На сайте Киберполиции появился скрипт-деанонимайзер от российского разработчика

07:00, 3 февраля 2020
Киберполиция пытается наладить взаимоотношения с частными компаниями для поимки нарушителей.
На сайте Киберполиции появился скрипт-деанонимайзер от российского разработчика
Следите за актуальными новостями в соцсетях SUD.UA

29 января в редакции региональных СМИ поступили письма с официальной почты местного отделения Киберполиции. Правоохранители предлагали установить на сайтах некий скрипт для деанонимизации интернет-пользователей и борьбы с преступностью. Об этом рассказывает AIN.UA.

Технические детали и спецификации не раскрывались. В пресс-службе Киберполиции в ответ пообещали разобраться, но конкретного ответа не дали. Позже на официальной странице ведомства появилась информация, что Киберполиция действительно пытается наладить с частными компаниями взаимоотношения для поимки нарушителей — но по факту отправки писем проведет разбирательство.

Тем временем AIN.UA удалось ознакомиться с записью разговора между сотрудником Киберполиции и представителем одной из IT-компаний. В ней просьбу установить скрипт объясняли борьбой с VPN-сервисами, маскирующими реальный IP-пользователя. Но подробностей не было и в этом источнике.

Что за скрипт пытались предложить СМИ

Это наверняка неизвестно. Однако скрипт с похожей функциональностью (деанонимизация пользователей) нашли на самом сайте Киберполиции. После того, как пользователи обратили на него внимание, его удалили из кода сайта. Описание и возможности этого инструмента сходятся с теми, что описываются в письме Киберполиции.

Анализ сохраненных копий исходного кода сайта Киберполиции показал, что до 30 января там в общей сложности было 15 активных скриптов. К концу дня — когда история с письмами в СМИ набрала резонанса — количество скриптов сократилось на один. Что удалили? Как свидетельствуют строки загрузки и файлы, речь идет о бесплатной версии Javascript-библиотеки Fingerprint. Ее исходный код опубликован на GitHub.

Библиотека предназначена для обнаружения пользователей и по ряду косвенных признаков присваивает браузеру уникальный идентификатор. Это не просто обнаружение по файлам cookie, которые можно легко очистить в настройках. Создание «цифрового отпечатка» позволяет обойти режим приватности, VPN и другие средства анонимизации. Основные сферы использования технологии — настройка персонализированной рекламы, аналитика, защита от мошенничества.

Откуда появилась библиотека

Создатель Fingerprint — программист Валентин Васильев. Ее разработку он начал еще в 2012 году, а в 2015 году представлял ее публично на конференции «Онтико». Уже тогда библиотекой, по его оценкам, пользовались 6-7% самых посещаемых интернет-сайтов.

С 2015 года Васильев живет и работает в США, там же зарегистрировал компанию FingerprintJS. Она по подписке продает Pro-версию одноименной библиотеки, которая собирает больше данных, делает это быстрее и использует единые серверы в США и ЕС для идентификации. Цены стартуют от $100/месяц.

Что с приватностью

Судя по тому, что удалось найти в коде сайта Киберполиции, правоохранители установили на сайт бесплатную версию библиотеки Fingerprint. Произошло это примерно в августе 2019 года.

Бесплатная версия умеет собирать данные. Написав несложный дополнительный скрипт, их можно отправлять на сервер для внутренней аналитики. Так было и в этом случае. То есть информацию обрабатывал разработчик сайта — в данном случае Киберполиция, никаких сторонних запросов скрипт не отправлял.

В сети также есть скриншот, на котором видны запросы в адрес сайта webstatstat.info с регистрацией в России. Связать изображение с работой скрипта Fingerprint на сайте Киберполиции редакции AIN.UA пока что не удалось.

Скриншот с запросом в адрес российского сайта

Как выяснилось, отправка данных на домен с российской регистрацией действительно происходила, но по вине самих сотрудников Киберполиции.

Дело в том, что передачей уникального хеша с идентификатором занимался второй скрипт, который перестал работать днем 30 января. Его написали уже в Киберполиции.

AIN.UA удалось установить URL, на который отправлялись данные этим скриптом. Он ведет на сайт Киберполиции, но выдает ошибку №504. Это позволяет с высокой долей вероятности говорить, что сервер был внутри инфраструктуры Киберполиции. Скорее всего, там просто находилась бекенд-часть для сбора и анализа информации. Сейчас она отключена.

Эта технология действительно может справиться с анонимайзерами?

Да, если распространить ее на достаточном количестве популярных сайтов. VPN и другие средства защиты не скроют всей информации об устройстве. И «цифровой отпечаток» этим воспользуется.

Даже бесплатная версия Fingerprint умеет, к примеру, определять время прорисовки 3D-объекта — это позволяет зафиксировать видеокарту, объем оперативной памяти, версию драйверов и процессора компьютера. Там же есть диагональ экрана, время обработки звукового файла, другие параметры — набор этих, не уникальных по отдельности, данных позволяет выбрать из множества устройств нужное. Или хотя бы значительно сократить поиск. Главное — грамотно собирать информацию. 

Теперь представьте, что Fingerprint активна на достаточно большом количестве популярных сайтов. Если пользователь однажды зайдет хотя бы на один из них без VPN или другого анонимайзера, то к его прежнему набору характеристик быстро добавится реальный IP-адрес. С этого момента для него бесполезно защищаться через VPN, прокси или инкогнито — его все равно покажет идентификатор. Нужно лишь менять устройство.

Но особенно эффективно все это работает при использовании платной версии Fingerprint.js с удаленным анализом. Ниже приведен пример результата ее работы после захода пользователя на сайт. Там есть как детальные сведения о системе, так и локация и почтовый индекс.

Стоит отметить, что такой метод идентификации наиболее эффективен для десктопных компьютеров и ноутбуков. Со смартфонами он работает хуже, особенно если речь идет о бесплатной версии скрипта.

Дело в том, что базовый Fingerprint не сможет отличить между собой два устройства одинаковой модели, с одинаковыми браузерами и версией ОС. Со смартфонами такие совпадения распространены. Бесплатная версия — просто JavaScript-файл, который умеет генерировать хеш. А вот платная версия отправляет хеш на внешний сервер, где проводится анализ большого количество дополнительных показателей. 

Наши права нарушили

Как конкретно использовали Fingerprint в Киберполиции — неизвестно. Как неизвестно и то, этот ли скрипт подразумевался в письмах к СМИ. Но если предположить, что речь идет о той же технологии, то ее распространение в уанете действительно может решить вопрос деанонимизации.

Была ли установка такого скрипта на сайте Киберполиции официальным нарушением приватности — пока сказать сложно.

Сообщается, что AIN.UA направил в пресс-службу запрос о происхождении скрипта Fingerprint на сайте Киберполиции и ждет ответа.

Ранее «Судебно-юридическая газета» писала, что парламентский комитет будет контролировать вопросы борьбы с киберпреступностью.

XX съезд судей Украины – онлайн-трансляция – день первый
Telegram канал Sud.ua
XX съезд судей Украины – онлайн-трансляция – день первый
Главное о суде
Сегодня день рождения празднуют
  • Марина Гниличенко
    Марина Гниличенко
    суддя Київського районного суду м. Одеси
  • Віктор Панкулич
    Віктор Панкулич
    суддя Апеляційної палати Вищого антикорупційного суду