstakar strigabeiðnir í vafra og flýta fyrir niðurstöðum geta vefsíður þrengt það niður í mjög einstakt fingrafar. Byrjað er á Firefox 58, og vafrinn mun hvetja notendur til að samþykkja strigabeiðnir áður en þær eru leyfðar.

Hvernig virkar samanburðurinn?

Flestir persónuverndarsinnaðir eru þeirrar skoðunar að því minni upplýsingar sem þú veitir, því betra verður friðhelgi einkalífsins. Þetta á aðeins við í heimi þar sem þú getur valið að gera ekki hluti. Til dæmis, ef ég vil ekki hafa neinar persónulegar upplýsingar á Facebook, þá kýs ég að nota ekki Facebook. Hins vegar er nánast útilokað að nota ekki internetið alla þessa daga, svo þú verður endilega að skilja eftir fingraför. Þess vegna er markmiðið hér að gera það erfitt fyrir einkarekstur þinn að vera í tengslum við opinberar athafnir þínar. Að viðhalda þessum aðskilnaði kemur í veg fyrir að hver og einn auðkennir þig persónulega með gögnum frá aðgerðum sem þú vilt halda persónulegum.

Góð persónuverndartækni, svo sem að læsa vafranum þínum til að banna JavaScript, smákökur og webRTC beiðnir, mun aðeins gera vafrann þinn sérstakari þar sem færri gera það. Til dæmis með því að nota Panopticlick frá Electronic Frontier Foundation getum við séð muninn á stillingum tveimur. Þegar Javascript er virkt er auðvelt að rekja vafrann minn:

panopticlick-general-stats-js

Þegar slökkt er á JavaScript er hægt að rekja vafrann minn, en hann verður svo einsdæmi að hann passar aðeins við 1 í um 100.000 vöfrum. Þegar þú telur að það séu milljarðar netnotenda er tiltölulega einstakt að vera 1 af hverjum 100.000.

panopticlick-general-stats-no-js

Það er mikilvægt að hafa í huga að það eru í raun mjög litlir fingrafaragögn til að prófa með. Þó að til séu fjöldi vefsvæða eins og Am I Unique (352.000 skrár á þessum tíma), Panopticlick (470.161 skrár) og aðrir, þá eru þeir með tiltölulega lítið magn af gögnum til að vinna með. Eins er líklegt að flest af þessum gögnum hafi komið frá notendum sem varða persónuvernd frekar en almenna netið, þannig að tölfræðin endurspeglar sennilega ekki mjög meðalnotandann. Sú raunverulega hætta stafar af möguleikanum að síður eins og Facebook, með 1,86 milljarða reglulega notendur mánaðarlega, eru að safna saman gríðarlegum gagnagrunnum um fingrafaragögn vafra. Þegar mjög vinsæl vefsvæði eins og þessi byrjar að safna fingrafaragögnum í vafranum verður hluturinn af ósýnilegum netsporum mjög raunverulegur.

Því sérstæðari sem vafrinn þinn er, því auðveldara er að bera kennsl á vefi. Svo í þessu tilfelli borgar það sig ekki að læsa vafranum þínum. Aftur á móti er gríðarlega áhættusamt athæfi þessa dagana að vafra um netið með óöruggum vafra, svo hver er besta lausnin?

Hvernig geturðu verndað sjálfan þig

Þar sem það er engin framkvæmanleg leið til að nota sama vafra á öruggan hátt til að stunda bæði einka og almenna internetið þitt er besta verndin gegn fingraför núna að skilja þessar tvær aðgerðir. Notaðu eitt kerfi eða vafra til daglegra athafna og sérstakt fyrir einkafyrirtæki. Best er að stíga skrefinu lengra og nota nafnleyndartæki eins og Whonix fyrir einkarekstur til að tryggja enn meiri aðskilnað milli einkafyrirtækja og opinberrar starfsemi. Að halda þessum aðskilnaði mun þurfa gott rekstraröryggi.

OpSec (rekstraröryggi)

OpSec er ferlið við að safna miklu magni af tiltækum upplýsingum um einhvern sem virðist óskyldur við fyrstu sýn, en hægt er að greina þær til að veita mjög ákveðnar upplýsingar. Mjög augljóst dæmi er að skrá þig inn á Facebook reikninginn þinn meðan þú notar persónuverndartæki eins og Tor. Þegar þú hefur skráð þig inn hefurðu staðfest auðkenni þitt án þess að þörf sé á andstæðingi til að greina fingrafar vafrans.

Það er enginn endir á OpSec blunders sem getur auðveldað fylgni opinberrar og einkarekinnar internetstarfsemi þín, en hér eru nokkur upphafsstaðir.

  1. Einka netstarfsemi þín ætti aldrei að fela í sér að nota neina síðu sem þú notar líka í opinberu netlífi þínu. Fylgni reikninga, eins og Facebook-dæmið, mun skera niður í gegnum tilraunir þínar til friðhelgi einkalífsins.
  2. Persónulegar athafnir þínar ættu að forðast að semja skeyti. Þetta ver gegn stílfræðilegum greiningum. Ef það er ekki hægt að forðast að semja skeyti ættirðu að reyna að breyta ritstíl þínum verulega.
  3. Notaðu allt annað tölvukerfi sem er varanlega tengt við nafnleyndartæki eins og Tor eða traustan VPN fyrir einkarekstur þinn. Þetta hjálpar til við að koma í veg fyrir ósjálfrátt gagna leka svo sem DNS fyrirspurnir eða WebRTC beiðnir.
  4. Ef þú notar VPN fyrir bæði einka og almenna internetið þitt, tengdu við annan VPN netþjón fyrir hverja tegund af starfsemi. Þú gætir líka viljað nota VPN með Tor, í því tilfelli eru einhver VPN sem vinna betur með Tor en aðrir.
  5. Ekki endurnýta notendanöfn, netföng eða aðrar reikningsupplýsingar um opinberar athafnir þínar í einkarekstri þínum. Þetta verndar gegn því að skilja eftir óviljandi slóð af brauðmylsnum eins og þeim sem hjálpaði til við að bera kennsl á eiganda ólöglegs Silk Road markaðs.

Aðgreining á athöfnum þínum eins og þessari kemur ekki í veg fyrir að hvorki opinber eða einkarekin starfsemi sé fingraprentuð að einhverju leyti, en það getur komið í veg fyrir fylgni milli þessara tveggja tegunda starfsemi. Áheyrnarfulltrúi mun líklega geta sagt að sami einstaklingurinn hafi stundað þessa einkareknu starfsemi, en verið minna fær um að binda viðkomandi við þína persónulegu sjálfsmynd.

Fingrafar vafra og GDPR

GDPR og væntanleg e-persónuverndarreglugerð mun líklega stjórna fingraförum vafra, svo og aðrar leiðir til að rekja notendur eins og smákökur. GDPR nefnir aldrei fingraför vafra afdráttarlaust, en þetta er viljandi; löggjafar hafa lært af fyrri reynslu að halda reglum hlutlausum vegna sértækrar tækni. Í persónuverndarreglugerðinni er hins vegar beinlínis minnst á fingraför tækja.

Í staðinn skilgreinir GDPR einfaldlega persónuupplýsingar sem allar upplýsingar sem gætu verið tengdar við auðkenndan einstakling. Þetta felur í sér mörg auðkenni, þ.mt smákökur, IP-tölur, skilríki auglýsinga og, já, fingrafar. Electronic Frontier Foundation útskýrir að „auðkenni krefst ekki staðfestingar á notanda:

„Það er nóg að eining sem vinnur gögn geta óbeint borið kennsl á notanda, byggð á dulnefnum gögnum, til að framkvæma ákveðnar aðgerðir byggðar á slíkum auðkennum (til dæmis til að kynna mismunandi auglýsingar fyrir mismunandi notendur, byggðar á sniðum þeirra). Þetta er það sem yfirvöld ESB vísa til einsöngs, tengsl eða ályktun. “

GDPR segir að allir aðilar sem vinna úr persónulegum gögnum verði að sanna að þeir hafi lögmæta ástæðu til að gera það. Enn fremur mun tilskipunin um einkalíf, sem líklega öðlast gildi árið 2019, krefjast þess að vefsíður og forrit öðlist samþykki notenda áður en þeir rekja þær. Ofan á það verða fyrirtæki sem hafa fingrafar að leyfa notendum að sjá hvaða upplýsingar þeir safna auk umfangs, tilgangs og lagagrundvallar.

„Vafra mælingar á AmIUnique fingraförum með dæmi“. Pierre Laperdrix, Walter Rudametkin, Benoit Baudry. Fegurð og dýrið: Beina nútíma vöfrum til að byggja einstaka fingraför vafra. 37. IEEE málþing um öryggi og friðhelgi einkalífs (S&P 2016), maí 2016, San Jose, Bandaríkjunum.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me