На сайте Киберполиции нашли скрипт для деанонимизации пользователей. Как он работает и что это значит?
Вчера стало известно, что Киберполиция отправила письма полтавским онлайн-изданиям «Коло» и «Полтавщина», в которых предлагала разместить скрипт для деанонимизации пользователей. Медиа отказались и рассказали об этом сообществу.
Позже на Facebook-странице Киберполиции появилось официальное заявление об этой ситуации. Правоохранители отметили, что не устанавливают программы для сбора персональной информации о пользователях или вмешивающихся в работу интернет-ресурсов. Также Киберполиция пообещала провести служебную проверку.
AIN.ua разобрались в произошедшем и попросили разработчика Эльдара Аватова объяснить, какой скрипт могли использовать правоохранители и зачем. Мы выбрали главное из материала издания.
Что делает скрипт киберполиции
Вчера управляющий партнер юридической компании Ovcharov & Partners Attorneys Association Денис Овчаров опубликовал расшифровку записи разговора с сотрудником Киберполиции. В нем сотрудник рассказывает представителю IT-компании о скрипте, который разработали в ведомстве. Он отправляет полиции IP-адреса пользователей, которые заходят на сайт с VPN. Такой скрипт должен помочь находить хакеров и интернет-мошенников. Правоохранитель хотел пообщаться с администратором сайта IT-компании, но разговор закончился ничем.
По словам разработчика Эльдара Аватова, похожий скрипт обнаружили на сайте Киберполиции. До того, как вчерашняя история с письмами стала резонансной, на сайте Киберполиции работали 15 скриптов, но к концу дня остался один. Судя по данным анализа сохраненных копий исходного кода веб-ресурса, правоохранители избавились от бесплатной версии Javascript-библиотеки Fingerprint.
Ее разработал Валентин Васильев. В материалах Mashable и Spiegel его называют российским программистом. Также в LinkedIn-профиле Васильева указано, что он учился и работал в российских вузах и компаниях. В 2019 программист запустил в США компанию FingerprintJS, которая продает подписку на премиум-версию этой библиотеки. Она стоит от $100 в месяц.
Fingerprint помогает деанонимизировать интернет-пользователей: собирает уникальные данные о браузере, системе, компьютере, группирует их в единую строку, создает идентификатор, а затем хеширует его. Такой «цифровой отпечаток» эффективен против целого ряда методов анонимизации в сети, включая VPN и режима приватности.
Что может бесплатная версия библиотеки
Аватов говорит, что даже бесплатная Fingerprint собирает данные. Чтобы отправлять их на внутренний сервер для аналитики, нужно только написать дополнительный скрипт.
Судя по всему, бесплатную версию Fingerprint установили на сайт Киберполиции еще в августе. В ведомстве написали второй скрипт, который передавал хэши с идентификатором. Он работал до 30 января. В AIN.ua пришли к выводу, что он, вероятно, передавал эти данные на сервер ведомства.
Такое решение действительно может справиться с деанонимизацией пользователей. Для этого нужно, чтобы его использовали на достаточном количестве популярных сайтов.
Бесплатная Fingerprint умеет «запоминать» видеокарту, версию драйверов, процессор и другие параметры. Эти данные не уникальны по отдельности, но вместе помогают определить нужное среди многих устройств. Таким образом пользователю достаточно только раз зайти без анонимайзера на один веб-ресурсов с Fingerprint, чтобы система добавила к уже имеющемуся набору данных и IP-адрес. После этого VPN и режим инкогнито больше не помогут спрятаться.
Но и у этого решения есть слабости. Бесплатная версия Fingerprint не различает устройства одной модели, теми же браузерами и версией операционной системы. Потому она плохо справляется со смартфонами, ведь там такие совпадения не редкость.
Правда ли, что это как-то связано с Россией
История получила интересное продолжение. Оказалось, что с 17 января Fingerprint заменили на аналогичный скрипт Clientjs. Новая библиотека передавала данные уже на адрес сайта webstatstatus.info. Этот домен зарегистрирован в России. Впрочем, сам сервер находится Виннице, а хостером оказалась украинская «ОН-ЛАЙН».
Вряд ли, правоохранители зарегистрировали домен в РФ не специально. Просто заказали услугу у хостера, а он использовал российский сервис. Сейчас по адресу webstatstatus.info больше ничего нет. По мнению исследователей, ранее здесь, вероятно, была бекенд-часть для аналитики, но в Киберполиции все закрыли, когда тема стала резонансной.
Какой из этого вывод
Пока в этой ситуации много непонятно. Точно неизвестно, как в Киберполиции пользовались Fingerprint, а также хотели ли установить ее на сайтах полтавских изданий. Также нельзя однозначно говорить, что правоохранители нарушили права пользователей.
Но действия Киберполиции выглядят так, будто правоохранители хотели использовать персональные данные пользователей без их согласия.