Федеральная Служба Опасности


Previous Entry Share Next Entry
Отпечатки пальцев
manandmoon
malaya_zemlya
Wall Street Journal публикует статью об идентификации браузеров и телефонов. Тема не новая, но почему-то мало известная, даже в хакерской среде. Между тем, собрав достаточно информации о пользовательском компьютере и его браузере, можно практически безошибочно выделить его из толпы посетителей, невзирая на стертые куки, прокси и прочие стандартные хитрости. В основном эти технологии используются для ловли кардеров и жуликов, но последнее время подтянулись и рекламщики (и попортили малину ловцам кардеров, да)

Несолько известных проектов на эту тему:

41st Parameter(http://www.the41.com/)
Наверное, самй мейнстримный поставщик услуг по идентификации. Их коды я видел на overstock.com, 2checkout.com, на сайтах авиакомпаний итп. Используют только javascript, поэтому их код бежит на любых компьютерах. Собирают: разрешение экрана (из window.screen), установку системных часов (часовой пояс, переход на летнее время), данные о браузере (из window.navigator), языковые установки (document.defaultCharset итп), названия и версии установленных плагинов. Поскольку в IE невозможно сказать "дай мне список всех плагинов", то там они берут список самых популярных плагинов (flash, acrobat итп) и запрашивают версии по отдельности.
Дальше у них, видимо, есть какой-то детектор совпадений, по типу нечеткой логики или locality sensitive hashing, который говорит, насколько данная пользователя похожа на уже известные экземпляры. Нечеткость требуется потому, что пользователь в принципе может поменять любой из собранных параметров: скачать новую версию браузера, переключить разрешение экрана итп. Вообще довольно интересная задача: узнавание объектов в условиях шума. Не знаю, к сожалению, что как у них это реализовано.

Cкрипт:
https://www.2checkout.com/static/checkout/javascript/user-prefs.js
Распакованая версия:
http://pastebin.com/JW8bY2J3

Iovation (http://www.iovation.com/)
Специализируется на игровых сайтах и казино. Стоит, например на Eve Online. Берет данные не только из джаваскрипта, но и из флэша и собственной спайвары под названием ReputationShield. Ценой раздражения пользователей собирает о компьютере вообще все, что можно: от джаваскриптовских переменных, как у 41го параметра, до MAC-адреса, наличия дебаггера, виртуализации итп.
Поскольку у них есть доступ ко всей подноготной, то они не слишком заморачиваются нечеткой логикой. Более того любое несовпадение с базой данных или попытка ухода от слежки (стирание куков, например) ими считается за признак злоуго умысла. Честному человеку, мол, нечего скрывать. Статистически, наверное, так оно и есть, но все равно противно.
Обсуждение на форуме по покерному ИИ

Скрипты:
https://mpsnare.iesnare.com/snare.js
https://mpsnare.iesnare.com/script/logo.js
https://mpsnare.iesnare.com/stmgw.swf
https://ci-mpsnare.iovation.com/StmOCX.cab
Распакованая версия:
http://pastebin.com/EQwAFG3d

Panopticlick (https://panopticlick.eff.org/)
Демонстнационная версия, от Electornic Frontier Foundation. Использует Javascript, Java и Flash. Собирает список плагинов, заголовки HTTP запроса, посланного на сервер, разрешение экрана, наличие куков и список проинсталлированых шрифтов (через флэш или джаву). Последнее, кстати, оказывается очень мощным сигналом. Поскольку, это всего лишь демка, то никаких сложных сравнений она не производит - все данные сваливаются в кучу, берется хэш и сравнивается с базой. Поэтому любое изменение конфигурации ее полностью запутывает. Меня, например, только что не узнала, не смотря на то, что на сайте был неоднократно.
Скрипты лежат открыто на сайте.

BrowserSpy (http://browserspy.dk/)
Другая демострация. В отличие от Panopticlick, никакой базы данных там нет, зато можно поиграть с каждым сигналом по отдельности. Кроме обычных сигналов есть и довольно экзотические - например, максимально количество параллельных соединений или использование OpenDNS. Все исходники тоже лежат на сайте

  • 1
стертые куки, прокси и прочие стандартные хитрости

Тут тоже все не так просто. Давеча попалась на глаза забавная штука: EverCookie - попытка собрать в одну библиотеку несколько "суперкук", восстанавливащих друг друга.

Шорт...
Когда 10 лет назад я писал дисер на эту тему - все ломал голову над коммерциализацией будущих творений.
А вот жеж... Надо многим! :-)

О. А копии дисера не осталось?

К сожалению мечты юности разбились о суровый быт. :(
Основной идеей было собирать не только разрешения экранов и языки, а характеристики пользования ресурсами (сайтами). Типа задержек между обращениями, порядок запроса страниц и т.п.
На статистический аппарат IDS ложилось как нельзя лучше.
Впрочем, были и вполне удачные опыты: коллеги сваяли систему, которая и по сей день исправно трудится в одном из именитых банков - выявляет подозрительные финансовые транзакции, шоб ни один кардер не прорвался.
Поскольку никаких нейронных сетей нет - статистические методы позволяют сказать, что например данная транзакция подозрительна потому что "сумма нехарактерна для текущего дня недели". За что сотрудники системы побаиваются, подозревая её в причастности к проявлениям высшего разума. :)

Статистика - великая вещь! А набор шрифтов сравнивать - вопрос программистского упорства.
Что, в прочем, не отменяет работоспособность подобных решений.

А есть смысл, если твои враги не школота, читящая в MMORG, а кардеры, заходящие с ботнета?

Есть. Более-менее серьезные кардеры обналом сами мало занимаются, ибо рискованный и неквалифицированный труд. За них это делают вбивалы из новичков, которые даже если и ходят с ботнетов, то одни и те же машины зачастую используют повторно.

Если с математического боку подходить, то анти-фрод должна интересовать не P(засвеченая сигнатура|пользователь кардер), а наоборот P(пользователь кардер|засвеченая сигнатура)

Первая величина, может, и не слишком большая, зато вторая приближается к 100%

Но ведь если я повторно использую ту же машину, то у нее остается тот же адрес, зачем все эти замысловатые методы?

Вот если я просто пытаюсь почитить - я могу пойти с своим лаптопом в школу, стереть куки, запустить другой броузер и т.п.


Если кардер подсоединяется через прокси, то система идентифицирует машину самого кардера. Судя по литературе, на этом горит заметное число народу.

Читеры, конечно, это тоже большое поле деятельности. Особенно в азартных играх, где речь идет о реальных деньгах.

"Тема не новая, но почему-то мало известная, даже в хакерской среде."

Да ладно?! 0_о
Это может вам плохо известна хакерская среда?! ((:

Посмотрите на связки сплойтов... как по вашему производится выдача сплоитов?!
А бан уже пробитого трафика?!

  • 1
?

Log in