Methods of identification of a PC or laptop user

7 May 2023 10 minutes Author: D2-R2

“I know you by IP”

Probably everyone knows and has heard the phrase “I will find you by IP”. So, for the sake of your understanding and preservation of the right to confidentiality and privacy, in this article we will reveal this phrase in more detail, tell you exactly how we can be found, as well as how to prevent it. In general, boys and girls, there are quite a lot of parameters of your PC or laptop that can “burn” and expose you. That is IP, DNS, MAC address of Wi-fi and network cards, Bluetooth, device name, browser, OS, temporary system files and Web Cookies, even system time and BIOS. And these are not even all possible options. But by following the rules of information hygiene, it is possible to minimize the leakage of confidential data quite quickly. Let’s consider the main factors and methods. There are several methods of identifying a PC or laptop user that can be useful in a variety of contexts, such as law enforcement investigations, cyber security, and online marketing. Here are some common methods:

 IP Address: An IP address is a unique identifier assigned to each device connected to the Internet. It can be used to determine the general location of the device and its Internet Service Provider (ISP). MAC Address: A MAC address is a unique identifier assigned to a device’s Network Interface Card (NIC). It can be used to identify a device on a local network. Cookies: Cookies are small files that websites store on a user’s device to track their activity on the site. They can be used to identify returning visitors to the website. Device fingerprinting: Device fingerprinting is a technique that combines various data points, such as device hardware and software configurations, installed fonts and plugins, and browser settings, to create a unique device identifier. User Accounts: User accounts are a common way to identify a PC or laptop user. They require a username and password to access and can be used to track a user’s activity on the device and on the Internet. It is worth noting that some of these methods may not provide reliable identification as they can be faked or manipulated. In addition, some methods may be subject to legal or ethical restrictions, such as obtaining user consent or complying with privacy laws. As such, it is important to use these methods responsibly and in accordance with security and privacy best practices.

1. IP

An IP address (IP address, short for Internet Protocol Address) is a unique network address of a node in a computer network built according to the IP protocol. An IP address is actually a digital address that the provider assigns to your device, if we are talking about the global network. There are different types of IP addresses: internal, external, dynamic, static. The provider can assign both a dynamic – “gray” and a static – “white” IP address. 80% of Internet users use an external dynamic IP address assigned to them by the provider.

Static IP address is a set of numbers assigned to a computer that remain unchanged at all times. As a rule, it is needed to organize constant access to the device from the Internet, it is suitable for organizing servers, proxies, video surveillance systems, etc.

Dynamic IP address can be changed by your ISP at any time. Depending on the service provider, a dynamic IP address may change daily, weekly, or even remain the same for several months. Fully meets the needs of the average user.

1.1 How to find out your IP address?

Browser:

2ip.ua

Перевіряє чи використовувалась IP-адреса як вузол у мережу лукоподібних.

Click here

 

whoer.net

Перевіряє чи використовувалась IP-адреса як вузол у мережу лукоподібних.

Click here

 

whatismyipaddress.com

Перевіряє чи використовувалась IP-адреса як вузол у мережу лукоподібних.

Click here

Windows Command Prompt:

  • nslookup myip.opendns.com. resolver1.opendns.com

Console Linux:

  • curl ident.me

Perhaps we will not open America for you by saying that knowing your external IP address, your provider, you can determine the city in which you live, the index, and even your house. Yes, it will be problematic for the average user to do this. But there are authorized bodies that have the right and resources to obtain such information from the provider. Or someone may have so-called informal relationships.

1.2 How to protect yourself?

You can protect yourself from this with the help of a banal VPN or proxy server. It works quite simply. All the data you transmit using a VPN becomes encrypted (which is why our internet speed drops when using a VPN) and most importantly, the IP address of your ISP is replaced by the IP address of the VPN server. A proxy server does roughly the same thing, with only one difference – it does not encrypt your traffic, but only replaces your IP address. This does not mean that the proxy server is much worse and we should not use it, we just need to understand what tasks it is best suited for. Of course, you will find out about it, dear mother’s hackers, but a little later.

An example of reliable VPN :

ProtonVPN

NordVPN

1.1.1.1

CyberGhost

2. DNS

DNS, or Domain Name System, is a computer distributed system for obtaining information about domains. And, as it turns out, DNS lookup allows you to track a user on the network.

2.1 How to find out your own DNS?

Browser:

  • com – gives data about the DNS in use and performs a DNS leak test

Командний рядок Windows:

  • ipconfig/all

Консоль Linux:

  • cat /etc/resolv.conf

Recursive domain servers have capabilities that compromise the privacy of a user’s personal data. The data obtained through them can help track a user online and help compile an “interest profile”. A “behavioral method” allows providers to track users’ actions over a long period of time.

How is it done? By comparing the IP address and the requests made through it, it is possible to determine which sites the user visits. Since many ISPs use dynamic IP addresses, a user’s address changes periodically and becomes increasingly difficult to track, but anyone with access to the DNS infrastructure can track a user’s behavior by IP address and then create a classifier for his chain in the network and already with its help to find this user again. Each user has a unique combination of interests and preferences that are reflected in their Internet surfing.

Or there is another method to deanonymize and harm the user using DNS. We are talking about changing DNS. Such a situation can arise due to the infection of the computer with a virus that changes DNS, or your Wi-Fi router was hacked, or you used a public Wi-Fi network where attackers have already changed DNS. In this case, requests from your IP address will go to the wrong DNS server. Next, there may be such a situation: no matter what domain name you enter, you will be redirected to a certain resource (this is how our volunteers are currently breaking enemy routers and redirecting browser requests to the war information page) or you will receive valid requests, go to sites , but some (for example, sites of banks and payment systems) may be traps, turn out to be phishing.

2.2 How to protect yourself?

First of all, you can manually change the standard DNS of your provider to, for example, Google DNS (8.8.8.8). Why not? We think you can afford it. Or use different software to replace DNS, such as the following:

VPN services with own DNS:

Programs:

CyberGhost

NordVPN

1.1.1.1

QuickSetDNS

Smart DNS Changer

NetSetMan

3. MAC address

MAC address (from the English Media Access Control – control of access to the environment, as well as Hardware Address) is a unique number of network equipment, thanks to which you use the Internet. It is six pairs of letters/numbers (a six-byte number), where information about the manufacturer (the first three upper bytes) and the model of the network device is encrypted. If you are interested, you can determine the manufacturer of the device by MAC address, for example, on the macvendors.com website. A MAC address is also called a physical address because it is written into the device itself, rather than being assigned by software like an IP address. It should be noted that the MAC address is in the router, phone, computer, laptop and other gadgets capable of connecting to the network.

3.1 How to find out the MAC address of your own device?

Сombination of Win+R and enter the msinfo32 command. In the System Information window, go to Components, Network, Adapter.

Command line Windows:

  • ipconfig/all

Console Linux:

  • ifconfig -a

or

  • cat /sys/class/net/*/address

Now we will tell you how this information can be used. Let’s give a simple example – when the Wi-Fi module is turned on, any of your devices (laptop, tablet, smartphone, etc.) constantly scans the surrounding networks, thereby revealing its MAC address. This is publicly available information that cannot be hidden without disabling the Wi-Fi module in your device.

Some visitor analysis systems, the so-called Wi-Fi radars, are built on this basis – where information is collected, how long, how often and which places this or that person visited. Thanks to the received data, popular routes are built, other statistics are collected in the form of time and regularity of visits. That is, your electronic gadget with an activated Wi-Fi module not only merges your current location, but also constantly tries to connect to those networks to which it was previously connected, thus you can understand where and on which routes you go, where you like to have lunch or rest, and much more.

Yes, basically this information is collected, analyzed and used by large advertising companies to increase the number of sales. Knowing about your movements, age, interests, it is possible to match you with any kind of crap. But law enforcement agencies can also obtain information about the movement of MAC address owners upon official request.

And some companies collect, systematize and sell information about the geolocation of MAC addresses of devices. For example, some such bases are open, and thanks to one of these bases we will try to determine the location of the router by its MAC address.

First, with the help of a resource https://4it.me/getlistip we will get a pool of IP addresses of the city, for example, Belgorod.

We will select a pool of addresses, and in RouterScan (program description at the link Occupy Router – HackYourMom) we will search for a router with a known MAC address. Then, when the object is found, by reference https://drygdryg.github.io/geomac-webpagedownload the program for determining the geolocation of the Wi-Fi router.

A few seconds, and Geomac gives us the coordinates, which we will check through Google maps. Very similar to reality.

(Українська)

3.2 Як захиститися?

Отож, як бачимо в нас є пристрій, який постійно хоче про нас всім “розповісти”. Але вам то, мамині хакери, турбуватися нема про що, ви ж білі та пухнасті, але про всяк випадок, якщо раптом рівень вашої параної трохи підвищився вище норми, знайте, що ви можете легко всьому цьому протистояти, просто вимкнувши активний пошук Wi-fi на своєму пристрої. Чи навіть, замість вбудованого Wi-fi, використовувати зовнішній модуль.

Існує поширена думка, що MAC-адреса жорстко вшита в мережевий інтерфейс і змінити її не можна або можна тільки за допомогою програматора. Насправді, це не так. MAC-адреса легко змінюється програмним шляхом, тому що значення, вказане через драйвер, має більш високий пріоритет, ніж зашите в залізо. Проте все ж таки існує обладнання, в якому зміну MAC-адреси зробити неможливо інакше, як скориставшись програматором, то можуть бути наприклад тюнери та приставки IP-TV.

У Windows зміну MAC-адреси можна здійснити вбудованими засобами ОС. Для цього відкриваємо Властивості мережевої плати, у вкладці Додатково, Властивість: Мережева адреса. Вказуємо потрібну MAC-адресу.

Але треба зауважити, що таким чином можна змінити MAC-адресу тільки на Мережевій картці. Wi-fi модуль не має такого налаштування.

У Linux MAC-адреса змінюється однією командою від користувача root:

ifconfig ethN hw ether <mac-address>

де ethN – ім’я мережного інтерфейсу. Однак після перезавантаження ОС зміну MAC-адреси потрібно провести наново.

(Українська)

4. Bluetooth

З Bluetooth приблизно та ж історія, що і з MAC-адресою. Всі пристрої мають активний Bluetooth постійно намагаються до чогось або когось підключитися, тим самим вони як би кричать всьому світу: «Дивіться, я тут, дивіться на мене!». А тому,  інформація з розділу вище є актуальною і для даної технології. Та герой цього розділу може навіть бути цікавішим в питанні геопозиціювання. Bluetooth 5.1 отримав нові функції визначення напряму, які зроблять технологію підключення трохи схожої на GPS. Використовуючи нову специфікацію, можна буде визначити напрямок сигналу Bluetooth, а також близькість підключеного девайсу аж до кількох сантиметрів.

Цим, звичайно, можуть скористатися зловмисники. Зазвичай це відбувається в людних місцях. Шахраї заздалегідь прораховують план дій і готують пристрій, з якого буде зроблено злом. Зазвичай для цього підходить скинутий до базових налаштувань планшет чи смартфон. Єдине, що заважає, – це невелика відстань, не більше 10-12 метрів для сталого з’єднання. Ну а далі ви вже зрозуміли. За допомогою спеціального софту відбувається конект до вашого пристрою, сам пристрій заряджається, і як цим користуватимуться далі, зовсім не зрозуміло. Загалом банальщина, захист від цього такий самий простий, як і з MAC-адресою, вимкніть Bluetooth з режиму активного пошуку, і все, ви вже фахівець з кібербезпеки.

Якщо в вас виникло бажання перевірити версію Bluetooth на ПК чи ноутбуку, то на Windows це можна зробити наступним чином.

В Диспетчері пристроїв знаходимо Bluetooth та переходимо до Властивостей. Потім у Додатково шукаємо Версію вбудованого ПЗ.


Як бачимо, версія ПЗ не дає нам змогу зрозуміти версію модуля Bluethooth. Для цього треба скористатися таблицею.

(Українська)

5. Мікрофон та веб-камера

Колись в мережі Інтернет поширилися світлина з Марком Цукенбергом, за спиною якого був ноутбук з заклеєною веб-камерою. Потім була масова істерія, та масове заклеювання камер та мікрофонів. Тепер спробуємо розібратися в питанні.

Якщо повернутися до розділу статті про MAC, то там ми наводимо приклад користування застосунком RouterScan (ще є чудова пошукова система Shoudan, але про неї іншим разом) – таким же чином можна вести пошук і IP-камер. Найчастіше злом таких пристроїв відбувається через те, що їх власники не змінюють заводський пароль камер, підключивши їх до мережі, але звичайні веб-камери на ноутбуках до цієї категорії не підпадають. Щоб отримати до них доступ, зломщикам потрібно щось серйозніше за пароль «admin admin», та й вбивати його нікуди.

Тому в таких випадках використовуються різноманітні програмні засоби, починаючи з доволі поширених легальних інструментів TeamViewer, RMS, LuminosityLink, Radmin та інших, до доволі специфічних «сірих» програм по типу RemCam, DarkComet, CamPhish та безліч інших. Загалом метод та програмні застосунки для злому мікрофона такі ж, або дуже схожі. Зауважимо, що офіційні програми, зазначені вище, при встановленні запитують користувача про ряд дозволів, так що без відома користувача встановлення не проходить. Але це тільки якщо ці застосунки не були модифіковані.

А зараз розглянемо як само можливо «підчепити» таку «заразу». У переважній більшості випадків це – соціальна інженерія. Лист від невідомої особи, підозрілий архів, файл з яскравою та хайповою назвою, світлина з підозрілим розширенням, посилання на сайт та інше. Варіантів безліч.

Бувають ще варіанти, коли такий «подарунок» захований в якусь безкоштовну програму популярного запиту пошукової системи. Ось, невеличкий приклад. За допомогою трояна, встановленого в торрент-клієнті MediaGet, у квітні 2016 року один із користувачів «Двача» кілька днів поспіль вів стрим з веб-камер з різних комп’ютерів.

Наступний варіант «зараження» це експойти програм та системи. У цьому варіанті іноді зловмиснику важливо отримати IP адресу, як її можна «злити» дивимося у розділах вище, або в інших статтях. Приведемо приклад.

У 2019 компанія Zoom відтерміновувала виправлення критичної вразливості у своїй системі конференц-зв’язку та виправила проблему лише після публічного розголосу. Вразливість дозволяла зовнішньому атакуючому отримати дані з web-камер користувачів macOS при відкритті в браузері спеціальної оформленої сторінки (zoom запускав на стороні клієнта http-сервер, який приймає команди від локальної програми).

(Українська)

5.1 Як захиститися?

Одним із найлогічніших методів захисту від злому камери чи мікрофона є повне відключення. Фізично чи програмно. Програмно це можна зробити через диспетчер пристроїв Windows. Камера перебуває у розділі «Пристрої обробки зображень». «Драйвер», кнопка «Вимкнути». Увімкнути назад можна так само.

Не використовуйте спеціалізовані програми для відео та аудіо чату. Більшість програм, таких як Google Hangout, Skype та Zoom, дозволяють вам здійснювати та приймати дзвінки, увійшовши на їхній сайт у веб-браузері без завантаження будь-якого спеціального програмного забезпечення. Використання браузера замість завантаження програми – це простий спосіб залишитися трохи безпечнішим. Веб-браузер за своєю природою не є безпечнішим, але чим менше на вашому комп’ютері програм з доступом до вашої камери та мікрофону, тим менше можливостей ви надаєте зломникам.

Перевірте дозволи вашого пристрою. Всі види програм можуть вимагати дозвіл на доступ до камери, мікрофона та інших функцій, таких як інформація про місцезнаходження, на вашому телефоні або комп’ютері. Використовуючи наведені нижче кроки, легко побачити, які програми запросили дозвіл, і відкликати дозволи, які ви надали в минулому.

На Mac: Перейдіть до «Установки комп’ютера», «Безпека та конфіденційність», «Конфіденційність», «Камера». Зніміть прапорець поруч із програмою, щоб відкликати дозвіл. Потім поверніться і зробіть те саме в меню «Мікрофон».

На Windows: відкрийте «Параметри комп’ютера» «Конфіденційність» «Камера» «Вимкнути доступ до камери» або використовуйте перемикачі поряд з окремими програмами для налаштування дозволів. Потім поверніться і зробіть те саме в меню «Мікрофон».

Оновіть своє програмне забезпечення та прошивку.

І останнє. Може та ідея з заклеєною камерою не така вже і погана.

До речі, експериментально довели, що заклеювати мікрофон сенсу немає, бо тільки на відсотків 5-10 зменшується рівень запису.

(Українська)

6. GPU (Графічний процесор)

Здивувалися? Так, найбажаніший компонент ПК багатьох маминих хакерів може бути диверсантом, який «зливає» про вас інфу. На початку 2022 року група вчених з Франції, Ізраїлю та Австралії опублікували статтю DRAWNAPART: A Device Identification Technique based on Remote GPU Fingerprinting. Якщо вам цікаво буде ознайомитися з першоджерелом надаємо посилання на публікацію https://hal.inria.fr/hal-03526240/document .

Ні для кого не буде секретом, що перегляд веб-сторінок піддається постійному відстеженню, ще в 2001 році газета New York Time поділилася побоюваннями з приводу зростання використання файлів cookie в мережі Інтернет. Отож відстеження на основі файлів cookie було найпоширенішим: від простого методу, коли він був представлений, він згодом змінився до складного конвеєра власних та сторонніх файлів cookie, що дозволяє дуже точно відстежувати користувача в Інтернеті. Рекламодавці та трекери використовують ці можливості, завдяки чому відстеження файлів cookie, як і раніше, залишається найбільш поширеним та ефективним методом відстеження.

З ростом більшої обізнаності користувачів в сфері інформаційної гігієни та ростом соціального запиту на конфіденційність, все більше розробників браузерів починають виступати проти практики порушення  конфіденційності за допомогою cookie. Поява режиму конфіденційності, анонімних браузерів та пошукових систем на кшталт Tor та DuckduckGo це підтверджують. Така ситуація підштовхнула рекламодавців до пошуку інших методів відстеження користувачів – вектор пошуку був направлений на Fingerprint в браузері (більш детально про цю технологію ми розповімо в іншій статті). Зауважимо тільки, що однією із труднощів відстеження Fingerprint у браузері є його обмежена стабільність.

Науковці знайшли апаратний метод, який вони назвали DrawnApart. Посилання для бажаючих пірнути в технічні тонкощі ми вказували вище, а далі представимо короткий опис методу. DrawnApart — це метод Fingerprinting графічного процесора (GPU), який намагається однозначно ідентифікувати відеокарту. Його можна запустити, використовуючи непривілейований JavaScript у браузері, він використовує API WebGL, який увімкнено за замовчуванням у всіх браузерах. Дуже важливим є те, що завдяки методу можна знайти відмінності в ідентичних апаратних пристроях (наприклад, та сама модель і версія графічних процесорів від одного і того ж постачальника). DrawnApart може працювати як з виділеними, так і з інтегрованими графічними процесорами.

WebGL — це кросплатформний API для 3D-рендерінгу, який реалізовано в більшості основних браузерів. DrawnApart застосовує WebGL для відображення тестової моделі використовуючи вершинний та фрагментний шейдер. Перший піклується про позиціонування точки в області, а другий в основному визначає колір. При виконанні однакового коду GPU демонструють різну поведінку навіть у рамках однієї моделі. Цей ефект обумовлюється мікроскопічними відмінностями у температурних режимах, енергоспоживання та інших показниках окремих екземплярів чипів унаслідок неоднорідності виробництва мікросхем. Глобально проблема стосується CPU чи інших чіпів.

(Українська)

6.1 Як захиститися?

Блокуємо JavaScript – ефективний контрзахід, і більшість браузерів та розширень дозволяють блокувати JavaScript. Це досить радикальне рішення, яке має зворотний бік, бо більшість сайтів значною мірою покладаються на JavaScript для відображення свого контенту або забезпечення коректної взаємодії з користувачем.

Відключення WebGL API може бути гарним компромісом у порівнянні з блокуванням JavaScript, бо сайтів які використовують дану технологів дуже небагато. Firefox та кілька інших браузерів вже дозволяють користувачам деактивувати WebGL API.

Введення випадкової зміни тактової частоти також було б ефективним контрзаходом. Введення випадкових змін тактової частоти зробило б дані, отримані через DrawnApart, більш «шумними», отже, менш придатними для аналізу та використання.

Висновок

Зараз ми розібрали основні моменти по яким нас можуть спробувати вирахувати. Це були фактори, як би так правильно сказати, базові, з коробки. Вони притаманні вашому девайсу за замовчуванням. Але доволі простими діями ви можете суттєво знизити ризик бути розкритими. В інших статтях ми розповімо про небезпеки, які криються в інших пристроях, Браузерах, метаданих файлів, Cookie та ін.

Бережіть себе, слідкуйте за власною інформаційною гігієною, не відкривайте файли та посилання від підозрілих осіб (ми про такі моменти теж напишемо).

Слава Україні!

Other related articles
Found an error?
If you find an error, take a screenshot and send it to the bot.