Onderzoeker identificeert Tor-gebruikers via muisbewegingen
Een Spaanse beveiligingsonderzoeker heeft een manier ontwikkeld waarmee hij in een gecontroleerde omgeving Tor-gebruikers aan de hand van hun muisbewegingen kan identificeren. Tor Browser, waarmee er toegang tot het Tor-anonimiseringsnetwerk kan worden gekregen, beschikt over allerlei maatregelen om identificatie van gebruikers te voorkomen.
Onderzoeker Jose Carlos Norte heeft echter een techniek ontwikkeld genaamd "UberCookie" waarmee hij via JavaScript Tor-gebruikers in gecontroleerde omgevingen kan identificeren. Tor is juist bedoeld om de identiteit van gebruikers te beschermen. "Als een website een unieke vingerafdruk van elke bezoeker kan maken, dan is het mogelijk de activiteit van die gebruiker altijd te volgen, of bezoeken gedurende een bepaalde periode te correleren", aldus Norte. De onderzoeker stelt dat al zijn technieken op JavaScript zijn gebaseerd, wat standaard volgens Norte in de Tor-browser staat ingeschakeld.
Niet alleen kan de techniek binnen Tor Browser worden gebruikt, het zou ook kunnen helpen om de vingerafdruk te gebruiken bij het identificeren van gebruikers als ze met hun normale browser op het internet surfen. De JavaScript-code van de onderzoeker meet allerlei muisbewegingen. Tor Browser, alsmede veel andere browsers, lekken informatie over de hardware die wordt gebruikt om op een website te scrollen. Een ander informatielek in het muiswiel is de scrollsnelheid, die gekoppeld is aan de configuratie van het besturingssysteem en de mogelijkheden van de hardware.
Een andere vingerafdruk die kan worden gemaakt is de snelheid waarmee de muis over het scherm wordt bewogen. De snelheid van de muis wordt bepaald door het besturingssysteem en gebruikte hardware en kan via JavaScript worden uitgelezen. Al met al zijn er verschillende mogelijkheden om via muisbewegingen en JavaScript een vingerafdruk te maken. Iets dat volgens Norte eenvoudig is en het mogelijk maakt om gebruikers van Tor Browser op verschillende webpagina's te identificeren. Een demonstratie van UberCookie is op deze pagina te vinden.
Of gewoon, zoals standaard, javascript uitzetten.
Wel een geinige ontdekking wat in echte browsers wel weer veel kan prijsgeven, maar in Tor heeft het weinig nut.
Zou me niet eens verbazen als het werkelijk al toegepast is. Mensen op gedrag herkennen zonder fysiek te zien.
Je kunt iemand niet identificeren aan de hand van muisklikken, je kunt hooguit bepalen of je die persoon -mogelijk- al eens eerder op bezoek hebt gehad.
Die test op die website is al helemaal kaas, als je een browser moet belasten om zoveel mogelijk data op te vangen, gaat dat niet ten goede komen aan het aantal bezoekers van je site, laat staan dat die bezoekers vaak terug zullen komen.
https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled
Het is handig om als je de Tor Browser bedoelt ook Tor Browser te schrijven, de term Tor zelf slaat namelijk op het netwerk van proxyservers dat communicatie anonimiseert, waar de Tor Browser gebruik van maakt. Het is nogal onzinnig om te zeggen dat JavaScript uitstaat op dat netwerk, dat is zoiets als zeggen dat de auto opnieuw geasfalteerd wordt als je de autoweg bedoelt. Een autoweg is geen auto, de Tor Browser is niet Tor.
Dat is het hele idee: met Tor neem je een geheime identitieit aan, ook wel genoemd persona , goede opsec gaat erom die perona's gescheiden te houden, met deze techniek is het mogerlijk ze weer te koppelen, weg anonimiteit...
Dat is het hele idee: met Tor neem je een geheime identitieit aan, ook wel genoemd persona , goede opsec gaat erom die perona's gescheiden te houden, met deze techniek is het mogerlijk ze weer te koppelen, weg anonimiteit...
Nee dat is niet zo.
Het zou op basis van deze techniek mogelijk zijn om vast te stellen of het om dezelfde persoon gaat, dan is nog niet vastgesteld wie die persoon is.
Dat risico (van het vaststellen van identiteit) loop je pas als je zowel met een standaard browser en een directe verbinding vanaf een ip adres surft dat te koppelen is aan jouw identiteit en dat afwisselt met het gebruik van Torbrowser en het bezoeken van dezelfde website die op dergelijke wijze de bezoeker analyseert.
Dat wordt dan pas een issue als veel websites die techniek gaan implementeren.
Wanneer Facebook of Google dergelijke techniek zou gaan gebruiken en jij op naam inlogt, zij die data gaan verkopen aan andere partijen, die andere partijen die vorm van data analyse op de eigen sites gaan toepassen en jij dan als geanonimiseerde gebruiker (wat ook met VPN het geval zou kunnen zijn) die website bezoekt, ja in dat geval is je anonimiteit opgeheven.
Een eenvoudige oplossing hiervoor is om veel vaker NoScript actief te laten.
In Torbrowser kan je op eenvoudige wijze onder de settings van je groene-uit button de NoScript-settings-security-slider wat omhoog zetten onder "Privacy and Security Settings".
Javascript niet langer meer toestaan begint op de slider setting : Medium High.
Maar de kans op de pest is inderdaad dat als deze techniek goed werkend gekregen wordt en grote websites vereisen om Javascripts vergaand toe te staan omdat anders de lay out en functionaliteit overhoop ligt en dan ook nog in combinatie met deze analyse techniek, ja dan heb je een probleem om op te lossen.
Zover is het nog lang niet, gelukkig werken heel erg veel sites prima als je deze bezoekt met Javascript gedeactiveerd.
Reden voor Torproject om standaard NoScript vergaand (maar niet helemaal) op Globaal toestaan te zetten heeft te maken met een keuze tussen gebruiksgemak en gewenst draagvlak onder gebruikers.
Lastige keuze bij ook nog een lastige add-on.
Bedenk daarbij wel dat veel Amerikaanse grote websites vaak veel meer vereisen een shit-load aan javascripts van allerlei partijen toe te staan dan dat dat het geval is met Europese of Nederlandse websites.
Gelukkig staat de ontwikkeling aan de kant van Torproject ook niet stil.
- Voor Canvas fingerprinting heeft men als enige browser een oplossing gevonden (wordt standaard geblokkeerd).
- Voor font-tracking heeft men een oplossing gevonden.
- Voor screen measurements heeft men een oplossing gevonden (standaard formaat).
- Voor het gevaar van het gebruik van plugins heeft men een 'oplossing' gevonden (uitgeschakeld en dus ook niet gaan gebruiken!)
Best goede kans dus dat men ook binnen afzienbare tijd hier weer een oplossing voor gaat bedenken. Zeer goede kans dat de oplossing er eerder is dan dat de markt breed van dit soort analysescripts gebruik gaat maken.
Het gebruik van Torbrowser is een middel om je privacy te beschermen en geen 100% garantie dat dat ook lukt. Heb je de site bezocht van de onderzoeker en javascipt geactiveerd?
Tja.
Er ligt in zekere mate dan ook verantwoordelijkheid bij de gebruiker zelf, dat begint al met het ter harte nemen van de gebruiksadviezen en zal qua investering qua kennis gaan toenemen als je het ultieme wil bereiken.
Dat ultieme bereiken is voor de meeste mensen hier helemaal niet relevant want niet vrijwel iedereen heeft een drieletterorganisatie achter de broek zitten.
Voor de meeste mensen is de privacy die Torbrowser standaard al biedt ruim voldoende en meer dan welke andere browser standaard zal bieden.
Dat is ook een gebruiksgemak dat veel mensen vergeten, bij een andere browser mag je de mouwen flink opstropen om je privacy te beschermen (en dan haal je waarschijnlijk nog niet eens hetzelfde privacy-beschermings-niveau).
Wat dat betreft is wat Torbrowser biedt een hele laagdrempelige instant oplossing voor veel standaard webgebruik (doe je internetbankieren lekker met je gewone browser).
- handschriftkerkenning (de handtekening)
- specifieke machinekenmerken (aanslag hoogte typemachines)
- de vingeradrukken oorafdrukken irisscans stem etc.
- loop houding en andere bewegingen
- gezichtsherkenning daar schijnen machines al beter in te worden dan mensen
Het is meer de vraag wat niet mogelijk zou zijn dan wat een onzin verhaal is.
Een betrouwbaarheidsonderzoek, keystroke dynamics. http://www.janmagnus.nl/papers/JRM089.pdf of http://www.sciencedirect.com/science/article/pii/S0167404814000893
Als privacy met anonimitiet verward, Vraag eens aan Snowden en Assange waarom ze geen privacy hebben doordat anonimiteit niet te garanderen is.
Heb je een belangrijke sociale boodschap ...klokkenluider dan is dat de consequentie. Het zou beter zijn om klokkenluiders echt te beschermen ipv het gemak dat een ander die rol wel op zich neemt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.