Zombie super cookies что это

Обновлено: 17.05.2024

Уже несколько лет все браузеры предлагают настройки для приватного браузинга. В приватном режиме они могут не сохранять куки, историю страниц и временные файлы. Люди, ценящие приватность, полагаются на эту возможность. Но недавно был предложен ещё один способ отследить пользователя даже и в этом случае, если тот не предпримет особых мер.

Сэм Гринхальх, консультант агентства RadicalResearch придумал, как превратить эту функцию, обеспечивающую безопасность, в функцию для отслеживания пользователя. Назвал он свою концепцию HSTS Super Cookies. Как и обычные куки, суперкуки отслеживают пользователя и могут идентифицировать его, если он вернётся на сайт в будущем. Одна из возможностей суперкук – они работают даже в приватном режиме. Другая – эти куки можно прочитать с других доменных имён, а не только с того, что их поставил.

Как это работает

Для одного сайта HSTS может содержать одно бинарное значение – вкл или выкл. Для обхода этого ограничения Гринхальх составляет вместе 32 сайта, складывает все их бинарные значения и хранит результат, как одно число. В результате получается возможным создать более чем два миллиарда вариантов браузеров. Для простоты десятичное число конвертируется в base36, так что 169ze7 представляет 71009647, или lm8nsf представляет 1307145327.

Когда вы заходите на сайт хакера в обычном режиме, скрипт проверяет ваши установки HSTS для разных сайтов и высчитывает идентификатор. Уникальный идентификатор устанавливается и сохраняется, даже если потом вы включите приватный режим. Более того, другие сайты смогут прочесть идентификатор, таким образом отслеживая пользователя при посещении разных сайтов. Обычно от приватного режима люди ожидают обратного поведения. Кроме того, обычные куки можно считывать только с того домена, который их поставил.

К счастью, все, кроме пользователей Safari на iPhone или iPad, могут удалить эти флаги, использующиеся для отслеживания, удалив все куки. Обычно вместе с этой операцией браузеры обнуляют и флаги HSTS. Кроме того, если вы посетили сайт, который пытается вас отследить, только в приватном режиме, то этот флаг не будет взведён.

Примечание: после публикации статьи её рассмотрели разработчики Chrome и Firefox. Первые решили ничего не менять в попытках «соблюсти баланс между приватностью и безопасностью». Вторые же, начиная с версии 34, исключили возможность переноса настроек флагов в приватный режим.

HTML5-Supercookie

Прогресс идет вперед, HTML5 уверенно завоевал интернет, флеш убили, возможности нового стандарта позволяют творить на страницах чудеса, недоступные ранее. Но безопаснее ли стало в интернете? Увы, нет.

Все эти технологии предоставляют много информации, через которую можно сформировать уникальный «цифровой отпечаток» браузера.

Если вы посещаете современные сайты, то вы пользуетесь возможностями HTML5, а значит информация про: user-agent, размер canvas, разрешение экрана и глубину цвета, системные шрифты и многое другое, будет передаваться на сайт, для того, чтобы адекватно его отрисовать в браузере. Кроме того стандарт HTML5 позволяет сохранять данные в Localstorage, специальном хранилище, которое недоступно пользователю через обычное меню по чистке кукисов, истории посещения или кеша браузера.

Your browser fingerprint appears to be unique among the 300,802 tested in the past 45 days.

Currently, we estimate that your browser has a fingerprint that conveys at least 18.2 bits of identifying information.

The measurements we used to obtain this result are listed below. You can read more about our methodology, statistical results, and some defenses against fingerprinting here.

В теории, считается, что немного уменьшить уникальность браузера можно с помощью использования прокси или VPN и приватного режим браузера. Увы, это не сильно мне помогло, результаты полученные в приватной вкладке через встроенный в Opera VPN, выдали практически те же самые результаты:

Your browser fingerprint appears to be unique among the 300,854 tested in the past 45 days.

Currently, we estimate that your browser has a fingerprint that conveys at least 18.2 bits of identifying information.

The measurements we used to obtain this result are listed below. You can read more about our methodology, statistical results, and some defenses against fingerprinting here.

Хотя одно устройство из трехсот тысяч — в море, где плавают сотни миллионов смартфонов и десктопов, есть где спрятаться.

VPN вас не спасет: как собирают персональные данные через SuperСookies

Томас Даннинг говорил: «При 300 процентах [прибыли] нет такого преступления, на которое он [капитал] не рискнул бы, хотя бы под страхом виселицы». Эти слова, сказанные в XIX веке, актуальны до сих пор. Компании, которые ведут бизнес в интернете, изобретают все более изощренные способы слежки за пользователями.

История кукисов пережила несколько скандалов, связанных с нарушениями приватности, работа браузеров с ними постепенно менялась и, казалось бы, окончательно вошла в цивилизованное русло. Мы научились защищать свои данные и кушать печеньки стало относительно безопасно.

Онлайн отслеживание опасно

Cache-Supercookie: изощренный способ идентификации пользователя через кэш

Еще один способ слежки за пользователем — изощренное использование кэшированной информации. Некоторые сайты используют одни и те же изображения на своих страницах, браузеры экономят место на диске и трафик, кэшируя данные. Изображение или шрифт скачиваются один раз, а потом подгружается уже из локального хранилища. Технология стара как интернет, но и тут нашелся способ отличить одного пользователя от других.

Например, трекер кодирует уникальный ID в кэшированное изображение с одного сайта. На другом используется тоже самое изображение, и трекер извлекает ID из кэшированного изображения, когда пользователь заходит на второй сайт.

Бороться с такими супер-куками можно с помощью разделения кешей для разных сайтов. Неделю назад команда Firefox сообщила, что они включили этот механизм в 85 версию браузера. Объем кэшируемых данных увеличивается, но зато отследить пользователя становится сложнее.

Что такое Supercookie?

С помощью обычных файлов cookie, если вы не хотите, чтобы они следили за вами по всему Интернету, вы можете очистить данные о просмотре, файлы cookie и многое другое. Вы можете заблокировать файлы cookie и файлы cookie сторонних производителей в своем браузере и автоматически удалять файлы cookie после завершения сеанса браузера. Вы должны снова зайти на каждый сайт, и ваша корзина покупок не будет храниться, но это также означает, что отслеживающие куки больше отслеживают вас.

Supercookie отличается. Очистка ваших данных просмотра не помогает. Это потому, что супер-куки на самом деле не печенье; он не хранится в вашем браузере.

Поскольку Интернет-провайдер внедряет супер-куки между устройством и сервером, к которому он подключается, пользователь ничего не может с этим поделать. Вы не можете удалить его, потому что он не хранится на вашем устройстве. Программное обеспечение для блокировки рекламы и скриптов не может остановить это, потому что это происходит после того, как запрос покидает устройство.

Потенциал нарушения конфиденциальности здесь должен быть очевиден — в большинстве случаев файлы cookie связаны с одним веб-сайтом и не могут использоваться совместно с другим сайтом. UIDH может быть раскрыт на любом веб-сайте и содержит потенциально огромное количество информации о привычках и истории пользователя. Verizon рекламировал эту возможность и своим партнерам. Весьма вероятно, что это конкретное использование супер-куки предназначено для сбора большого количества данных для его продажи.

Electronic Frontier Foundation (EFF) также отмечает, что рекламодатели могут использовать супер-куки для восстановления своих удаленных файлов cookie с устройства пользователя и связывать их с новыми, обходя стратегии, которые пользователи могут использовать для предотвращения отслеживания:

[S] предположим, что рекламная сеть присвоила вам файл cookie с уникальным значением «cookie1», а Verizon назначил вам заголовок X-UIDH «old_uid». Когда Verizon меняет заголовок X-UIDH на новое значение, скажем «new_uid» рекламная сеть может подключить «new_uid» и «old_uid» к одному и тому же значению cookie «cookie1» и увидеть, что все три значения представляют одного и того же человека. Точно так же, если вы впоследствии удалите куки, рекламная сеть назначит новое значение куки «cookie2». Поскольку ваше значение X-UIDH одинаково (скажем, «new_uid») до и после очистки куки, рекламная сеть может подключиться «cookie1». »И« cookie2 »к одному и тому же значению X-UIDH« new_uid ». Начальная загрузка идентификатора не позволяет по-настоящему очистить историю отслеживания, пока включен заголовок X-UIDH.

Какие данные отправляет Supercookie?

Supercookie содержит информацию о запросе, сделанном пользователем, например, о веб-сайте, который он пытается посетить, и времени, когда запрос был сделан. Это известно как метаданные (и очень похоже на метаданные, собранные АНБ из записей сотовых телефонов). Но супер-печенье может включать и другие типы данных.

Независимо от точного типа данных, если Verizon понесет утечку данных и эти файлы cookie будут привязаны к конкретным пользователям, это станет кошмаром конфиденциальности. EFF уже обнаружил, что хешированные номера телефонов использовались в качестве идентификаторов пользователей, что является тревожным признаком. Хакеры, другие компании или правительственные организации хотели бы получить информацию такого рода.

Тот факт, что Verizon была одной из компаний, участвующих в программе PRISM АНБ, только вызывает еще большее беспокойство.

Супер-куки на основе HSTS отследят вас даже в приватном режиме

Как это работает

Какими печеньками нас будут кормить в будущем?

Вся эта борьба кажется правильной, приватность — это то, что в современном мире у нас пытаются оторвать любыми способами. Камеры подключенные к сервисам распознавания лиц и номеров машин уже давно стали реальностью, они ловят преступников и выписывают штрафы за превышения скорости. DPI у мобильных операторов шейпит трафик немногих оставшихся торрент-клиентов и сужает им полосу пропускания, чтобы они не мешали другим смотреть видео с YouTube. Блокируются «запрещенные» сайты.

Мне недавно рассказали историю, как в одном небольшом русском городе с помощью камер наблюдения поймали группу гопников, которые развлекались тем, что избивали одиноких прохожих, а потом запугивали их, чтобы те ничего не рассказали полиции. Когда патрульные выехали на место происшествия, гопники спокойно стояли, не переживая за свою безопасность, но вышедшие из машин полицейские даже не стали задавать вопросов, просто скрутили всех причастных. Потому что камеры, заснявшие избиение, распознали их всех по лицам, и дополнительные свидетельские показания не понадобились.

Поэтому так ли страшно отслеживание рекламными фирмами наших действий в интернете?

Сложно сказать. Дело не только в слежке, но и в назойливой «персонализированной» торговле. С одной стороны, на моей памяти, я только раз воспользовался рекламным предложением из поисковой выдачи, которое было с пометкой «Реклама». За много лет у людей выработалась «баннерная слепота», и даже без блокировщика рекламы этот метод уже не особо работает. С другой стороны, высокая релевантность поиска в Google, Amazon или AliExpress работает благодаря хитрым трекерам, отслеживающих нашу активность.

Но практически каждый может вспомнить загадочную историю, когда в реальном разговоре или чате Телеграма упоминали какую-то категорию товаров, а через несколько минут смартфон показывал сайты с баннерами обсуждаемых вещей. А самое раздражающее нововведение, это вылезающие отовсюду предупреждения об использовании кукисов, не пропадающие, пока не нажмешь кнопку согласия с ними.

Хорошо это или плохо? Наверное, уже ни то и ни другое. Это стало привычным, а приватность — иллюзией.

HSTS-Supercookie: почему SSL нас не спасет

Казалось бы, шифрование должно обеспечить защиту от прослушивания, но выяснилось, что и это не является гарантией приватности. Следующий способ чисто академический, вряд ли его можно использовать на практике, и является демонстрацией изощренности мышления Сэма Гринхала из компании RadicalResearch, который продемонстрировал этот механизм в 2015 году.

А сайт flibusta.is не будет упомянут в HSTS-базе.

Затем написать скрипт, который при заходе на ваш сайт, будет генерировать обращения к «кукис-сайтам» по шаблону, уникальному для каждого пользователя, формируя в HSTS-базе его браузера таблицу со значениями вида:

И потом считывать данные для «кукис-сайтов», подставляя 0 на место сайтов, которых нет в базе. В этом примере будет сформировано число 1010. Если зарегистрировать два-три десятка сайтов, то уникальных идентификаторов будет достаточно, чтобы снабдить ими вообще всех абонентов, которые, теоретически, могут зайти на сайт.

Справедливости ради надо заметить, что разработчики браузеров отреагировали на эту информацию, и куки теперь очищаются вместе с данными этой таблицы. Но, кроме этого флага, современные браузеры хранят множество другой информации, о которой пойдет речь ниже.

Что такое печенье зомби?

Зомби-cookie — это еще один тип supercookie. Как следует из названия, вы не можете убить зомби печенье. И когда вы думаете, что убили его, зомби-печенье может вернуться к жизни.

Файл cookie зомби остается неизменным, поскольку он скрывается за пределами обычного хранилища файлов cookie вашего браузера. Файлы cookie Zombie предназначены для локального хранилища, хранилища HTML5, значений цветового кода RGB, хранилища Silverlight и многого другого. Вот почему они известны как зомби печенье. Рекламодатель должен найти существующий файл cookie только в одном из этих мест, чтобы воскресить остальные. Если пользователь не может удалить один файл cookie-зомби из какого-либо места хранения, он возвращается на круги своя.

Что такое супер-печенье? Вот как правильно их удалить

В марте 2016 года FCC поразил Verizon штрафом в 1,35 миллиона долларов за отслеживание клиентов с уникальным идентификатором заголовка (UIDH), также известным как «supercookie». Это была большая новость, когда FCC заставила Verizon разрешить клиентам отказаться от отслеживание. Но что такое супер-печенье? Почему супер-печенье хуже обычного печенья?

Вот что вам нужно знать о супер-печенье и как его удалить.

Что такое печенье?

Например, когда вы помещаете товары в свою корзину покупок Amazon, они хранятся в файле cookie. Если вы покинете Amazon, когда вы вернетесь, ваши товары останутся в вашей корзине. Файл cookie отправляет эту информацию обратно в Amazon, когда вы возвращаетесь на сайт.

Обычные cookie-файлы также выполняют и другие функции, например, сообщают веб-сайту, что вы уже вошли в систему, поэтому вам не придется снова входить в систему, когда вы вернетесь. Более спорно, сторонние файлы слежения за вами по всему Интернету, Докладывая маркетинга и других компаний о том, что вы до онлайн.

Как Flash-Supercookie собирали персональные данные

Очень долго возможность обеспечить изощренный интерактив интернет-сайту (показ видеороликов, анимированные баннеры и браузерные игры) можно было почти что исключительно с помощью технологии Flash. Печально известный Adobe Flash Player сильно нагружал процессор, не позволял нормально отлавливать возникающие ошибки, из-за чего браузер падал и тормозил. Ко всему прочему движок содержал множество уязвимостей, которые нещадно эксплуатировались злоумышленниками всех мастей.

Но в конце-концов дырявый и тормозной Flash-player всех окончательно достал, а HTML5 получил достаточно широкое распространение, что позволило полностью избавиться от технологии Флеш. Убивали его долго и мучительно, компания-производитель очень неторопливо отказывалась от своего детища. В 2012 году Adobe пообещала, что прекратит поддержку технологии примерно в течение десятка лет. В 2017 был назван срок удаления флеш-плеера с сайта — декабрь 2020 года. Эти три года, по словам компании, были необходимы для того, чтобы разработчики адаптировали свои сайты под HTML5. Месяц назад этот срок подошел к концу, и назойливые предупреждения о том, что плагин, окончательно и бесповоротно, отовсюду удаляется, стали появляться во всех браузерах, хотя непонятно, зачем уведомлять об этом пользователей, которых не особо интересуют тонкости внутреннего устройства сайтов.

На этом можно считать тему флеш-куков — окончательно исчерпанной.

Флеш не единственный способ слежки за пользователями через куки.

Проблема была в том, что пользователь практически никак не может повлиять на этот процесс, потому что все происходит на стороне поставщика услуг доступа в интернет. ID встраивается уже после того, как запрос уйдет из браузера, по пути на сайт.

Информация из этого супер-печенья не сохраняется локально, соответственно ее нельзя удалить. Программы-блокировщики рекламы тоже ничего не могут сделать. Кроме адреса сайта, на который идет браузер и времени запроса, UIDH может передавать информацию о номере мобильного телефона, с которого пользователь сидит в интернете, время запроса и другие данные.

Самый известный скандал с использованием этого способа отслеживания пользователей связан с компанией Verizon, американским провайдером сотовой связи. В Verizon начали использовать UIDH в 2012 году для показа персонализированной рекламы, активно торгуя личными данными своих клиентов. Только в 2014 году компания публично призналась в этом факте, закопав упоминание о нем глубоко в Q&A на своем сайте. Тем не менее это заметили, и на Verizon обрушился шквал критики за такое беспардонное отношение к своим пользователям. В 2015 году компанию вынудили добавить в личный кабинет пользователя настройку, позволяющую отключить использование UIDH для своих устройств, а в 2016 году окончательно добили. Федеральная комиссия по связи США взыскала с компании штраф в 1,35 миллиона долларов.

Увы, Verizon не одни такие хитрые.

Есть подозрение, что Verizon пошла на попятный только потому, что этот способ перестал быть актуальным из-за повсеместного внедрения SSL, о котором я упоминал выше. Да и сумма не кажется внушительной по сравнению с недавними антимонопольными штрафами, где счет идет на сотни миллионов долларов. Вполне вероятно, что Verizon заработал на продаже ПД куда больше.

Как удалить суперкуки

К сожалению, ответ для некоторых типов суперкуки — «не очень».

В противном случае, ознакомьтесь с разделом «Лучшие инструменты безопасности браузера» в руководстве , где представлены лучшие антивирусные приложения и программы

Как наивность разработчиков создала основы для сбора персональных данных

Идея сохранять локально данные сайтов возникла на самой заре развития интернета. Изначально технологии печенек преследовали исключительно благие цели, но, как и большинство протоколов и технологий, они создавались идеалистами, не особо переживающими о безопасности, которые просто не могли предположить реальных масштабов развития сети в будущем.

Эти проблемы зарождались, когда компьютеры были большими, а программисты — несколько наивными. Например, одна из уязвимостей сотовых сетей возникла по той же причине наивности: Страх и ужас SS7.

Также и с печеньками. Идея запоминать товары, которые пользователь добавил в корзину, не заставлять его вводить пароль каждый раз при заходе на страницу, запомнить внешний вид сайта и тому подобное, отличная. Что может пойти не так?

Статистика — это лакомый кусочек информации для рекламы. Информация о пользователях, их поведении на сайтах, предпочтения в выборе товаров, время проведенное на странице. Коммерсанты готовы на все ради нее, по ней выстраивается стратегия рекламы.

Первая тревога была поднята в 1996 году. Всего через пару лет после внедрения cookie Financial Times опубликовала в своей газете статью об угрозе приватности:

Итогом расследований 1996 и 1997 годов, которые прошли в Федеральной комиссии по торговле США, стала спецификация, регламентирующая работу с куками. Одним из ее положений было то, что сторонние cookie должны или полностью блокироваться, или, как минимум, не работать по умолчанию.

Впоследствии, файлы кукисов приравняли к персональным данным и постепенно ужесточали требования по сбору информации о пользователях, вплоть до самого нелепого и раздражающего решения: всплывающее уведомление о том, что на сайте используются куки, и предложение согласиться с этим фактом. Оно всех достало настолько, что некоторые браузеры включили в свои настройки возможность удалять эти баннеры, и было написано несколько расширений для блокировки назойливых предупреждений.

Читайте также: