На сайте Киберполиции обнаружили скрипт, который деанонимизировал пользователей

29 января в редакции региональных СМИ поступили письма с официальной почты Киберполиции Украины. Правоохранители предлагали установить на сайтах некий скрипт для деанонимизации пользователей и борьбы с преступностью. Когда СМИ и разработчики начали разбираться в ситуации, оказалось, что на самом сайте Киберполиции такой деанонимайзер уже работал, однако после начала скандала его отключили.  Об этом сообщает Информатор Tech, ссылаясь на AIN.UA. Однако все по порядку. Вначале в редакции СМИ, как мы уже говорили, пришло письмо от департамента Киберполиции с предложением разместить скрипт-деанонимайзер. Никаких технических деталей в этом письме не раскрывалось. В пресс-службе Киберполиции пообещали разобраться, но конкретного ответа не дали. Позже на официальной странице ведомства появилась информация, что Киберполиция действительно пытается наладить с частными компаниями взаимоотношение для поимки нарушителей — но по факту отправки писем проведет разбирательство. Копия того самого письма На данный момент неизвестно, какой именно скрипт предлагали установить правоохранители. Однако скрипт с похожей функциональностью (деанонимизация пользователей) нашли на самом сайте Киберполиции. После того, как пользователи обратили на него внимание — его удалили из кода сайта. Описание и возможности этого инструмента сходятся с теми, что описывается в письме Киберполиции. Анализ сохраненных копий исходного кода сайта Киберполиции показал, что до 30 января на сайте Киберполиции работало 15 активных скриптов. После того, как история со скриптами набрала широкого резонанса в СМИ, количество скриптов на сайте Киберполиции стало 14. Проанализировав строки загрузки и файлы, пользователи определили, что с сайта убрали бесплатную версию Javascript-библиотеки Fingerprint, исходный код которой опубликован на GitHub. Удаленный скрипт Библиотека предназначена для обнаружения пользователей и по ряду косвенных признаков присваивает браузеру уникальный идентификатор. Это не просто обнаружение по файлам cookie, которые можно легко очистить в настройках. Создание «цифрового отпечатка» позволяет обойти режим приватности, VPN и другие средства анонимизации. Fingerprint собирает все уникальные настройки и данные о браузере, системе, компьютере, группирует их в единую строку, делает из них идентификатор и хеширует его. Основные сферы использования технологии — настройка персонализированной рекламы, аналитика и защита от мошенничества. Создатель Fingerprint — программист Валентин Васильев. Ее разработку он начал еще в 2012 году, а в 2015 году представлял ее публично на конференции «Онтико». Уже тогда библиотекой, по его оценкам, пользовались 6-7% самых посещаемых интернет-сайтов. Скриншот с запросом в адрес российского сайта Судя по тому, что удалось найти в коде сайта Киберполиции, правоохранители установили на сайт бесплатную версию библиотеки Fingerprint. Произошло это примерно в августе 2019 года. Бесплатная версия собирала данные посетителей, а дополнительный скрипт отправлял их на сервер для внутренней аналитики. То есть информацию обрабатывала сама Киберполиция, и сторонних запросов скрипт не составлял. Однако в сети появился скриншот, на котором видны запросы в адрес сайта webstatstat.info с регистрацией в России. Отправка данных на домен с российской регистрацией действительно происходила, но по вине самих сотрудников Киберполиции. Дело в том, что передачей уникального хеша с идентификатором занимался второй скрипт, который перестал работать днем 30 января. Его написали уже в Киберполиции. AIN.UA удалось установить URL, на который отправлялись данные этим скриптом. Он ведет на сайт Киберполиции, но выдает ошибку № 504. Это позволяет с высокой долей вероятности говорить, что сервер был внутри инфраструктуры Киберполиции. Скорее всего, там просто находилась бекенд-часть для сбора и анализа информации. Сейчас она отключена.

Как работает деанонимайзер

Для того, чтобы распознать пользователя по "цифровому следу", данный скрипт должен быть установлен на значительном количестве сайтов. Даже бесплатная версия Fingerprint умеет, к примеру, определять время прорисовки 3D-объекта — это позволяет зафиксировать видеокарту, объем оперативной памяти, версию драйверов и процессора компьютера. Там же есть диагональ экрана, время обработки звукового файла, другие параметры — набор этих, не уникальных по отдельности данных, позволяет выбрать из множества устройств нужное, или хотя бы значительно сократить поиск. Теперь представьте, что Fingerprint активна на достаточно большом количестве популярных сайтов. Если пользователь однажды зайдет хотя бы на один из них без VPN или другого анонимайзера, то к его прежнему набору характеристик быстро добавится реальный IP-адрес. С этого момента для него бесполезно защищаться через VPN, прокси или инкогнито — его все равно покажет идентификатор. Нужно лишь менять устройство. Но особенно эффективно все это работает при использовании платной версии Fingerprint.js с удаленным анализом. Он позволяет узнать как детальные сведения о системе, так и локацию и почтовый индекс. Как конкретно использовали Fingerprint в Киберполиции — неизвестно. Как неизвестно и то, этот ли скрипт подразумевался в письмах к СМИ. Но если предположить, что речь идет о той же технологии, то ее распространение действительно может решить вопрос деанонимизации. Была ли установка такого скрипта на сайте Киберполиции официальным нарушением приватности — пока сказать сложно. Ранее в комментарии AIN.UA юристы с беспокойством говорили о планах ведомства «деанонимизировать» пользователей. К примеру, указывая на широкие критерии определения персональных данных. Всю эту информацию обработчики (то есть сайты) в Украине могут использовать только после согласия пользователя. Это закреплено в законе «Про защиту персональных данных». Как его будут исполнять, занимаясь деанонимизацией — еще предстоит узнать. Ранее мы сообщали, что за 2019 год СБУ нейтрализовала более 480 кибератак на госорганы и стратегические объекты. Также писали о том, что в Днепропетровской области хакеры взламывали ПО стоматологических 3D-сканеров. Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале, и на страничках в Facebook и Instagram.