Методи ідентифікації користувача ПК або ноутбука

7 травня 2023 2 хвилин Автор: D2-R2

«Я тебе по IP знайду»

Мабуть всі знають та чули таку фразу «Я тебе по IP знайду». Отож, заради вашого розуміння та збереження права на конфіденційність та приватність, у цій статті ми розкриємо більш предметно цю фразу, розповімо як саме нас можуть знайти, а також як цьому запобігти. Взагалі, хлопці та дівчата, параметрів вашого ПК чи ноутбука по яким вас можуть «спалити» та викрити доволі багато. То IP, DNS, MAC адреса Wi-fi та мережевої карт, Bluetooth, ім’я пристрою, браузер, ОС, тимчасові файли системи та Web Cookies, навіть час системи та BIOS. І це ще навіть не всі можливі варіанти. Але, дотримуючись правил інформаційної гігієни, можна доволі швидко мінімізувати витік конфіденційних даних. Розглянемо основні фактори та методи. Існує кілька методів ідентифікації користувача ПК або ноутбука, які можуть бути корисними в різних контекстах, наприклад у розслідуваннях правоохоронних органів, кібербезпеці та онлайн-маркетингу. Ось кілька поширених методів: IP-адреса: IP-адреса – це унікальний ідентифікатор, який призначається кожному пристрою, підключеному до Інтернету. Його можна використовувати для визначення загального розташування пристрою та його постачальника послуг Інтернету (ISP). MAC-адреса:

MAC-адреса — це унікальний ідентифікатор, призначений платі мережевого інтерфейсу (NIC) пристрою. Його можна використовувати для ідентифікації пристрою в локальній мережі. Файли cookie: файли cookie — це невеликі файли, які веб-сайти зберігають на пристрої користувача для відстеження його активності на сайті. Їх можна використовувати для ідентифікації відвідувачів, які повертаються на веб-сайт. Відбиток пристрою: відбиток пристрою – це техніка, яка поєднує різні точки даних, як-от конфігурації апаратного та програмного забезпечення пристрою, встановлені шрифти та плагіни та налаштування браузера, для створення унікального ідентифікатора пристрою. Облікові записи користувачів: облікові записи користувачів — це поширений спосіб ідентифікації користувача ПК або ноутбука. Для доступу до них потрібне ім’я користувача та пароль, і їх можна використовувати для відстеження активності користувача на пристрої та в Інтернеті. Варто зазначити, що деякі з цих методів можуть не забезпечувати надійну ідентифікацію, оскільки їх можна підробити або маніпулювати. Крім того, деякі методи можуть підлягати юридичним або етичним обмеженням, наприклад отримання згоди користувача або дотримання законів про конфіденційність. Таким чином, важливо використовувати ці методи відповідально та відповідно до найкращих практик безпеки та конфіденційності.

1. IP

IP-адреса (айпі-адреса, скорочення від англ. Internet Protocol Address) — це унікальна мережна адреса вузла в комп’ютерній мережі, побудованій за протоколом IP.

IP-адреса це фактично цифрова адреса, яку привласнює провайдер вашому пристрою, якщо ми говоримо про глобальну мережу. IP-адреси є різних видів: внутрішній, зовнішній, динамічний, статичний. Провайдер може привласнити як динамічну – «сіру», так і статичну – «білу» IP-адресу. 80% користувачів мережі Інтернет користуються зовнішньою динамічною IP-адресою, яку привласнює їм провайдер.

Статична IP-адреса – це набір номерів, привласнених до комп’ютера, які залишаються незмінними постійно. Як правило вона потрібна для організації постійного доступу до пристрою з мережі Інтернет, підходить для організації серверів, проксі, систем відеоспостереження тощо.

Динамічна IP-адреса може бути змінена вашим інтернет-провайдером у будь-який час. Залежно від постачальника послуг, динамічна IP-адреса може змінюватися щодня, щотижня або навіть залишатися незмінною протягом декількох місяців. Повністю відповідає потребам пересічного користувача.

1.1 Як дізнатися власну IP-адресу?

Браузер:

2ip.ua

Перевіряє чи використовувалась IP-адреса як вузол у мережу лукоподібних.

натиснути тут

 

whoer.net

Перевіряє чи використовувалась IP-адреса як вузол у мережу лукоподібних.

натиснути тут

 

whatismyipaddress.com

Перевіряє чи використовувалась IP-адреса як вузол у мережу лукоподібних.

натиснути тут

Командний рядок Windows:

  • nslookup myip.opendns.com. resolver1.opendns.com

Консоль Linux:

  • curl ident.me

Мабуть не відкриємо для вас Америку сказавши, що знаючи вашу зовнішню IP-адресу, вашого провайдера, можна визначити місто, в якому ви живете, індекс, і навіть ваш будинок. Так, зробити це пересічному користувачеві буде проблематично. Але є уповноважені органи, які мають право та ресурс отримати від провайдера таку інформацію. Або у когось можуть бути так звані неформальні зв’язки.

1.2 Як захиститися?

Захиститися від цього можна за допомогою банального VPN або проксі сервера. Працює це досить просто. Всі дані, які ви транслюєте, використовуючи VPN, стають зашифрованими (саме через це у нас і падає швидкість інтернету під час використання VPN) і найголовніше, IP-адреса вашого інтернет-провайдера підміняється IP-адресою VPN сервера. Приблизно те саме робить і проксі сервер, з однією лише відмінністю – він не шифрує ваш трафік, а лише здійснює заміну вашої IP-адреси. Це не означає, що проксі сервер набагато гірший і нам не варто його використовувати, просто треба розуміти для яких завдань він найкраще підходить. Звичайно ж ви про це дізнаєтеся, дорогі мамині хакери, але трохи пізніше.

Приклад надійних VPN:

ProtonVPN

NordVPN

1.1.1.1

CyberGhost

2. DNS

DNS, або  Domain Name System – комп’ютерна розподілена система для отримання інформації про домени. І, як з’ясувалося, пошук DNS дозволяє відстежити користувача в мережі.

2.1 Як дізнатися власний DNS?

Браузер:

  • com – дає дані про DNS, що використовується, та проводить тест на витік DNS

Командний рядок Windows:

  • ipconfig/all

Консоль Linux:

  • cat /etc/resolv.conf

Рекурсивні доменні сервери мають можливості, які ставлять під загрозу конфіденційність особистих даних користувача. Дані, отримані через них, можуть допомогти відслідковувати користувача в мережі та допомагати збирати «профіль його інтересів». «Поведінковий метод» дозволяє провайдерам відслідковувати дії користувачів протягом тривалого періоду часу.

Як це робиться? Порівнюючи IP-адресу та зроблені через неї запити, можна визначити, які сайти відвідує користувач. Так як багато інтернет-провайдерів використовують динамічні IP-адреси, адреса користувача періодично змінюється, і стає все важче його відстежити, однак будь-хто, хто має доступ до інфраструктури DNS, може відслідковувати поведінку користувача за його IP-адресою, а потім створити класифікатор для його ланцюжка в мережі і вже з його допомогою знову знаходити цього користувача. У кожного користувача є унікальна комбінація інтересів і уподобань, які відображаються на його інтернет-серфінгу.

Або є ще один метод деанонімізації та завдання шкоди користувачу з використанням DNS. Мова йдеться про підміну DNS. Така ситуація може виникнути завдяки зараженню комп’ютера вірусом, який робить підміну DNS, або ваш Wi-fi роутер був зламаний, ну або ви скористалися публічною Wi-fi мережею, де зловмисники вже провели підміну DNS. У такому разі запити з вашої IP адреси будуть йти хибний DNS сервер. Далі може бути така ситуація: яке б доменне ім’я ви не ввели, вас переводить на певний ресурс (так наші волонтери зараз ламають роутери ворога, та перенаправляють запити браузера на сторінку інформації про війну) або ви будете отримувати вірні запити, переходити на сайти, але деякі (наприклад, сайти банків та платіжних систем) можуть бути пастками, виявитися фішинговими.

2.2 Як захиститися?

В першу чергу ви можете вручну змінити стандартний DNS свого провайдера на, наприклад, DNS Гугла (8.8.8.8). Чому б ні? Ми вважаємо, що ви можете собі це дозволити. Або використовувати різний софт для заміни DNS, наприклад такі:

VPN сервіси з власним DNS:

Програми:

CyberGhost

NordVPN

1.1.1.1

QuickSetDNS

Smart DNS Changer

NetSetMan

3. MAC-адреса

MAC-адреса (від англ. Media Access Control – управління доступом до середовища, а також Hardware Address) – це унікальний номер мережевого обладнання, завдяки якому ви користуєтеся Інтернетом. Він являє собою шість пар літер/цифр (шестибайтний номер), де зашифрована інформація про виробника (перші три старші байти) і моделі мережевого пристрою. Якщо вам цікаво, то визначити виробника пристрою за MAC-адресою можна, наприклад, на сайті macvendors.com. МАС-адресу також називають фізичною адресою, тому що вона прописана в самому пристрої, а не привласнюється програмно, як IP-адреса. Треба зазначити, що МАС-адреса є в роутері, телефоні, комп’ютері, ноутбуку та в інших гаджетах, здатних підключатися до мережі.

3.1 Як дізнатися МАС-адресу власного пристрою?

Комбінація Win+R та вводимо команду msinfo32. У вікні «Інформація про систему» перейдіть до «Компоненти», «Мережа», «Адаптер».

Командний рядок Windows:

  • ipconfig/all

Консоль Linux:

  • ifconfig -a

або

  • cat /sys/class/net/*/address

Зараз ми розповімо, як цією інформацією можна скористатися. Наведемо простий приклад –  при ввімкненому Wi-Fi модулі будь-який ваш пристрій (ноутбук, планшет, смартфон та ін.) постійно сканує навколишні мережі тим самим він розкриває свою MAC-адресу. Це є публічно доступною інформацією, яку неможливо приховати без відмови від використання модуля Wi-Fi у вашому пристрої.

На цьому будуються деякі системи аналізу відвідувачів, так звані Wi-Fi радари – звідки збирається інформація, як довго, як часто і які місця відвідала та чи інша людина. Завдяки отриманим даним, вибудовуються популярні маршрути, збирається інша статистика у вигляді часу та регулярності відвідувань . Тобто ваш електронний гаджет з активованим Wi-Fi модулем не тільки зливає ваше нинішнє місцезнаходження, а ще й у постійному режимі намагається підконектитися до тих мереж, до яких був підключений раніше, таким чином можна зрозуміти де і по яким маршрутам ви ходите, де любите обідати чи відпочивати, та ще багато чого іншого.

Так, в основному ця інформація збирається, аналізується і використовується великими рекламними компаніями для збільшення кількості продажів. Знаючи про ваші переміщення, вік, інтереси можна непогано впарювати вам будь-яку хрінь. Але також відомості про переміщення власників MAC-адрес можуть отримати правоохоронні органи за офіційним запитом.

А ще деякі компанії збирають, систематизують та продають інформацію про геолокацію MAC-адрес пристроїв. Наприклад, деякі такі бази є відкритими, і завдяки одній з таких баз ми спробуємо визначити місцезнаходження роутера за його MAC-адресою.

Спочатку, за допомогою ресурсу  https://4it.me/getlistip отримаємо пул IP-адрес міста, наприклад, Білгород.

Оберемо пул адрес, та в RouterScan (опис програми за посиланням Occupy Router – HackYourMom) проведемо пошук якогось роутера з відомою MAC адресою.  Потім, коли об’єкт знайдено, за посиланням https://drygdryg.github.io/geomac-webpage завантажимо програму для визначення геолокації Wi-fi роутера.

Декілька секунд, та Geomac видає нам координати, які ми і перевіримо через Гугл карти. Дуже схоже на дійсність.

3.2 Як захиститися?

Отож, як бачимо в нас є пристрій, який постійно хоче про нас всім “розповісти”. Але вам то, мамині хакери, турбуватися нема про що, ви ж білі та пухнасті, але про всяк випадок, якщо раптом рівень вашої параної трохи підвищився вище норми, знайте, що ви можете легко всьому цьому протистояти, просто вимкнувши активний пошук Wi-fi на своєму пристрої. Чи навіть, замість вбудованого Wi-fi, використовувати зовнішній модуль.

Існує поширена думка, що MAC-адреса жорстко вшита в мережевий інтерфейс і змінити її не можна або можна тільки за допомогою програматора. Насправді, це не так. MAC-адреса легко змінюється програмним шляхом, тому що значення, вказане через драйвер, має більш високий пріоритет, ніж зашите в залізо. Проте все ж таки існує обладнання, в якому зміну MAC-адреси зробити неможливо інакше, як скориставшись програматором, то можуть бути наприклад тюнери та приставки IP-TV.

У Windows зміну MAC-адреси можна здійснити вбудованими засобами ОС. Для цього відкриваємо Властивості мережевої плати, у вкладці Додатково, Властивість: Мережева адреса. Вказуємо потрібну MAC-адресу.

Але треба зауважити, що таким чином можна змінити MAC-адресу тільки на Мережевій картці. Wi-fi модуль не має такого налаштування.

У Linux MAC-адреса змінюється однією командою від користувача root:

ifconfig ethN hw ether <mac-address>

де ethN – ім’я мережного інтерфейсу. Однак після перезавантаження ОС зміну MAC-адреси потрібно провести наново.

4. Bluetooth

З Bluetooth приблизно та ж історія, що і з MAC-адресою. Всі пристрої мають активний Bluetooth постійно намагаються до чогось або когось підключитися, тим самим вони як би кричать всьому світу: «Дивіться, я тут, дивіться на мене!». А тому,  інформація з розділу вище є актуальною і для даної технології. Та герой цього розділу може навіть бути цікавішим в питанні геопозиціювання. Bluetooth 5.1 отримав нові функції визначення напряму, які зроблять технологію підключення трохи схожої на GPS. Використовуючи нову специфікацію, можна буде визначити напрямок сигналу Bluetooth, а також близькість підключеного девайсу аж до кількох сантиметрів.

Цим, звичайно, можуть скористатися зловмисники. Зазвичай це відбувається в людних місцях. Шахраї заздалегідь прораховують план дій і готують пристрій, з якого буде зроблено злом. Зазвичай для цього підходить скинутий до базових налаштувань планшет чи смартфон. Єдине, що заважає, – це невелика відстань, не більше 10-12 метрів для сталого з’єднання. Ну а далі ви вже зрозуміли. За допомогою спеціального софту відбувається конект до вашого пристрою, сам пристрій заряджається, і як цим користуватимуться далі, зовсім не зрозуміло. Загалом банальщина, захист від цього такий самий простий, як і з MAC-адресою, вимкніть Bluetooth з режиму активного пошуку, і все, ви вже фахівець з кібербезпеки.

Якщо в вас виникло бажання перевірити версію Bluetooth на ПК чи ноутбуку, то на Windows це можна зробити наступним чином.

В Диспетчері пристроїв знаходимо Bluetooth та переходимо до Властивостей. Потім у Додатково шукаємо Версію вбудованого ПЗ.


Як бачимо, версія ПЗ не дає нам змогу зрозуміти версію модуля Bluethooth. Для цього треба скористатися таблицею.

5. Мікрофон та веб-камера

Колись в мережі Інтернет поширилися світлина з Марком Цукенбергом, за спиною якого був ноутбук з заклеєною веб-камерою. Потім була масова істерія, та масове заклеювання камер та мікрофонів. Тепер спробуємо розібратися в питанні.

Якщо повернутися до розділу статті про MAC, то там ми наводимо приклад користування застосунком RouterScan (ще є чудова пошукова система Shoudan, але про неї іншим разом) – таким же чином можна вести пошук і IP-камер. Найчастіше злом таких пристроїв відбувається через те, що їх власники не змінюють заводський пароль камер, підключивши їх до мережі, але звичайні веб-камери на ноутбуках до цієї категорії не підпадають. Щоб отримати до них доступ, зломщикам потрібно щось серйозніше за пароль «admin admin», та й вбивати його нікуди.

Тому в таких випадках використовуються різноманітні програмні засоби, починаючи з доволі поширених легальних інструментів TeamViewer, RMS, LuminosityLink, Radmin та інших, до доволі специфічних «сірих» програм по типу RemCam, DarkComet, CamPhish та безліч інших. Загалом метод та програмні застосунки для злому мікрофона такі ж, або дуже схожі. Зауважимо, що офіційні програми, зазначені вище, при встановленні запитують користувача про ряд дозволів, так що без відома користувача встановлення не проходить. Але це тільки якщо ці застосунки не були модифіковані.

А зараз розглянемо як само можливо «підчепити» таку «заразу». У переважній більшості випадків це – соціальна інженерія. Лист від невідомої особи, підозрілий архів, файл з яскравою та хайповою назвою, світлина з підозрілим розширенням, посилання на сайт та інше. Варіантів безліч.

Бувають ще варіанти, коли такий «подарунок» захований в якусь безкоштовну програму популярного запиту пошукової системи. Ось, невеличкий приклад. За допомогою трояна, встановленого в торрент-клієнті MediaGet, у квітні 2016 року один із користувачів «Двача» кілька днів поспіль вів стрим з веб-камер з різних комп’ютерів.

Наступний варіант «зараження» це експойти програм та системи. У цьому варіанті іноді зловмиснику важливо отримати IP адресу, як її можна «злити» дивимося у розділах вище, або в інших статтях. Приведемо приклад.

У 2019 компанія Zoom відтерміновувала виправлення критичної вразливості у своїй системі конференц-зв’язку та виправила проблему лише після публічного розголосу. Вразливість дозволяла зовнішньому атакуючому отримати дані з web-камер користувачів macOS при відкритті в браузері спеціальної оформленої сторінки (zoom запускав на стороні клієнта http-сервер, який приймає команди від локальної програми).

5.1 Як захиститися?

Одним із найлогічніших методів захисту від злому камери чи мікрофона є повне відключення. Фізично чи програмно. Програмно це можна зробити через диспетчер пристроїв Windows. Камера перебуває у розділі «Пристрої обробки зображень». «Драйвер», кнопка «Вимкнути». Увімкнути назад можна так само.

Не використовуйте спеціалізовані програми для відео та аудіо чату. Більшість програм, таких як Google Hangout, Skype та Zoom, дозволяють вам здійснювати та приймати дзвінки, увійшовши на їхній сайт у веб-браузері без завантаження будь-якого спеціального програмного забезпечення. Використання браузера замість завантаження програми – це простий спосіб залишитися трохи безпечнішим. Веб-браузер за своєю природою не є безпечнішим, але чим менше на вашому комп’ютері програм з доступом до вашої камери та мікрофону, тим менше можливостей ви надаєте зломникам.

Перевірте дозволи вашого пристрою. Всі види програм можуть вимагати дозвіл на доступ до камери, мікрофона та інших функцій, таких як інформація про місцезнаходження, на вашому телефоні або комп’ютері. Використовуючи наведені нижче кроки, легко побачити, які програми запросили дозвіл, і відкликати дозволи, які ви надали в минулому.

На Mac: Перейдіть до «Установки комп’ютера», «Безпека та конфіденційність», «Конфіденційність», «Камера». Зніміть прапорець поруч із програмою, щоб відкликати дозвіл. Потім поверніться і зробіть те саме в меню «Мікрофон».

На Windows: відкрийте «Параметри комп’ютера» «Конфіденційність» «Камера» «Вимкнути доступ до камери» або використовуйте перемикачі поряд з окремими програмами для налаштування дозволів. Потім поверніться і зробіть те саме в меню «Мікрофон».

Оновіть своє програмне забезпечення та прошивку.

І останнє. Може та ідея з заклеєною камерою не така вже і погана.

До речі, експериментально довели, що заклеювати мікрофон сенсу немає, бо тільки на відсотків 5-10 зменшується рівень запису.

6. GPU (Графічний процесор)

Здивувалися? Так, найбажаніший компонент ПК багатьох маминих хакерів може бути диверсантом, який «зливає» про вас інфу. На початку 2022 року група вчених з Франції, Ізраїлю та Австралії опублікували статтю DRAWNAPART: A Device Identification Technique based on Remote GPU Fingerprinting. Якщо вам цікаво буде ознайомитися з першоджерелом надаємо посилання на публікацію https://hal.inria.fr/hal-03526240/document .

Ні для кого не буде секретом, що перегляд веб-сторінок піддається постійному відстеженню, ще в 2001 році газета New York Time поділилася побоюваннями з приводу зростання використання файлів cookie в мережі Інтернет. Отож відстеження на основі файлів cookie було найпоширенішим: від простого методу, коли він був представлений, він згодом змінився до складного конвеєра власних та сторонніх файлів cookie, що дозволяє дуже точно відстежувати користувача в Інтернеті. Рекламодавці та трекери використовують ці можливості, завдяки чому відстеження файлів cookie, як і раніше, залишається найбільш поширеним та ефективним методом відстеження.

З ростом більшої обізнаності користувачів в сфері інформаційної гігієни та ростом соціального запиту на конфіденційність, все більше розробників браузерів починають виступати проти практики порушення  конфіденційності за допомогою cookie. Поява режиму конфіденційності, анонімних браузерів та пошукових систем на кшталт Tor та DuckduckGo це підтверджують. Така ситуація підштовхнула рекламодавців до пошуку інших методів відстеження користувачів – вектор пошуку був направлений на Fingerprint в браузері (більш детально про цю технологію ми розповімо в іншій статті). Зауважимо тільки, що однією із труднощів відстеження Fingerprint у браузері є його обмежена стабільність.

Науковці знайшли апаратний метод, який вони назвали DrawnApart. Посилання для бажаючих пірнути в технічні тонкощі ми вказували вище, а далі представимо короткий опис методу. DrawnApart — це метод Fingerprinting графічного процесора (GPU), який намагається однозначно ідентифікувати відеокарту. Його можна запустити, використовуючи непривілейований JavaScript у браузері, він використовує API WebGL, який увімкнено за замовчуванням у всіх браузерах. Дуже важливим є те, що завдяки методу можна знайти відмінності в ідентичних апаратних пристроях (наприклад, та сама модель і версія графічних процесорів від одного і того ж постачальника). DrawnApart може працювати як з виділеними, так і з інтегрованими графічними процесорами.

WebGL — це кросплатформний API для 3D-рендерінгу, який реалізовано в більшості основних браузерів. DrawnApart застосовує WebGL для відображення тестової моделі використовуючи вершинний та фрагментний шейдер. Перший піклується про позиціонування точки в області, а другий в основному визначає колір. При виконанні однакового коду GPU демонструють різну поведінку навіть у рамках однієї моделі. Цей ефект обумовлюється мікроскопічними відмінностями у температурних режимах, енергоспоживання та інших показниках окремих екземплярів чипів унаслідок неоднорідності виробництва мікросхем. Глобально проблема стосується CPU чи інших чіпів.

6.1 Як захиститися?

Блокуємо JavaScript – ефективний контрзахід, і більшість браузерів та розширень дозволяють блокувати JavaScript. Це досить радикальне рішення, яке має зворотний бік, бо більшість сайтів значною мірою покладаються на JavaScript для відображення свого контенту або забезпечення коректної взаємодії з користувачем.

Відключення WebGL API може бути гарним компромісом у порівнянні з блокуванням JavaScript, бо сайтів які використовують дану технологів дуже небагато. Firefox та кілька інших браузерів вже дозволяють користувачам деактивувати WebGL API.

Введення випадкової зміни тактової частоти також було б ефективним контрзаходом. Введення випадкових змін тактової частоти зробило б дані, отримані через DrawnApart, більш «шумними», отже, менш придатними для аналізу та використання.

Висновок

Зараз ми розібрали основні моменти по яким нас можуть спробувати вирахувати. Це були фактори, як би так правильно сказати, базові, з коробки. Вони притаманні вашому девайсу за замовчуванням. Але доволі простими діями ви можете суттєво знизити ризик бути розкритими. В інших статтях ми розповімо про небезпеки, які криються в інших пристроях, Браузерах, метаданих файлів, Cookie та ін.

Бережіть себе, слідкуйте за власною інформаційною гігієною, не відкривайте файли та посилання від підозрілих осіб (ми про такі моменти теж напишемо).

Слава Україні!

Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.