The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Идентификация пользователей Tor Browser через анализ особенностей работы с мышью

11.03.2016 10:47

Один из исследователей безопасности обратил внимание на потенциальную возможность учёта особенностей работы с манипулятором мышь для идентификации пользователей Tor Browser. По мнению исследователя, предоставляемой браузером точности оценки времени поступления событий ввода достаточно для выявления характерных для конкретного пользователя движений указателем и прокрутки колесом мыши.

Сам по себе метод не позволяет точно идентифицировать конкретного пользователя, но даёт возможность повысить вероятность определения в сочетании с другими косвенными методами идентификации, позволяющими с определённой вероятностью сопоставить пользователя, вошедшего на сайт через Tor и прямое интернет-соединение. Из похожих методов идентификации можно отметить уже устранённые в Tor Browser способы привязки через получение списка установленных шрифтов, оценку манеры работы с клавиатурой или изучение различий отрисовки при помощи элемента canvas.

Для демонстрации работы метода подготовлен рабочий прототип страницы, учитывающей скорость движения мышью и особенности прокрутки колесом мыши. Вместо штатного вызова Date.getTime(), который манипулирует только интервалами в 100мс, используется вызов setInterval в WebWorker для увеличения значения переменной каждую миллисекунду. Точности в 1мс достаточно для отслеживания событий мыши. Для повышения вероятности сопоставления в демонстрационном примере также задействовано несколько дополнительных методов идентификации, которые остаются работоспособны в Tor Browser. Например, производится измерение производительности системы путём измерения c миллисекундной точностью времени выполнения сильно нагружающего систему JavaScript-кода. Кроме того, применяется вызов getClientRects для учёта отличий отрисовки DOM-элементов на экранах разных компьютеров.



  1. Главная ссылка к новости (http://jcarlosnorte.com/securi...)
  2. OpenNews: Использование настроек по умолчанию в Apache способствует раскрытию данных о скрытых сервисах Tor
  3. OpenNews: Выпуск Tor Browser 5.5
  4. OpenNews: ФБР оплатило атаку по деанонимизации пользователей Tor
  5. OpenNews: Метод идентификации пользователей на сайте по манере ввода с клавиатуры
  6. OpenNews: Представлена техника воссоздания отпечатков пальцев по изображению рук на фотографии
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/44027-tor
Ключевые слова: tor, fingerprint
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, MPEG LA (ok), 11:07, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +36 +/
    https://imgflip.com/i/10ncvd
     
     
  • 2.3, dsfsdf (?), 11:15, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что за фильм?(С)
     
     
  • 3.71, Аноним (-), 11:10, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Тор 3: царство АНБ".
     
  • 2.5, Аноним (-), 11:44, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это пять.
     
  • 2.7, АнонимХ (ok), 11:54, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это, конечно, забавно. Но, если бы статистического анализа и data mining не существовало, или не работали бы, то такие компании, как гугл и фейсбук перебивались бы с хлеба на воду в течении всего своего непродолжительного существования. Как мы видим, все как раз наоборот, и с анализом и сбором информации всё хорошо в этом мире.

    Так что юмор картинки аналогичен смеху над правилами техники безопасности

     
     
  • 3.8, Аноним (-), 11:55, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >как гугл и фейсбук перебивались бы с хлеба на воду в течении всего своего непродолжительного существования

    не вижу в этом ничего плохого.

     
  • 3.10, Аноним (-), 12:58, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А это был юмор?
     
     
  • 4.17, АнонимХ (ok), 13:59, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такого поворота я не предвидел
     
  • 4.60, Аноним (-), 22:12, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь, анон, дай свою мышку кошке. Сбор статистики будет интересным.
     
     
  • 5.69, waf (ok), 10:29, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чтобы и кошку под удар??
     
  • 5.73, Аноним (-), 19:03, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https://panopticlick.eff.org/
     
  • 3.12, Аноним (-), 13:03, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот тут написано про какие-то эндорфины, уменьшение количества гормонов стресса: https://ru.wikipedia.org/wiki/%D0%A1%D0%BC%D0%B5
    Так что и узнав слишком неожиданные правила техники безопасности и страшные варианты развития событий, можно, наверное, посмеяться.
     
  • 3.16, тоже Аноним (ok), 13:52, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То-то Яндекс.Директ выдает мне рекламу ровно по ключевым словам, встречавшимся в заголовках тем двух форумов, на которых я бываю.
    Небось, всю мышь мне проанализировали...
     
     
  • 4.40, Аноним (-), 17:06, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл вчера меня порадовал прям в третьей строчкой поиска по бренду мыши которую я купил позавчера в интернет-магазине, что он может учитывать мое приобретение(в gmail уведомление было) с вариантами ответов да/нет. При выборе пункта нет, был вариант "Privacy issues"
     
     
  • 5.42, Аноним (-), 17:15, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К слову сделал кучу покупок в последнее время и такого не было, так что либо я попал на А/В тестирование, либо они владельцев Razer Deathadder отслеживают.
     
     
  • 6.61, Аноним (-), 22:15, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее Google Analytics был встроен в страницу магазина где делалась покупка или сайта про мышь. Аналитик запомнил - ага, с этого IP интересуются вот такими мышами. Будем показывать рекламу про этих мышей. А если будешь клювом хлопать, то при запоре тебе услужливо предложат рекламу слабительного.
     
     
  • 7.63, ZloySergant (ok), 22:36, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Скорее Google Analytics был встроен в страницу магазина где делалась покупка или сайта про мышь. Аналитик запомнил - ага, с этого IP интересуются вот такими мышами. Будем показывать рекламу про этих мышей. А если будешь клювом хлопать, то при запоре тебе услужливо предложат рекламу слабительного.

    А мне выдает только по запросу. Запросил "реклама" - G.Adwords, "фигня" - ничего, "linux" - рекламы нет. uBlock отключен.

    Меня все бросили???

     
  • 7.68, Аноним (-), 09:56, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, то что гугл аналитикс встраивается и показывает мне рекламу просмотренных мной вещей на Юлмарте и Ситилинке, я уже привык. Тут пойнт сообщения был в том, что я уже приобрел мышь и гугл может учитывать эту покупку.
     
  • 5.70, waf (ok), 10:32, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Известная же история: http://izvestia.ru/news/582134 .
     
     
  • 6.75, Аноним (-), 22:45, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    История про то, что он показывают рекламу вещей, которые ты смотрел. А тут гугл спросил прям плашкой в поиске, что он знает что я приобрел и чем пользуюсь.
     

  • 1.6, Аноним (-), 11:50, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если сайты состоят практически из одного фронтенда который яваскриптом дёргает базу данных, то всё вообще замечательно, даже не отключишь!
     
     
  • 2.36, DmA (??), 16:53, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если сайты состоят практически из одного фронтенда который яваскриптом дёргает базу
    > данных, то всё вообще замечательно, даже не отключишь!

    Сайту нужно, пусть  дёргает из базы данных данные, а я когда эту страничку прочитаю, то на другую перейду. Это ненормально, когда на твоих глазах страничка меняется целый день, а тебя даже за компьютером нет. XmlHTTPRequest зло ненужное с самого начала.

     

  • 1.9, DmA (??), 12:39, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ну нельзя включать javascript!когда же всем станет понятно...
    Читаем Розенфельда до просветления https://github.com/RamiRosenfeld/Rosenfox/blob/master/About-config_Full_manual
     
     
  • 2.11, Енотполоскун (ok), 13:02, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Столько писанины для недобраузера, который в последнее время и вовсе перестал себя чувствовать таковым.
     
     
  • 3.34, DmA (??), 16:34, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Столько писанины для недобраузера, который в последнее время и вовсе перестал себя
    > чувствовать таковым.

    Два осталось более-менее приличных в плане безопасности по умолчанию - IceCat и Tor Browser. С остальными возится долго, либо вовсе нельзя ничего сделать как с поделками на Хромиуме. Ещё вариант: перейти на Mozilla ESR и поковырять минут двадцать и потом пользоваться продолжительное время с отключенными обновлениями.
    Или может ещё что есть приличное?

     
     
  • 4.37, Аноним (-), 16:55, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >IceCat

    который до сих пор не может в хтмл5, ну-ну

     
     
  • 5.41, DmA (??), 17:12, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>IceCat
    > который до сих пор не может в хтмл5, ну-ну

    Чего он не может? Он основан на Firefox ESR версии(для организаций которая, долгоиграющая), которая на сегодняшний день версии 38. Другое дело, что там есть плагин защищающий от оставления цифрового отпечатка браузера (это spyblock, он же блокировщик рекламы) и есть ещё плагин LibreJS, который смотрит лицензию на javascript и если они несвободны, то не исполняет их :)Зачем на свободных системах ипсольнять несвободный код, даже если он Javascript. Но желающие могут на конкуретной страничке отключить этот плагин!Понятно,что блокировка несвободных js приводит к некоторым неработающим страничкам веба!Но к html 5 это никакого отношения не имеет!


     
  • 5.56, Аноним (-), 20:39, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > который до сих пор не может в хтмл5, ну-ну

    Detecting secondary slave... Клоун Стаканчик.

     
  • 5.58, count0krsk0 (?), 21:17, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да может он всё. Если пару какашечных плагинов, которые с ним идут по-умолчанию отключить.
     
  • 2.18, АнонимХ (ok), 14:03, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасиба, как и за ссылку на Разенталя в свае ввремя
     
  • 2.53, Аноним (-), 20:14, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Выключенный JavaScript тоже является заметным идентификатором. У подавляющего большинства других посетителей он включен.
     
     
  • 3.55, Аноним (-), 20:38, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Выключенный JavaScript тоже является заметным идентификатором.

    Но под него попадает довольно много кого и чего, а дополнительное изучение свойств крепко блокируется.

     
  • 3.76, DmA (??), 14:07, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Выключенный JavaScript тоже является заметным идентификатором. У подавляющего большинства
    > других посетителей он включен.

    javascript столько за собой тянет проблем, что он давно должен быть отключен у большинства пользователей! Всё и без него нормально работает в Интернете! Сайты стали аляповатыми с кучей не связанных с содержимым картинок, мельтешащие рекламой. Ни javascript, ни Flash положительно на развитии Интернет не сказались! Веб стал замусореным непоняыми коннектами с одной страницы на десятки других сайтов. Браузер с включёным javascript не принадлежит пользователю -он делает, то что хочет владелец сайта!

     
  • 2.65, Аноним (-), 00:36, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы еще на сайтах не использовали javascript без нужды.

    А могут работать без javascript сайты, где нужна авторизация - например, почтовые?

     
     
  • 3.72, Аноним (-), 13:05, 12/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и выросло поколение... form action="https://example.com/auth" method="POST", и все дела.
     
  • 3.77, DmA (??), 14:23, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Если бы еще на сайтах не использовали javascript без нужды.
    > А могут работать без javascript сайты, где нужна авторизация - например, почтовые?

    и gmail.com и light.mail.ru или m.mail.ru отлично работают без javascript. Соцсети подсели на использование xmlhttprequest  с их бесконечными страницами, но это их проблемы!
    Те, кто вводит в соцсетях  номер  своего сотового телефона при регистрации(а продажа симок привязана в России к паспорту), то тем вообще плевать на свою приватность - они сами о себе всю информацию выкладывают на всеобщее обозрение, думая, что им есть что показать :)

     

  • 1.14, IZh. (?), 13:36, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В качестве решения можно добавить какую-нибудь прослойку, которая будет фильтровать события ввода (по крайней мере, для большинства элементов страницы). Например, никаких лишних MouseOver'ов. Click всегда в центр кнопки или ссылки, задержка между вводимыми символами всегда кратна некоему интервалу и т.п.
     
     
  • 2.26, Нанобот (ok), 15:58, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >В качестве решения...

    а лучше всего оставить всё как есть -- не чинить то, что не сломано

     

  • 1.15, Аноним (-), 13:44, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Столлман как всегда был прав!

    > I usually fetch web pages from other sites by sending mail to a program (see git://git.gnu.org/womb/hacks.git) that fetches them, much like wget, and then mails them back to me.

     
     
  • 2.59, count0krsk0 (?), 21:19, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> I usually fetch web pages from other sites by sending mail to a program (see git://git.gnu.org/womb/hacks.git) that fetches them, much like wget, and then mails them back to me.

    Гы, такие юзеры, которые смотрят wget-ом вообще на перечет, поэтому их отдетектить ещё проще.

     

  • 1.20, Аноним (-), 14:47, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    на потенциальную возможность учёта особенностей ковыряния в носу для идентификации пользователей Tor Browser.
     
  • 1.21, Retrosharer (?), 14:49, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как быть с теми, кто уже 10 лет ходит в сайты только через Тор? Базу набили?
     
     
  • 2.22, Нимано (?), 15:25, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как быть с теми, кто уже 10 лет ходит в сайты только
    > через Тор? Базу набили?

    Расслабится и получать наслаждение?

    https://tails.boum.org/security/Upgrade_Tor/index.de.html
    https://blog.torproject.org/blog/tor-02234-released-security-patches
    > fixes a critical anonymity vulnerability where an attacker can deanonymize Tor users. Everybody should upgrade.

    http://www.scmagazineuk.com/mit-cracks-tor-anonymity-network-and-recognises-h
    > This makes it possible to identify hidden servers with up to 88 percent accuracy — bad news for daily Tor users that rely on the service.

    http://www.itnews.com.au/news/black-hat-cancels-talk-on-how-to-crack-tor-3901
    https://www.opennet.ru/opennews/art.shtml?num=29295
    > В пакете для работы в анонимной сети Tor 0.2.1.29
    > устранена критическая уязвимость, которая может привести к организации
    > атаки по удаленному выполнению кода. Примечательно, что похожая
    > уязвимость была устранена в версии 0.2.1.28, выпущенной в конце декабря.

    https://www.opennet.ru/opennews/art.shtml?num=37595
    http://www.ehackingnews.com/2013/08/almost-half-of-tor-sites-compromised-by.h
    > This is my analysis of the exploit ( I have not looked into it deeply as I am busy with my exams)
    > 1. It is a 0 day for the Firefox version that comes as default with the "TOR Browser Bundle"
    > 3.It also manages to gather the Real IP of the user and possibly execute a malicious payload that might give the attacker full access to the system.

     
  • 2.27, Нанобот (ok), 16:01, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как быть с теми, кто уже 10 лет ходит в сайты только через Тор?

    их обоих уже давно вычислили

     
     
  • 3.32, АнонимХ (ok), 16:14, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    это оказался один и тот же человек

     

  • 1.23, Аноним (-), 15:25, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Придётся учиться работать без мыши. Как Дмитрий Бачило в обзоре Windows 3.11.
     
     
  • 2.29, Аноним (-), 16:10, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И тогда тебя найдут с вероятностью 100%, как "единственного-кто-не-пользуется-мышкой-и-даже-тачскрином"!
     

  • 1.24, Аноним (-), 15:41, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    балаболишки, за трафиком и закладками наблюдают, а сами байки о мышках пишут
     
     
  • 2.30, Аноним (-), 16:12, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > балаболишки, за трафиком и закладками наблюдают, а сами байки о мышках пишут

    http://zaycev.net/pages/11825/1182548.shtml

     

  • 1.28, Меломан1 (?), 16:02, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думаю, что в суде данные этого исследования тянут лишь на косвенные улики. Но на всякий случай рекомендую пользоваться в Интернете клавиатурой с тачпадом и не забывайте про горячие клавиши.
     
     
  • 2.39, DmA (??), 17:06, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Думаю, что в суде данные этого исследования тянут лишь на косвенные улики.
    > Но на всякий случай рекомендую пользоваться в Интернете клавиатурой с тачпадом
    > и не забывайте про горячие клавиши.

    Если javascript включен (как бывает на некоторых идиотских сайтах), то не выделение текста не работает на странице через CTRL+A, ни сохранение просматриваемой HTML старнички по CTRL+S . Так что повторюсь, лучше отключать javascript, тогда точно не помешает ничего горячими клавишами работать! И следить за мышкой или другими способами( html5 canvas, user fonts, workers и тд)  будет невозможно! Технологии веба упёрлись в небезопасность, тотальную слежку за пользователем и мельтешение картинок даже там, где они вовсе не нужны!АЛЯПОВАТЫЙ И ЗАГАЖЕННЫЙ ВЕБ мы на сегодня имеем! Не зря в инструкциях по настройки безопасной версии Firefox под именем RosenFox в default.images выставлено не показывать совсем картинки, как это сделано было на технологии использовавшеся до веба gopher. Впрочем, желающие до сих пор  используют эту технологию, ведь TCP/IP никуда не делся! Даже есть плагин для Firefox, который включает поддержку gopher протокола.

     

  • 1.43, DmA (??), 17:44, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Либо человек не думает о безопасности и приватности, либо не использует javascript.
    Другого не дано!
     
     
  • 2.52, Аноним (-), 20:09, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    99.999% постетиелей сайтов заходят, используя JavaScript, NoScript в данном случае как раз явлется практически полным деанонимизатором.
     

  • 1.51, Аноним (-), 19:32, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    IP пользователя тора или резолв хоста глянуть, не?
     
  • 1.57, Аноним (-), 20:45, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть репозиторий, копирующий репы Ubuntu, только с пакетами без копирайтов?
     
     
  • 2.64, Аноним (-), 22:42, 11/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Debian.
     

  • 1.62, pavlinux (ok), 22:25, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ура, детишке наконец-то прочли книжку Касперского от 1993 года Идентификация по... большой текст свёрнут, показать
     
  • 1.67, Аноним (67), 09:46, 12/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я даже знаю автора самой идеи, он разработал мат. аппарат лет 20 тому, написал реализацию, защитил докторскую.... http://www.sciteclibrary.ru/rus/catalog/pages/10869.html
     
  • 1.78, DmA (??), 09:21, 14/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из руководства NSA национального агентства безопасности США по javascript в Chr... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру