Выявілі новы спосаб, каб знайсці карыстальніка любога сайта. Расказваем, як ад гэтага абараніцца
Даследчыкі знайшлі спосаб, як выкарыстоўваць базавыя функцыі інтэрнэту, каб знайсці наведніка сайта без ягонага ведама, піша Wired.
Усе, ад рэкламадаўцаў і маркетолагаў да хакераў на службе ўрадаў і вытворцаў шпіёнскіх праграм, хочуць ідэнтыфікаваць і адсочваць карыстальнікаў у інтэрнэце. І хоць для гэтага ўжо створаная велізарная інфраструктура, апетыт да даных і новых інструментаў для іх збору ненаедны. Улічваючы гэта, даследчыкі з Тэхналагічнага інстытута Нью-Джэрсі папярэджваюць на гэтым тыдні пра новую тэхніку, якую зламыснікі могуць выкарыстоўваць для дэананімізацыі наведвальнікаў вэб-сайтаў і патэнцыйна даведацца пра вялікую колькасць інтарэсаў карыстальнікаў.
Вынікі даследавання, якія даследчыкі прадставяць у наступным месяцы, паказваюць, як зламыснік, які падманам змусіць каго-небудзь адкрыць шкоднасны вэб-сайт, можа вызначыць, ці валодае наведвальнік сайта тым ці іншым ідэнтыфікатарам, напрыклад, адрасам электроннай пошты ці уліковым запісам у сацыяльных сетках, звязваючы наведвальніка з часткай асабістых даных.
Калі вы наведваеце вэб-сайт, старонка можа зафіксаваць ваш IP-адрас, але гэта часта не дае ўладальніку сайта дастаткова інфармацыі, каб ідэнтыфікаваць вас. Замест гэтага хакер аналізуе тонкія асаблівасці актыўнасці браўзера патэнцыйнай ахвяры, каб вызначыць, ці ўвайшоў ён ва ўліковы запіс цэлага шэрагу сэрвісаў, ад YouTube і Dropbox да Twitter, Facebook, TikTok і іншых. Акрамя таго, атакі працуюць супраць усіх асноўных браўзераў, уключаючы Tor Browser, арыентаваны на ананімнасць.
«Калі вы звычайны карыстальнік інтэрнэту, вы можаце не надта задумвацца пра вашу прыватнасць, калі заходзіце на выпадковы сайт, — кажа Рэза Куртмола, адзін з аўтараў даследавання і прафесар інфарматыкі ў NJIT, — Але ёсць пэўныя катэгорыі карыстальнікаў інтэрнэту, на якіх гэта можа аказаць больш істотны ўплыў, напрыклад, людзі, якія арганізуюць і ўдзельнічаюць у палітычных пратэстах, журналісты і людзі, якія маюць зносіны з прадстаўнікамі розных меншасцяў. І што робіць гэтыя тыпы нападаў небяспечнымі, дык гэта тое, што яны таемныя. Вы проста заходзіце на сайт і нават не падазраяце, што вас атакуюць».
Рызыка таго, што ўрадавыя хакеры і гандляры кібер-зброяй паспрабуюць дэананімізаваць карыстальнікаў інтэрнэту, не проста тэарэтычная. Даследчыкі задакументавалі шэраг метадаў, якія выкарыстоўваюцца ў «полі» і бачылі сітуацыі, у якіх зламыснікі ідэнтыфікавалі асобных карыстальнікаў, хоць было незразумела, якім чынам.
У іншых тэарэтычных працах разглядалася атака, падобная да той, якую распрацавалі даследчыкі NJIT, але вялікая частка гэтых даследаванняў была сканцэнтраваная на захопе даных, якімі абменьваюцца вэб-сайты, калі адзін сэрвіс робіць запыт да іншага. У выніку гэтай працы браўзеры і распрацоўшчыкі вэб-сайтаў ўдасканалілі спосабы ізаляцыі і абмежаванне даных пры загрузцы кантэнту, што зрабіла гэтыя шляхі атакі амаль не жыццяздольнымі. Аднак, ведаючы, што зламыснікі зацікаўленыя ў пошуку новых метадаў ідэнтыфікацыі карыстальнікаў, даследчыкі хацелі вывучыць дадатковыя падыходы.
Як працуе атака?
«Дапусцім, у вас ёсць форум для падпольных актывістаў, і праваахоўныя органы таемна ўзялі яго пад кантроль. — кажа Куртмола, — Яны хочуць ідэнтыфікаваць карыстальнікаў гэтага форуму, але не могуць зрабіць гэтага наўпрост, бо карыстальнікі выкарыстоўваюць псеўданімы. Выкажам здагадку, што сілавікам ўдалося сабраць спіс уліковых запісаў Facebook, якія, як мяркуецца, з'яўляюцца карыстальнікамі гэтага форуму. Цяпер яны змаглі б суаднесці таго, хто наведвае форум, з канкрэтным карыстальнікам Facebook».
Для пачатку атакі неабходныя некалькі рэчаў: сайт, які вы кантралюеце, спіс акаўнтаў, звязаных з людзьмі, якіх ён хоча ідэнтыфікаваць як наведнікаў гэтага сайту, і кантэнт, размешчаны на платформах акаўнтаў са спісу ахвяр, які альбо дазваляе акаўнтам-мішэням праглядаць гэты кантэнт, альбо блакуе яго прагляд — атака працуе ў абодвух напрамках.
Пасля зламыснік ўбудоўвае вышэйзгаданы кантэнт на шкоднасны сайт. Яны чакаюць, хто клікне на яго. Калі хто-небудзь са спісу ахвяр наведае сайт, зламыснікі даведаюцца, хто гэта, прааналізаваўшы, якія карыстальнікі могуць (ці не могуць) праглядаць убудаваны кантэнт.
Атака выкарыстоўвае шэраг фактараў, якія большасць людзей лічаць відавочнымі: многія буйныя сэрвісы — ад YouTube да Dropbox — дазваляюць карыстальнікам размяшчаць медыяфайлы і ўбудоўваць іх на іншыя вэб-сайты. Звычайныя карыстальнікі, як правіла, маюць уліковы запіс у гэтых папулярных сэрвісах і, што вельмі важна, яны часта ўваходзяць у гэтыя платформы на сваіх тэлефонах або камп'ютарах.
Нарэшце, гэтыя сэрвісы дазваляюць карыстальнікам абмяжоўваць доступ да загружанага на іх кантэнту. Напрыклад, вы можаце наладзіць свой акаўнт на Dropbox так, каб відэа было даступна ў прыватным парадку аднаму або некалькім іншым карыстальнікам. Ці вы можаце загрузіць відэа на Facebook у адкрытым доступе, але заблакаваць яго прагляд для пэўных акаўнтаў.
Гэтыя адносіны «блакаваць» або «дазволіць» з'яўляюцца сутнасцю таго, як даследчыкі выявілі, што яны могуць раскрыць асобу. Напрыклад,у «дазволеным» варыянце атакі хакеры могуць непрыкметна падзяліцца фатаграфіяй на Google дыску з патэнцыйна цікавым адрасам Gmail. Пасля яны ўстаўляюць фатаграфію на сваю шкоднасную вэб-старонку і завабліваюць туды цэль. Калі браўзэры наведвальнікаў спрабуюць загрузіць фатаграфію праз Google Drive, зламыснікі могуць дакладна вызначыць, ці дазволены наведвальніку доступ да змесціва — а менавіта, ці кантралюць яны гэты адрас электроннай пошты.
Дзякуючы існуючай абароне прыватнасці на асноўных платформах, зламыснік не можа непасрэдна праверыць, ці змог наведвальнік сайта загрузіць змесціва.
Але даследчыкі з NJIT зразумелі, што яны могуць прааналізаваць даступную інфармацыю аб браўзеры карыстальніка і паводзінах яго працэсара падчас выканання запыту, каб зрабіць выснову аб тым, ці быў запыт на кантэнт дазволены або адхілены.
Гэтая тэхніка вядомая як «атака праз пабочны канал», паколькі даследчыкі выявілі, што яны могуць дакладна і надзейна зрабіць такое заключэнне, навучыўшы алгарытмы машыннага навучання аналізаваць, здавалася б, незвязаныя даныя аб тым, як браўзер і прылада ахвяры апрацоўваюць запыт. Як толькі зламыснік пазнае, што адзін карыстальнік, якому ён дазволіў праглядзець кантэнт, зрабіў гэта (або што адзін карыстальнік, якога ён заблакаваў, быў заблакаваны), ён дэананімізуе наведвальніка сайта.
Як бы складана гэта ні гучала, даследчыкі папярэджваюць, што гэта будзе проста ажыццявіць, калі зламыснікі правядуць падрыхтоўчую працу. Спатрэбіцца ўсяго пару секунд, каб патэнцыйна раскрыць асобу кожнага наведвальніка шкоднаснага сайта, і карыстачу будзе практычна немагчыма выявіць атаку.
Як ад гэтага абараніцца?
Даследчыкі распрацавалі пашырэнне для браўзэра, якое можа прадухіліць такія атакі, і яно даступна для Chrome і Firefox. Аднак яны адзначаюць, што яно можа паўплываць на прадукцыйнасць і даступна не для ўсіх браўзэраў.
Ці можна ўвогуле забараніць такую атаку?
Па словах даследчыкаў, дзякуючы маштабнаму працэсу раскрыцця інфармацыі шматлікім вэб-сэрвісам, браўзэрам і органам па распрацоўцы вэб-стандартаў, яны пачалі шырокае абмеркаванне таго, як усебакова вырашыць гэтую праблему. Chrome і Firefox пакуль што публічна не апублікавалі адказы.
Куртмола кажа, што для вырашэння праблемы на ўзроўні чыпаў спатрэбяцца фундаментальныя змены ў канструкцыі працэсараў. Тым не менш, сумесныя абмеркаванні ў межах World Wide Web Consortium або іншых форумаў могуць дапамагчы знайсці добрае рашэнне гэтай праблемы.
«Пастаўшчыкі паслуг і вытворцы спрабуюць зразумець, ці варта траціць рэсурсы на вырашэнне гэтай праблемы. — кажа ён, — Іх трэба пераканаць, што гэта дастаткова сур'ёзная праблема, каб інвеставаць у яе».
Каментары
пиши-пиши. у меня уже много томов на тебя есть. но подсобираю еще
ну я ему так и ответила:
дядя, ты что - дурак? а я тебе что - иисус христос? че ты все ходишь за мной и все пишешь за мной? да еще и все перевираешь
Обычно проще всё.
- Телефон давай!
- Пароль говори!