Как соцсети нас отслеживают? — техническая сторона

Вступительное от редакции:

В статье «Почему твои аккаунты банят» мы упоминали о технических данных, из за которых вы можете ловить блокировки. В этой статье мы более подробно разберемся по каким именно параметрам социальные сети нас отслеживают.
Крайне рекомендуем прочесть эту статью несколько раз, информация, изложенная в ней, будет полезна при работе как с платным, так и с условно-бесплатным трафиком.

Статью написал наш товарищ Stan Lee.

Здесь и далее от лица автора:

Я изучил большой объем статей по безопасности и решил поделится знаниями в этом вопросе. Проведем легкий ликбез.

Изначально статья предполагалась для вилочников и была про Антифрод. Но эта информация универсальна и отлично подходит под работу с аккаунтами в соц.сетях.

Что такое антифрод?

Антифрóд (от англ. anti-fraud «борьба с мошенничеством»), или фрод-мониторинг — система, предназначенная для оценки финансовых транзакций в Интернете на предмет подозрительности с точки зрения мошенничества и предлагающая рекомендации по их дальнейшей обработке. Как правило, сервис антифрода состоит из стандартных и уникальных правил, фильтров и списков, по которым и проверяется каждая транзакция.

Так говорит википедия, на самом же деле антифрод системы нас окружают начиная с перехода в поиск гугла.

Антифрод сегодня — это набор правил, фильтров и параметров, призванных отличить типичного пользователя (добропорядочного), от нетипичного (злоумышленника). Самые жесткие антифрод системы стоят в банках, после в букмекерских конторах.

Букмекерские конторы, как и Модераторы соцсетей  крайне не заинтересованы в людях, использующих мультиаккаунты. А, соответственно, вкладывают огромные деньги в развитие своих антифрод-систем.

На сегодняшний день все антифрод системы можно разделить на 2 вида:

• Программно-аппаратный
• Поведенческий

Про поведенческую антифрод систему сказано многое – нужно быть типичным  юзером соц.сети – не сидеть 24/7 в сети, после регистрации не бежать сразу заливать рекламу,  не загружать сразу миллион фото и не подписываться на 400 человек за первые 30 минут и т.д. В рамках данной статьи поведенческие факторы пользователя мы рассматривать не будем. В контексте данной статьи мы рассмотрим программно-аппаратный вид антифрода.

IP, куки и фингерпринты (Fingerprint )

На просторах интернета я часто замечаю советы “мастеров” анонимизации. Все просто – покупаешь прокси сервер или вообще находишь бесплатный (что крайне не рекомендую) меняешь браузер или, что еще забавнее, чистишь куки и все – ты новый человек. Никто тебя не найдет, никто тебя не узнает.

Да, так и было, но лет 10-15 назад. И это не точно.

IP адрес

IP адрес — уникальный сетевой адрес узла в компьютерной сети, который выдается вам вашим провайдером при входе в сеть интернет, он бывает динамический и статичный,  на смартфонах он динамичен почти всегда.

Сейчас повсеместно применяется версия протокола IPv4 , который ограничен 4 294 967 296 адресами.

 Всего 4 миллиарда адресов, на 7 миллиардов жителей земли и десятки миллиардов устройств работающих в сети интернет.

IP адрес уже как много лет не является уникальным идентификатором, безусловно его нужно менять при создании каждой новой личности, но это лишь один из сотен параметров идентификации.

Самое важное, чтобы IP адрес не был признан антифрод-системой как хостинг адрес, т.е. адрес на котором подключены сервера. Нам нужен так называемый резидентный IP. Т.е то, что считается домашним IP.  Поэтому нужно проверять те прокси, которые мы покупаем, этот метод будет описан в следующей части.

Самое главное — чтобы ваш IP соответствовал или находился рядом с вашим DNS сервером.

Это одна из наиболее частых проблем при работе с прокси или другими методами переадресации (VPN, туннель) так называемый DNS leak или утечка DNS.

Что такое DNS?

DNS (англ. Domain Name System «система доменных имён») — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене .

Простыми словами: вы набираете в браузере google.ru, но в сети интернет все адреса состоят только из цифр. Сперва идет запрос к системе доменных имен – какой там адрес у google.ru, DNS выдает адрес, после чего ваш запрос уходит по адресу, все это делается за миллисекунды.

Вот что из этого получится:

Как видите, мой DNS сервер находится в Финляндии, а IP говорит, что я в Питере. Как результат, я сразу получаю 30 % риска от антифрод системы, т.к. мой IP и DNS значительно отличаются. На деле же вы можете купить прокси Новосибирска, DNS — в Питере. И все, вас взяли на карандаш. 

Будьте внимательны на утечки DNS.

Куки

Ку́ки (англ. cookie, буквально — печенье) — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для^[1]: 

• аутентификации пользователя;
• хранения персональных предпочтений и настроек пользователя;
• отслеживания состояния сеанса доступа пользователя;
• ведения статистики о пользователях.

На сегодняшний день куки используются для идентификации на веб.ресурсах, чтоб вы каждый раз пароль не вводили, и как один из сотен показателей антифрод систем, позволяющих нас однозначно идентифицировать.

Есть ли смысл набивать cookies для эмуляции реальной личности?

Набивать cookies путем хаотичного посещения различных вебсайтов не имеет смысла по трем причинам:

1) На всех крупных ресурсах cookie файлы имеют флажок http-only, который означает, что cookie-файлы могут быть получены только в http-запросе. И не могут быть получены в javascript запросе. Соответственно, ваши cookie-файлы не могут быть получены другими ресурсами.

2) Если бы крупные сервисы, к примеру PayPal или Amazon, пытались получить ваши cookie-файлы, полученные от других ресурсов — это была бы чистой воды XSS атака. За такого рода действия сервисы, ее использующие, в лучшем случае, получили бы многомиллиардные штрафы. Поэтому делать так никто не будет.

3) Для того, чтобы оценить какие ресурсы посещал пользователь, не нужно получать его cookies, гораздо проще (и что самое главное законнее) получить данные напрямую из истории его браузера. Это решение очень элегантное, быстрое и не классифицируется как атака, а значит — легитимное.

Что же тогда помогает идентифицировать нас? Как работают антифрод-системы?

В современном мире способы браузерной идентификации пользователя достигли вершины своего развития. На первую роль вышли уникальные, характеристики вашей системы, до которых можно было дотянуться средствами браузера. Они состоят из десятков первостепенных и сотен второстепенных параметров, а всё вместе это — Browser fingerprint.

Фингерпринт  (Fingerprint) – дословно отпечаток пальца.

Browser fingerprint, он же цифровой отпечаток браузера или, в некоторых случая, отпечаток цифрового устройства.

В сфере информационных технологии фингерпринтом принято называть возможность однозначно идентифицировать человека через его устройство, настройки, программное обеспечение и другие пользовательские характеристики.

Технологию фингерпринтинга можно трактовать, как существенную уязвимость в информационной безопасности. В то же время, как нарушение приватности и конфиденциальности пользователей. 

Мы посещаем те или иные сайты, у многих из нас в браузере есть персональные настройки: шрифты, плагины, закладки, дополнения и расширения, разрешения экрана, расположение окон, размещение навигационных кнопок и т. д. 
Сочетание этих элементов представляет собой уникальный цифровой отпечаток устройства, и может быть условно сопоставлено с биометрическими данными человека, а именно, отпечатками пальцев.

В этом случае, Интернет-пользователя, можно однозначно идентифицировать без его ведома и согласия. А такое понятие как анонимность в Интернете, предоставляющие ощущение свободы, недосягаемости и безнаказанности окажется только мнимым, т. е. его просто не будет существовать.

Вы можете понять какую информацию выдает о вас ваш браузер, просто посетив следующие ресурсы:

1. f.vision
2. whoer.net
3. browserleaks.com

А также, сотни других, однако далее я буду пользоваться сервисом f.vision 

Вот, что показывает этот чудный сканер, когда я перехожу на него со своей рабочей машины:

Что мы видим:

1. Ipv4/Webrtc – Показывает наш IP и IP получаемый по Webrtc о этой технологии я, являющийся краеугольным камнем сегодняшних антифрод, систем расскажу чуть позже. У нас один совпадают – супер, это очень важно!
2. Useragent (Юзерагент)- это то, что сообщает мой браузер, кто он – модель, набор параметров и прочее, действительно, у меня хром. И здесь все нормально.
3. Screen – размер вашего монитора. Важно чтобы это был не уникальный размер, не стоит выдумывать разрешение, которого нет, ибо главное правило обхода антифрода – будь как все!
4. Zip,icp, location – мой индекс, провайдер и город, я сижу без всего, все верно – индекс Питера, провайдер Пакт, я в Питере.

Пойдем дальше. Видите браузер зеленым, а IP желтым?
Это значит, что антифрод-системе всё, вроде бы, нравится в параметрах моего браузера. Но IP, под которым я сижу, не дает ему покоя. Хотя я просто сижу дома, без каких либо технологий анонимизации.

Причина тому следующая, мой браузер передает то, что работает с языками – Русский и Английский. А, в свою очередь, IP только Русский. Также ситуация и с системой. Браузер говорит, что работает под Windows 7, а IP скрывает свою систему. Часто здесь написано Linux, т.к. почти все прокси подняты на Линукс серверах, ибо в разы дешевле и стабильнее.

Не думаю, что это очень важно, т.к. вот мой реальный пример, я просто сижу из дома, как и миллиарды других пользователей, которые знать не знают через какой там они сервер сидят в Инсте или ставят ставочку.

5.Хеши

Вот здесь-то начинается самое интересное. Представленные здесь хешы — те самые базовые уникальные параметры, которые однозначно идентифицирует вашу машину.
Создав ее слепок единожды (как бы вы не меняли IP, браузеры, чистили куки и прочее) запомнившая вас антифрод система узнает вас на раз-два.

5.1. HSTS – честно признаться, не то чтобы знаю, что делает этот параметр. На деле, что-то связанное с протоколом HTTPS, там все запутанно, но тем не менее это параметр идентификации.

5.2. WebGL – очень важный параметр инициализации вас. 

WebGL — это контекст элемента canvas HTML, который обеспечивает API 3D-графики без использования плагинов. Подробнее почитайте в википедии.

Если говорить простыми словами, с помощью данного элемента можно через браузер взаимодействовать с вашей видеокартой, получая ее мощности и кучу информации. Включая ваш реальный IP, будьте вы хоть за тремя VPN сразу (да такое случалось, по рассказам с форумов). Также данный элемент однозначно идентифицирует вашу видеокарту. И пока вы ее не смените, вас всегда будет идентифицировать.

5.3. Canvas – великий и ужасный канвас, гроза всех обходчиков  антифрода, элемент HTML 5.

Что говорит википедия:

Canvas (англ. canvas — «холст», рус. канва́с) — элемент HTML5, предназначенный для создания растрового двухмерного изображения при помощи скриптов, обычно на языке JavaScript. Начало отсчёта блока находится слева сверху. От него и строится каждый элемент блока. Размер пространства координат не обязательно отражает размер фактической отображаемой площади. По умолчанию его ширина равна трёмстам пикселям, а высота ста пятидесяти.

Используется, как правило, для отрисовки графиков для статей и игрового поля в некоторых браузерных играх. Но также может использоваться для встраивания видео в страницу и создания полноценного плеера. Помимо этого, используется в WebGL для аппаратного ускорения 3D графики.

Ну и что скажите вы – ну рисует и рисует, больно нужная технология!

Так-то оно так, только эту штуковину стали использовать в антифрод-системах. Дело в том, что канвас, отрисовывается определенным образом при сочетании таких параметров как версия и сборка системы, ваша видеокарта и многих других. 

По факту, чтобы его подделать надо действительно дать ту отрисовку, которая дает такая же система у другого пользователя. Уже имеющаяся в базе антифрода.

Вы же не пишете сами операционные системы и не паяете видеокарты, т.е. они унифицированы и условно у 30 Васей из 100 000 посетителей, был такой же слепок системы – винда 7, расширение такое-то, видеокарта такая-то, инвидеа гтх 950, к примеру.

Антифрод делает проверку канвас сверяет его с раннее полученным от 30 Вась, сходится — значит, все ок, система реальная, а вы — молодец. Не сходится – санкции, либо бан, либо вас берут на карандаш. Самое же плохое когда ваш канвас на 100% уникальный.

Представьте, база анифрод-системы из миллиона слепков параметров компьютеров и телефонов. Среди них всегда можно найти совпадение да не большую, вполне вероятно, но уникальность машин не выше 99% и тут появляетесь вы – весь из себя уникальный.

Для антифрод-системы это выглядит как-будто перед ним пляж , где у одного короткие плавки, у другого черные, а этот толстый и в стрингах. И тут, откуда ни возьмись, заявляетесь вы в шубе, в шляпе с страусиным пером и тростью в алмазах. Шуба, к тому же, леопардовая с розовым оттенком.

Вот что говорит об этом форум по безопасности:

Элемент <canvas>, добавленный в HTML5, предназначен для создания графики с помощью JavaScript. Например, его используют для рисования графиков, создания фотокомпозиций, анимаций и даже обработки и рендеринга видео в реальном времени. Элемент <canvas> также используется технологией WebGL для отрисовки аппаратно-ускоренной 3D-графики на вебстраницах. Фингерпринт на холсте является одним из нескольких методов отпечатков пальцев браузера для отслеживания онлайн-пользователей. Позволяющим веб-сайтам идентифицировать и отслеживать посетителей, используя элемент холста HTML5, а не куки-файлы браузера ( которые можно удалить ) или другие аналогичные средства. В вашем браузере отрисовывается скрытое текстовое изображение / 3D-графика, которое затем конвертируется в уникальный ID-код. Он представлен в виде уникального ID-кода (например — 249821af43932314621f1246618ea8e1). По нему вас всегда можно идентифицировать даже после смены IP и удаления cookies.

Проще говоря, вас возьмут сразу на карандаш.

5.4. Plagins (Плагины) – каждый пользователь добавляет всякие плагины, расширения браузера. Зачастую, этот набор не индивидуален, но в купе с другими параметрами создает ваш фингерпринт.

5.5. Audio (еще этот фингерпринт называют Uber cookie – уберкуки). Это взаимодействие вашего браузера с вашей звуковой картой. Как работает точно, не знаю, но тоже представляет один из наборов параметров, который вас идентифицирует.

Аудио фингерпринтинг основывается на проверке аудио подсистемы вашего браузера при помощи AudioContext API.

Консорциум Всемирной Паутины (World Wide Web Consortium) дает следующее определение API:

Высокоуровневый JavaScript API для обработки и синтезирования аудио в веб-приложениях. Главный принцип заключается в наличии аудио графика, в котором объединен ряд AudioNode объектов для визуализации характеристик воспроизведения. Предполагается, что основная обработка будет производиться в базовой реализации (оптимизированный Assembly / C / C++ code), но также поддерживается прямая обработка и синтез в JavaScript

AudioContext отпечаток это хеш, производная аудио стека. Работает AudioContext таким образом, что веб-сайт запрашивает у браузера смоделировать синусоид основанный на результатах аудио стека вашего ПК. Полученный результат отправляется серверам и используется как энтропия в уникальной идентификации вашего ПК.

Вы можете проверить, как работает снятие отпечатка AudioContext на этой странице: CLICK

5.6. ClientRects — позволяет получить точное положение и размер пикселя DOM-элемента. В зависимости от разрешения, конфигурации шрифта и других параметров результаты getClientRects будут уникальными. Это позволяет достаточно точно идентифицировать пользователя. подробнее про DOM-элементы.

Технология использующаяся повсеместно, привнесет еще один штрих в вашу личность, DOM-модель одна из базовых.

5.7. Fonts (Шрифты) — Шрифт отпечатка пальца — это то, какие шрифты у вас есть, и как они нарисованы. Основываясь на измерении размеров заполненных текстовыми элементами HTML можно создать идентификатор, который можно использовать для отслеживания одного и того же браузера с течением времени. Фингерпринт с метрической меткой на основе шрифта плотно скрещен с отпечатком на холсте. Это, вероятно, более слабый метод отпечатка, поскольку холст получает не только ограничивающие прямоугольники, но и пиксельные данные. С другой стороны, такой отпечаток гораздо труднее защитить. Перевод текста — это тонкая и сложная часть веб-браузера. Некоторые системные записи еще более сложны, заставляя браузеры полагаться на библиотеки, предоставленные ОС для текстового макета. Эти библиотеки являются независимыми базами кода и не ведут себя одинаково. В том числе Pango на GNU / Linux, интерфейс графического устройства (GDI) или DirectWrite для Windows и Core Text в Mac OS X. Браузеры дополнительно накладывают свои собственные настройки поверх основного текстового рендеринга.

Ну что, появилось желание сделать шапочку из фольги?

5.7. TLS Fingerprint
Самый «непопулярный» отпечаток, который используется во большенстве сервисов google. Отпечаток TLS(SSL) также сообщит информацию о Вашем реальном браузере.
Тест — https://ja3er.com/

И это только базовые параметры. Если же вы нажмете «Start advanced test», то запустите расширенный тест. После чего, на вас вывалятся сотни параметров. Впрочем, они скорее интересны специалистам в области компьютерной безопасности, чем нам.

В случае оставшихся вопросов не забудь подписаться:
Больше годноты на канале — Довольный Арбитражник 
Обсудить и задать вопросы в чате — Арбитраж трафика | Довольный