На самом сайте Киберполиции работал скрипт для деанонимизации пользователей, имеющий российские корни
by Вадим КарпусьКак мы сообщали вчера, некоторые онлайн-СМИ начали получать письма от Киберполиции с предложением разместить на страницах скрипт для деанонимизации посетителей. И сегодня эта история получила достаточно неожиданное, хотя и вполне логичное, продолжение.
Во-первых, Киберполиция опубликовала на своей странице в соцсети Facebook заявление, в котором говорится, что всё чаще преступники используют различные средства анонимизации для сокрытия своей противоправной деятельности в сети. Но для остановки преступных деяний киберпреступников необходима их идентификация и привлечения к ответственности. Потому Киберполиция сотрудничает со всеми заинтересованными сторонами, которые стремятся не допустить у себя инцидентов.
«При этом Киберполиция не устанавливает и не настаивает на установке каких-либо программ, которые собирали бы персональную информацию пользователей или вмешивались в работу различных ресурсов», — говорится в заявлении ведомства.
Что касается сообщений о том, что региональные подразделения Киберполиции отправляли официальные письма с предложениями установить скрипт, то по этому факту проводится служебная проверка, а по ее результатам будет принято соответствующее решение.
Таким образом, появление опубликованного письма можно было бы списать на чрезмерное рвение сотрудников региональных подразделений. Но здесь внезапно всплыло «во-вторых».
А, во-вторых, выяснилось, что на самом сайте Киберполиции был установлен скрипт для отслеживания и деанонимизации посетителей сайта. После того, как пользователи обратили на него внимание, его удалили из кода сайта. Описание и возможности этого инструмента сходятся с теми, что описывается в письме Киберполиции.
Анализ сохранённых копий исходного кода сайта Киберполиции показал, что до 30 января на нём было установлено 15 активных скриптов. К концу дня 30 января — когда история с письмами в СМИ набрала резонанса — один из скриптов исчез из кода сайта. Это была бесплатная версия Javascript-библиотеки Fingerprint. Ее исходный код опубликован на GitHub.
Библиотека предназначена для обнаружения пользователей. По ряду косвенных признаков скрипт присваивает браузеру уникальный идентификатор. Это не просто обнаружение по файлам cookie, которые можно легко очистить в настройках. Создание «цифрового отпечатка» позволяет обойти режим приватности, VPN и другие средства анонимизации. Fingerprint собирает все уникальные настройки и данные о браузере, системе, компьютере, группирует их в единую строку, делает из них идентификатор и хеширует его. В качестве основной сферы использования данной технологии называют настройку персонализированной рекламы, аналитику, защиту от мошенничества.
Что не менее интересно, так это авторство библиотеки Fingerprint. Её создал российский программист Валентин Васильев, разработку он начал ещё в 2012 году во время работы в компании «КупиКупон», а в 2015 году – представил публично. С 2015 года Васильев живет и работает в США, там же зарегистрировал компанию FingerprintJS. Она по подписке продает Pro-версию одноименной библиотеки, которая собирает больше данных, делает это быстрее и использует единые сервера в США и ЕС для идентификации. Цены начинаются от $100/месяц.
Судя по имеющейся информации, Киберполиция установила на своём сайте бесплатную версию библиотеки Fingerprint в августе 2019 года. Бесплатная версия умеет собирать данные. Написав несложный дополнительный скрипт, их можно отправлять на сервер для внутренней аналитики. Так было и в этом случае. То есть информацию обрабатывал разработчик сайта — в данном случае Киберполиция — никаких сторонних запросов скрипт не отправлял. Так что о потенциальной утечке данных, например, за рубеж, говорить нельзя.
В сети также обнаружились скриншоты, на которых видны запросы в адрес сайта webstatstat.info с регистрацией в России. Однако связать изображение с работой скрипта Fingerprint на сайте Киберполиции пока что не удалось.
Как выяснилось, передачей уникального хеша с идентификатором занимался второй скрипт, который перестал работать днём 30 января. Его написали уже в Киберполиции. Также обнаружилась ссылка, по которой отправлялись данные этим скриптом. Он ведёт на сайт Киберполиции, но выдает ошибку № 504. Это позволяет с высокой долей вероятности говорить, что сервер был внутри инфраструктуры Киберполиции. Скорее всего, там просто находилась бекенд-часть для сбора и анализа информации. Сейчас она отключена.
Данная технология действительно может справиться с анонимайзерами, если распространить её на достаточном количестве популярных сайтов. VPN и другие средства защиты не скроют всей информации об устройстве, и «цифровой отпечаток» позволит отслеживать пользователей. Очень похоже, что именно распространением скрипта на сайты с большой посещаемостью (СМИ) и занялись в Киберполиции. Хотя на текущий момент нет доказательств, что именно этот скрипт подразумевался в письмах к СМИ.
Была ли установка такого скрипта на сайте Киберполиции официальным нарушением приватности — пока сказать сложно. Ранее юристы с беспокойством говорили о планах ведомства «деанонимизировать» пользователей. К примеру, указывая на широкие критерии определения персональных данных. Персональными данными в сети считаются IP-адреса, идентификационные данные устройства и другие цифровые «отпечатки», по которым можно идентифицировать отдельных пользователей. Это, например, информация о диагонали экрана, типе браузера или истории посещений.
Всю эту информацию обработчики (то есть сайты) в Украине могут использовать только после согласия пользователя. Это закреплено в законе «О защите персональных данных». Как его будут исполнять, занимаясь деанонимизацией — ещё предстоит узнать.
Источник: AIN