Так ли мы анонимны в интернете?

OVPN

Пользователь
Регистрация
11 Авг 2011
Сообщения
1
Делать нечего, вот и решил попугать юзеров форума, да излечить от паранои, и убеждения в том что ВПН поможет вам остаться анонимным.
Понимаю что букавок много, но это копи-паст старой статьи и я его упростил/уменьшил как мог
Итак начинаем лечение :)
Ниже опубликована только часть информации используемой ( точнее уже и не используемой, так как устарела и есть еще более изащренные методы) спецслужбами для поимки хакеров.

Когда-то давно для идентификации пользователя были придуманы Cookie.
Однако есть гораздо больше способов идентификации.
Многие технологии так или иначе передают информацию о пользователе и компьютере.
Все это позволяет "узнавать" даже посетителя, который специально удалил куки, сменил браузер и перешел на другой IP (читать как "использовал впн" ).

Примеры
Некоторые примеры подобных сервисов есть в интернете.
Panopticlick

Please Login or Register to view hidden text.

использует открыто предоставляемую браузером информацию для идентификации. Ему не нужны Cookie.

Просто зайдите на него и нажмите красную кнопку "Test Me". Ваш браузер - уникален. Evercookie
Библиотека Evercookie на

Please Login or Register to view hidden text.

позволяет сохранять информацию, используя HTML5, Flash и другие средства. Удалить ее, просто почистив Cookie, невозможно.
И не только...

Ресурсы выше - так, детские игры для школоты.

Возможностей по идентификации гораздо больше.
Как можно использовать?

На ум приходит как минимум несколько применений.
Реклама..
"Петя, это ты… Ну и что, что куки отключены… Купи слона!"
Бан..
"Вася, тебе же сказали. За-ба-нен! И прекрати менять IP/браузеры."
Наблюдение и сбор информации..
Большой брат смотрит за тобой.
Подозреваю:):):), что можно и другие примеры использования.


Различные технологии позволяют серверу получать информацию о браузере и компьютере, попробую очень кратко рассказать о них.

Фрагменты этой информации образуют подпись, которая, как вы наверно уже видели на

Please Login or Register to view hidden text.

, позволяет успешно идентифицировать компьютер и пользователя , сидящего за ВПН и думающего что он супер хакер.

1)Работа с Cookie
Да, Cookie - это "old school". С точки зрения идентификации - работают, но не фонтан. Вася знает про куки. Злой тролль знает про куки и может их удалить или отключить..


2) На помощь нам приходит Javascript

С помощью javascript из браузера можно извлечь массу всего интересного. И не только извлечь, но и сохранить.
Начиная от оперативной памяти машины и заканчивая РЕАЛЬНЫМ МАКОМ и именем машины.

Более подробно о технологии вы можете почитать на сайте

Please Login or Register to view hidden text.

и в статье Хранение данных на клиенте. DOM Storage и его аналоги..
С помощью Javascript доступен замечательный объект nagivator, содержащий полную информацию о браузере посетителя и название его OS.
Для полноты картины все об экране посетителя расскажет объект screen.

3) Flash
Local Storage
Как известно, у Flash есть свое локальное хранилище, в которое можно записывать данные и доставать их оттуда.
При этом Flash может замечательно взаимодействовать с Javascript.
То есть, самый простой способ - это сохранить уникальную инфу о посетителе и потом проверять его по необходимости.
Таким образом из FLASH можно получить:

* Сведения об экране.
* Сведения об операционной системе и ее возможностях.
* Список системных шрифтов.

Всю эту красоту можно передать либо в Javascript, либо напрямую на сервер.
Javascript отключен?

Flash работает даже с выключенным javascript.

Из Flash можно проверить, включен ли JS и, при необходимости, связаться с сервером напрямую, используя сокеты: "Тук-тук, я флеш, под IP таким-то сейчас сидит Вася..."
Java!

...Барабанная дробь.. На сцену выходит Java!

UPDATE 28.02.2011:

До версии 6.22 Java могла выдавать MAC-адрес и внутренние адреса. Сейчас эту возможность убрали, но можно, например, собрать все внутренние имена адаптеров, а также узнать сетевое имя, информацию о памяти, процессоре, шрифтах и т.п.

При этом Java может как передать данные в Javascript, так и самостоятельно отправить POST-запрос с информацией.

Получение MAC и IP

Вот пример с получением MAC-адреса.

var location = window.location
var address = (new java.net.Socket(location.host, location.port || 80)).getLocalAddress()

var mac = java.net.NetworkInterface.getByInetAddress(address).getHardwareAddress()
var s = ''
for(i=0;i<mac.length;i++) { // привести byte[] к читаемому виду
var n = mac
if (n<0) n = 256+n
s += n.toString(16)
}
alert(s)


Есть браузеры ( например сафари), котороые не позволять получить часть инфы

Но, с другой стороны, никто не мешает получить все доступные адаптеры, их MAC и IP, вот так:

Enumeration<NetworkInterface> niEnum = NetworkInterface.getNetworkInterfaces();

while (niEnum.hasMoreElements()) {
NetworkInterface ni = niEnum.nextElement();
if (ni.getHardwareAddress() != null && !ni.isLoopback() && ni.isUp()) {
}
}


4) CSS без JS

Современный CSS поддерживает media-query, то есть позволяет получить некоторую инфу, а именно хистори.

Да, это не внутренний IP, не МАС, но оно работает с отключенными JS и Cookies. А это уже чего-то стоит, информация стабильная и очень конкретная.

Можно ли использовать History для хранения идентификатора посетителя? Да, но не везде.
Надо сказать, что такой способ доступа к History через CSS известен уже много лет, и дыра постепенно закрывается браузерами.

С IP все просто, но не совсем. Есть ведь динамические IP.
Что если Вася поменяет динамический адрес, как его отследить? А очень просто - записывать в подпись не только сам IP, а провайдера, который его выдал.
Так что переподключение Васю отчасти скроет (если ип другой), но провайдер в подписи останется тот же, это упростит идентификацию.
Также по базе GeoIP можно получить регион и страну.
Да, это не 100% надежно, но подпись - компонентная. Каждый компонент может быть неуникален, может меняться, но все вместе они однозначно идентифицируют посетителя.
5)HTTP-заголовки
Замечательный и очевидный источник информации:

* User-Agent
* Accept
* Keep-Alive
* Via (proxy)
* Редкие заголовки

Заголовок User-Agent может содержать не только информацию о браузере, но и OS, плагины, детали сборки.
Для более надежной обработки User-Agent можно распарсить на компоненты и использовать их как независимые части подписи, чтобы обновление одного из плагинов не сильно на ней отразилось.
6)Кэш браузера
Использовать кэш браузера можно различными способами. Самый простой - ETag.
При обращении к странице сервер выдает ETag, который браузер использует для кэширования содержимого. При последующих запросах он отправляет этот ETag на сервер, который, таким образом, узнает, кто к нему пришел.
В iframe ниже - ваш уникальный ETag.
Обратите внимание - даже при перезагрузке страницы по Ctrl-F5 кэш ифрейма не очищается! То есть, сервер вас по-прежнему будет узнавать, проверьте сами...
Идентифицировать браузер можно и при заведомо кривом UserAgent'е. Достаточно посмотреть поддержку различных фич. Причем, для многих из них даже javascript включать не обязательно.

Скрыть свой браузер и его версию при грамотной проверке фич довольно сложно.

7)TCP

TCP-протокол с радостью предоставит информацию о вашей операционной системе.

Дело в том, что в различных OS по-разному настроен TCP-стек. А роутер, как правило, не меняет пакет, а просто передает его дальше.

Характеристики TCP-пакетов формируют свой фрагмент цифровой подписи.


Из всей этой красоты, описанной выше, строится компонентная цифровая подпись, по которой любой новоиспеченный хакер (которых как я посмотрю на форуме с каждым часом становиться больше) может быть идентифицирован с вероятностью в 97 процентов, а смена IP это только один ничего не значащись для идентификации фактор.

Алгоритм на сервере умеет сравнивать подписи. Пример такого алгоритма вы можете увидеть в статье на

Please Login or Register to view hidden text.

: How Unique is Your Browser?.

Но Pantoptclick - открытый проект. Он использует лишь небольшую часть приемов, описанных тут, и при этом - весьма эффективен. Реальный алгоритм может быть сложнее и гораздо (в десятки и сотни раз) эффективнее.
 

Ветас

Пользователь
Регистрация
22 Сен 2011
Сообщения
1
и о чем ты говоришь? Где ты тут увидел хоть одного хакера???? Здесь люди занимаются подделкой документов а зто совсем другое.Но в одном ты прав если Большому брату захочется сегодня то завтра мы все будем сидеть в наручниках!!!!!!!
 
ИдиАмин

ИдиАмин

Пользователь
Регистрация
28 Дек 2011
Сообщения
40
и о чем ты говоришь? Где ты тут увидел хоть одного хакера???? Здесь люди занимаются подделкой документов а зто совсем другое.Но в одном ты прав если Большому брату захочется сегодня то завтра мы все будем сидеть в наручниках!!!!!!!
Хотел бы обратить ваше внимание, что здесь 90% людей-селлеров занимаются изготовлением фантиков, но никак не подделкой документов, что не в коем случае не подходит под уголовный кодекс РФ.
 
Most

Most

Пользователь
Регистрация
17 Май 2011
Сообщения
5
Информация не плоха.
Но тут бесполезна.
Хакеры, а их тут скорее всего нет, знают как себя защитить, и безусловно знают о возможностях наших органов. Однако если захотеть спрятаться - спрячешься :)
 
Ваш адрес электронной почты не будет общедоступным. Мы будем использовать его только для связи с вами, чтобы подтвердить ваше сообщение.

Сверху Снизу