image

Panopticlick 2.0 controleert vingerafdruk van browser

vrijdag 18 december 2015, 12:44 door Redactie, 9 reacties

Bijna zes jaar geleden lanceerde de Amerikaanse burgerrechtenbeweging EFF Panopticlick, een tool om de vingerafdruk van browsers in kaart te brengen en nu is versie 2.0 gelanceerd. Via de eerste versie van Panopticlick werd duidelijk dat browsers veel informatie op websites achterlaten.

Via verschillende manieren zoals webheaders, JavaScript en plug-ins bleek dat trackers gebruikers overal op internet konden volgen en niet alleen van bijvoorbeeld cookies en IP-adressen afhankelijk waren. In versie 2.0 zijn nieuwe methodes voor het afnemen van de vingerafdrukken toegevoegd, zoals canvas fingerprinting. Daarnaast is er ook een nieuwe serie tests toegevoegd die controleert hoe goed de browser en geïnstalleerde extensies de gebruiker tegen tracking door advertenties en verbogen 'beacons' beschermen, alsmede het Do Not Track-beleid aanmoedigen. Ook zijn de resultaten van de scan nu makkelijker te begrijpen.

Volgen

Hoewel Panopticlick bijna zes jaar geleden werd gelanceerd, wordt het elke maand door nog honderdduizenden mensen gebruikt om te kijken hoe hun browser informatie lekt. Kort na de lancering van de tool begin 2010 werd duidelijk dat 84% van de internetgebruikers alleen aan de hand van hun browser is te identificeren. In de afgelopen zes jaar hebben nieuwe technieken zoals canvas fingerprinting ervoor gezorgd dat trackers gebruikers nog effectiever kunnen volgen.

De EFF stelt dat het gebruik van anonimiteitssoftware, zoals Tor Browser, de effectiviteit van fingerprinting kan tegengaan, doordat elke browser dezelfde headers heeft, er geen plug-ins worden geladen en er maatregelen tegen JavaScript worden genomen die kunnen worden gebruikt om de gebruiker te identificeren. Ook tools als Privacy Badger, Disconnect en AdBlock kunnen gebruikers beschermen. Panopticlick 2.0 is te vinden via panopticlick.eff.org. De code van het project is via GitHub open source gemaakt.

Reacties (9)
18-12-2015, 13:44 door Anoniem
Geen nood: voor Firefox bestaat een extensie tegen fingerprinting.

https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/
18-12-2015, 18:12 door FSF-Moses
Door Anoniem: Geen nood: voor Firefox bestaat een extensie tegen fingerprinting.

https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/

Dank je, die kende ik nog niet. Ga er de komende tijd eens mee bezig om te kijken of dit lekker voor me werkt.
18-12-2015, 18:40 door Anoniem
Door Anoniem: Geen nood: voor Firefox bestaat een extensie tegen fingerprinting.

https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/


Dilemma!

Je dient je te beschermen tegen de tracking rottigheid van anderen.
Echter, hoe meer maatregelen je daartoe neemt hoe unieker de fingerprint van je browser is.
De fingerprint van je browser hoeft niet gelijk te zijn aan het resultaat van canvas fingerprinting.

Anders gezegd, je kan wel maatregelen nemen tegen canvas fingerprinting maar hebt dan jezelf niet automatisch beschermd tegen het volgende; namelijk specifieke detectie op aanwezigheid van een bepaalde addon.

De door jouw aangeprezen addon heeft 12,483 users.
Dat is niet overdreven veel, best richting uniek eigenlijk.

Combineer je dat met de taalinstelling en of detectie op een andere (evt uniekere) addon dan schiet de kans pijlsnel omhoog richting unieke gebruiker.

Ontzettend jammer voor startende addons of addons met een kleine userbase, maar als je je privacy wil beschermen hou je dan bij veel of meestgebruikte combinaties als je de standaard Firefox gebruikt.

Gezien de aard van het addon beestje zou het echter beter zijn als zoveel mogelijk gebruikers deze addon zouden installeren opdat detectie op deze addon niet interessant meer is omdat het een algemeen gebruikte addon is.

Zo ver is het echter nog niet, de voorhoede van installeerders loopt dus een extra risico.
Voor het goede doel, dat wel.

Wie durft?


Torbrowser (ook Firefox) erbij installeren is wat dat betreft een hele eenvoudige maatregel, als het gaat om je privacy beschermen, die heel veel sterker is dan al die privacy maatregelen nemen in Firefox.
Niets engs aan en installeren is eenvoudig.
Lees wel even de aanbevelingen door die ook op de downloadpagina staan.

https://www.torproject.org/
18-12-2015, 22:35 door Anoniem
Het maakt niet uit wat je aan blockers e.d. installeert, je computer is altijd en overal te volgen op het internet, helaas...
Zelfs Tor-browser, eventueel in combinatie met Tails, kunnen dat niet verhinderen. VPN? Vergeet het maar.
Als je de moeite neemt om hier te kijken https://www.eff.org/deeplinks/2010/05/every-browser-unique-results-fom-panopticlick onder nummertje 4:
unfortunately, there are some fingerprinting techniques like CPU clock skew measurement which would will work against these systems. commercial fingerprinting services employ those techniques.
Alle computers zijn van elkaar te onderscheiden met die techniek, zelfs in serie gebouwde pc's/laptops etc. met allemaal dezelfde onderdelen/componenten.
Zodra we die cpu clock kunnen afschermen, heeft het installeren van alle hiervoor genoemde maatregelen zin.
Zolang niemand zich hieraan waagt, is verbergen zinloos. Hooguit de rj45 stekker eruit trekken.
"Vluchten kan niet meer" (Hebben ze lang geleden al een liedje van gemaakt).
Sterkte met het verwerken van dit bericht.
19-12-2015, 14:18 door Anoniem
Paniek in de tent?

Door Anoniem: Het maakt niet uit wat je aan blockers e.d. installeert, je computer is altijd en overal te volgen op het internet, helaas...
Zelfs Tor-browser, eventueel in combinatie met Tails, kunnen dat niet verhinderen. VPN? Vergeet het maar.
Als je de moeite neemt om hier te kijken https://www.eff.org/deeplinks/2010/05/every-browser-unique-results-fom-panopticlick onder nummertje 4:
unfortunately, there are some fingerprinting techniques like CPU clock skew measurement which would will work against these systems. commercial fingerprinting services employ those techniques.
Alle computers zijn van elkaar te onderscheiden met die techniek, zelfs in serie gebouwde pc's/laptops etc. met allemaal dezelfde onderdelen/componenten.
Zodra we die cpu clock kunnen afschermen, heeft het installeren van alle hiervoor genoemde maatregelen zin.
Zolang niemand zich hieraan waagt, is verbergen zinloos. Hooguit de rj45 stekker eruit trekken.
"Vluchten kan niet meer" (Hebben ze lang geleden al een liedje van gemaakt).
Sterkte met het verwerken van dit bericht.
Eff meldde dit al in 2010.

Dan, mogelijk dat je tenminste 2 meer positieve kanten niet meegenomen had?

- Werkt "CPU clock skew measurement" in alle gevallen altijd met alle browsers op alle systemen?

Met andere woorden, wat is er nodig om dat te meten?
Voor verreweg de meeste browser fingerprinting is het toestaan van javascripts vereist.
Mocht dat ook bij deze techniek het geval zijn, ik kan er zo gauw niets over vinden, dan heb je bij deze een goede motivatie te pakken om dat standaard toestaan van javascripts te gaan veranderen.

- "vluchten kan niet meer" is van toepassing wanneer alle bestaande systemen geïndexeerd en geprofileerd zijn op "CPU clock skew measurement".
De vraag is of dat zo is.
Vermoedelijk niet en als dat wel het geval zou zijn dan heeft vast niet iedereen die gegevens. Het lijkt er niet op anders zouden de dienders van het 'goede' wel een wat hoger oplossingspercentage hebben.

Dus als het al aan de hand is, dan is het zaak om een andere machine aan te schaffen en met die machine dan vanaf het begin zo te werken dat "CPU clock skew measurement" analyse niet mogelijk is, doordat je geen javascripts toestaat bijvoorbeeld.

En haal anonimiteit en privacy niet doorelkaar.
Als je systeem herkend zou worden is daarmee nog niet automatisch je identiteit bekend.

Interessante vraag die blijft staan is:
- Hoe werkt "CPU clock skew measurement" ? Wat is daar aan medewerking van de kant van de gebruiker voor nodig?

Tot die tijd lijkt het me heel verstandig als je de mogelijkheden die NoScript biedt ook gebruikt.

Wat betreft de panoptic test.
Als je uniek uit de bus komt kan dat aan gebruik van een bepaalde addon liggen in combinatie met andere addons.
Maar het kan zelfs zo zijn dat 1 (!) wijziging van een privacy verhogende waarde onder je about:config er al voor kan zorgen dat je uniek bent!!!

Test je browser dus goed met diverse configuraties en zoek een balans op het uniciteitsvlak.

Succes met testen!
20-12-2015, 01:55 door Anoniem
@ Anoniem 19-12-2015 14:18:
- Werkt "CPU clock skew measurement" in alle gevallen altijd met alle browsers op alle systemen?
Ja. Het werkt door het TCP/IP time stamp signaal, wat bij ieder contact tussen computers wordt uitgewisseld. Je hoeft er niets voor te doen, als slachtoffer.
- Hoe werkt "CPU clock skew measurement" ? Wat is daar aan medewerking van de kant van de gebruiker voor nodig?
Hier staat het mooi beschreven: https://www.lightbluetouchpaper.org/2006/09/04/hot-or-not-revealing-hidden-services-by-their-clock-skew/ Volgens een reaguurder aldaar zou met wat speur- en soldeerwerk een eind aan kunnen worden gemaakt. https://www.lightbluetouchpaper.org/2006/09/04/hot-or-not-revealing-hidden-services-by-their-clock-skew/#comment-3167 Hij vermeldt tevens een link naar Bruce Schneier. De comments daaronder zijn ook leerzaam. https://www.schneier.com/blog/archives/2005/03/remote_physical.html
Zodoende kom je dan op http://it.slashdot.org/story/05/03/04/1355253/tracking-a-specific-machine-anywhere-on-the-net, waar blijkt, dat je het probleem met Linux simpel kunt oplossen en verderop is ook een oplossing voor Windows. (registerhack)

Je zult echter de 2e zijn op de hele wereld, die die oplossing toepast. :):):)
20-12-2015, 08:59 door Anoniem
Door Anoniem: Geen nood: voor Firefox bestaat een extensie tegen fingerprinting.

https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/
Inderdaad, maar canvasblocker is niet de enige addon die dat kan. "random agent spoofer" heeft die optie ook. Onder tab Options > Scripts injection options > Disable Canvas support

En daar maak ik gebruik van dan canvasblocker. Random agent spoofer heeft overigens veel meer opties.

Wat ik wel jammer vind, dat is dat de halve site van die test van Panopticlick wordt geblokkeerd. Ze konden beter een groen vinkje gezet hebben en melden dat fingerprinting gewoon geblokkeerd is.
20-12-2015, 19:43 door Anoniem
Door Anoniem: @ Anoniem 19-12-2015 14:18:
- Werkt "CPU clock skew measurement" in alle gevallen altijd met alle browsers op alle systemen?
Ja. Het werkt door het TCP/IP time stamp signaal, wat bij ieder contact tussen computers wordt uitgewisseld. Je hoeft er niets voor te doen, als slachtoffer.
- Hoe werkt "CPU clock skew measurement" ? Wat is daar aan medewerking van de kant van de gebruiker voor nodig?
Hier staat het mooi beschreven: https://www.lightbluetouchpaper.org/2006/09/04/hot-or-not-revealing-hidden-services-by-their-clock-skew/ Volgens een reaguurder aldaar zou met wat speur- en soldeerwerk een eind aan kunnen worden gemaakt. https://www.lightbluetouchpaper.org/2006/09/04/hot-or-not-revealing-hidden-services-by-their-clock-skew/#comment-3167 Hij vermeldt tevens een link naar Bruce Schneier. De comments daaronder zijn ook leerzaam. https://www.schneier.com/blog/archives/2005/03/remote_physical.html
Zodoende kom je dan op http://it.slashdot.org/story/05/03/04/1355253/tracking-a-specific-machine-anywhere-on-the-net, waar blijkt, dat je het probleem met Linux simpel kunt oplossen en verderop is ook een oplossing voor Windows. (registerhack)

Je zult echter de 2e zijn op de hele wereld, die die oplossing toepast. :):):)

Dank voor het verwijzen naar artikelen en discussies uit de jaren 2005 en 2006 .
Een deel daarvan was ik ook tegen gekomen en had ik onder meer geskipped in de zoektocht naar meer accuratere informatie.

Wat denk jij, zou de wereld dan echt hebben stilgestaan in deze 9 a 10 jaar?
Waarom is er geen recenter informatie te vinden hierover?
Omdat het is opgelost of niet relevant is?
Hoe zit dat?
22-12-2015, 00:05 door Anoniem
@Anoniem 20-12-2015 19:43:
Wat denk jij, zou de wereld dan echt hebben stilgestaan in deze 9 a 10 jaar?
Ja. Er is van later datum weinig over te vinden
Waarom is er geen recenter informatie te vinden hierover?
"Men" schijnt het niet als een probleem te zien, "men" denkt, dat het niet wordt gebruikt.
Omdat het is opgelost of niet relevant is?
Het is wel opgelost, maar je moet dat dus bij iedere installatie weer opnieuw doen. De oplossing is niet standaard ingebouwd. Misschien zijn de kosten hiervoor te hoog en waarom zou je het doen, als niemand het als een probleem ervaart? Ik heb hierover al een hele tijd geleden (3 a 4 jaar) ongeveer hetzelfde gepost bij deze site, verder heeft er nooit iemand op gereageerd of is het anderszins ter sprake gekomen.
Het leuke vind ik wel, dat eff.org dit wel vermeldt, zoals ik al eerder heb aangehaald. De techniek wordt wel degelijk gebruikt, maar het is zo creepy, dat weinigen het weten.

Ik ga ervan uit, dat de nsa en andere diensten die techniek wel gebruiken:
a. de techniek is bekend,
b. men treft geen tegenmaatregelen,
c. het is onzichtbaar, dat het wordt gebruikt.
Als zo'n dienst iemand per se wil volgen, dan is dit het ideale middel, mits die persoon in voortdurend contact staat met het internet. In combinatie met een smartphone kom je dus een heel eind.

Ik ben er indertijd achter gekomen, doordat hierover een artikel was gewijd in een C'T-special over netwerken in 2006.
(Die raadpleeg ik nog regelmatig, ligt al jaren op mijn nachtkastje.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.