Деанонимизирующий скрипт от украинской киберполиции

Предпосылки
Недавно появилась информация о том, что украинская киберполиция разработала деанонимизирующий скрипт https://www.legalizer.info/threads/КИБЕРПОЛИЦИЯ-ХЕРНЕЙ-НЕ-ЗАНИМАЕТСЯ.256710/
На соседнем форуме было уточнение, что это Javascript-библиотека Fingerprint. Поиск в интернете вывел на статью на Хабре, где объяснялся принцип ее работы

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

а также нашелся сайт

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

на котором предлагалась демонстрация возможностей данной библиотеки:

Мне стало интересно, что там за библиотека. Решил ее потестить.

Экспериментальная часть
Как и ожидалось, библиотека не способна выявить реальный IP - там отображался айпишник выходной ноды TOR. Библиотека генерирует 20-значный идентификатор из букв и цифр. (На скриншоте показаны первые 4 символа, остальные на всякий случай замазал.)

Добиться смены этого идентификатора оказалось непросто. Ни выстраивание новой цепочки TOR, ни изменение размеров окна браузера, ни даже перезапуск браузера не помогали - идентификатор оставался прежним. Скриншоты всех попыток не делал, однако об их количестве можно судить по истории посещений, которая отображалась там же чуть ниже:



Стало ясно, что скрипт довольно точно меня идентифицирует, несмотря на использование TORа.
Естественно я не мог просто смириться с этим, и начал раздумывать, как можно добиться смены идентификатора.
Помимо прочего, решил запустить TOR в виртуальной машине и посмотреть, каким тогда будет идентификатор.

Идентификатор стал другим!
В статье на хабре упоминалось, что помимо прочих параметров, эта библиотека учитывает глубину цвета экрана. Я решил уменьшить ее (с True Color на High Color), перезапустить TOR и посмотреть, каким станет идентификатор.

Увы, идентификатор не изменился:

а в истории посещений добавилась еще одна запись:

Дальше я решил попробовать изменить объем оперативной памяти, выделенный виртуальной машине - вдруг это повлияет на идентификатор? Завершил работу виртуальной машины, зашел в настройки

и увеличил объем памяти до 1536 МБ:

Запустил виртуальную машину, в ней TOR,

Продолжение следует...

 

Ох айтишник Чи шо) супер уровень измены в плане безопасности)

 

зашел на тот же сайт, и - идентификатор остался прежним:

Дальше я попробовал запустить TOR с измененной переменной окружения PROCESSOR_IDENTIFIER, указывающей на тип процессора - что будет?



Идентификатор изменился!
Потом я решил поменять переменную окружения COMPUTERNAME - что будет?



Увы, идентификатор от этого не изменился.
Решил попробовать изменить переменную окружения PROCESSOR_LEVEL, указывающую на характеристики процессора:



Идентификатор не поменялся.
Попробовал забить другое значение в PROCESSOR_IDENTIFIER:



... и опять идентификатор не изменился.
Еще раз изменил PROCESSOR_IDENTIFIER


Продолжение следует...

 

... и идентификатор снова остался прежним:

а история посещений стала такой:

Далее мне стало интересно: что, если запустить TOR в виртуальной машине, но с другой операционной системой? Сделал специально для этого сборку Windows PE (Windows Preinstallation Environment - среда предустановки Windows) с TORом, загрузил, вручную инициализировал сеть...

запустил TOR, зашел на тот же сайт, и...

Опять получился новый идентификатор!
По истории посещений видно, что идентификатор уникальный:



Дальше я попробовал запустить TOR с измененной переменной среды PROCESSOR_IDENTIFIER:





Это также привело к смене идентификатора.

Продолжение следует...

 

Попытка изменить переменную среды PROCESSOR_REVISION не изменила идентификатор:





равно как и повторное изменение PROCESSOR_IDENTIFIER:






Ну а теперь выводы.

1. Данный скрипт не может спалить реальный IP пользователя TOR.
2. Скрипт довольно точно идентифицирует индивидуальные характеристики компьютера, на котором запущен TOR, что позволяет отслеживать действия пользователя в интернете. Кнопка "Новая личность" в TOR, равно как и его полный перезапуск, не защищают от отслеживания этим скриптом.
3. Эффективный способ обмануть скрипт - использование виртуализации, то есть запуск TORа внутри виртуальной машины с отдельной операционной системой. Однако это не панацея, т.к. при этом хоть и получается другой идентификатор, но он также индивидуален для конкретной виртуальной машины.
4. Менее надежный способ обмана скрипта - запуск TOR с измененной переменной среды PROCESSOR_IDENTIFIER.

 

время идет
технологии развиваются

у Нас Люди по обе стороны барикад с мозгами

 

Похоже на

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

1. Если по ссылкам левым не ходить тогда и не будет возможности подстунуть тебе

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

2. Два одинаковых девайса покажут одинаковые отпечатки, по этому и рекомендовано юзать популярные модели телфонов.

 

Огромное спасибо!)

 

Согласен

 

Это как соревнование снаряда и брони.)

 

естественно

это как баттл

в Германии , Франции , Италии , Швеции , Финляндии , Австралии и США научились искать и ловить по всем закоулкам www и onion

 

ваще похуй)) хай находят) я без бабок и без наркоты) нихуя за душой и ни гроша)

 

Безопасность лишней никогда не бывает

 

Шось непонятно оно все , но и так ясно шо выследить могут полюбому)

 

Если сильно захотеть можно и на слежку и пиздюлину от старых добрых оперов залететь)

 

На

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

все сказано. Пользователей с идентичными настройками языка экрана и браузера очень много. Они придумали идентифицировать железо по отрисовке шрифтов на Canvas, отрисовке 3D. На разных железках результат разный. И одна из проблем этой библиотеки то что маки почти все клонированные с одинаковыми железками! Видимо, залог успеха это выбирать самое стандартное железо...

 

Та ни кто никого не будет выслеживать Это не их методы! Это только в штатах выслеживают маньяков и взламывают TrueCrypt на суперкомпьютере брутфорсом. В нашей бомжиной полиции все деньги давно пропили, они же как гопники, клиэнто карманы выворачивают в подворотнях, какая слежка, какой fingerprint?

 

Нельзя недооценивать)

 

Конечно, спорить не буду, грамотные люди там наверняка есть. Но если так то их время дорого и их используют для дел поважнее чем поиск не пойми кого. Так или иначе я еще не слыхал что бы у нас или в рашке кого то там вычислили через TOR! У них есть способы более приземленные