image

Onderzoeker: anti-fingerprinting maakt fingerprinting juist eenvoudiger

vrijdag 11 december 2020, 15:30 door Redactie, 8 reacties

Er zijn tal van browserextensies te vinden die gebruikers tegen fingerprinting moeten beschermen, maar in werkelijkheid maken ze fingerprinting juist eenvoudiger, zo stelt Wladimir Palant, ontwikkelaar van de bekende adblocker Adblock Plus.

Bij fingerprinting wordt er naar eigenschappen van het systeem en de browser gekeken om een unieke fingerprint van de gebruiker te maken. Op deze manier kunnen trackers gebruikers over het internet volgen, zonder afhankelijk te zijn van cookies. Anti-fingerprinting probeert de hoeveelheid data die fingerprinters kunnen gebruiken voor het maken van een fingerprint te beperken.

Zo wordt bijvoorbeeld een andere waarde voor de schermresolutie doorgegeven dan de gebruiker heeft ingesteld. En hier zit het probleem, merkt Palant op. Het is voor websites nog steeds mogelijk om de werkelijke resolutie op te vragen of te ontdekken dat er een nepresolutie is doorgegeven. Op dat moment beschikt de fingerprinter over twee datapunten, namelijk de doorgegeven nepresolutie en de echte resolutie van de gebruiker.

"Het is duidelijk dat privacybescherming voor de meeste leveranciers slechts een vinkje is dat ze op hun featurelijst kunnen zetten. De kwaliteit boeit niet, omdat de gebruiker toch niet kan zien of de oplossing wel echt werkt", aldus Palant.

Reacties (8)
11-12-2020, 17:40 door Anoniem
Het beste is gewoon zonder al die ad- en tracking apps alles te accepteren in een sandbox of docker container en telkens een maagdelijke browser te starten. Geen tacking, geen historie gen cookies niks nada noppes, zeker in combinatie met een VPN adres wat telens anders is helemaal top.
11-12-2020, 19:19 door Anoniem
Eenvoudiger? Gewoon hetzelfde denk ik...
Maar torbrowser doet het wel goed.
11-12-2020, 20:55 door Anoniem
Door Anoniem: Het beste is gewoon zonder al die ad- en tracking apps alles te accepteren in een sandbox of docker container en telkens een maagdelijke browser te starten. Geen tacking, geen historie gen cookies niks nada noppes, zeker in combinatie met een VPN adres wat telens anders is helemaal top.
Ligt er maar aan wat je "het beste" noemt natuurlijk... als er op jouw IP adres meerdere gebruikers zitten en jij bent de
enige die zou werkt dan maakt jou dat heel makkelijk trackbaar.

Fingerprinten werkt met ieder afwijkend gedrag.
Zelf je eigen afwiijkende oplossing bedenken is de ultieme manier van fingerprinten.

Daarnaast werkt dit ook nog eens ontzettend onhandig. Ik heb al een tijdje mijn Chromebook zo ingesteld (dat ie alles
vergeet als je hem afsluit) en dat lijkt leuk maar je wordt gek van de cookie-accepteren meldingen. Ik ga het weer
omzetten denk ik.
Op die manier hebben die fijne wetgevers met hun cookiewet het zowat onmogelijk gemaakt om met een systeem te
werken wat geen "state" bewaart (zoals cookies en andere data).
12-12-2020, 08:39 door Anoniem
Ik heb al een tijdje mijn Chromebook zo ingesteld (dat ie alles
vergeet als je hem afsluit) en dat lijkt leuk maar je wordt gek van de cookie-accepteren meldingen. Ik ga het weer
omzetten denk ik.

Zelf gebruik ik voornamelijk Firefox (Chrome is echt de slechtste browser qya privacy) en die heb ik ook ingesteld om alle cookies weg te gooien na het afsluiten. Voor Firefox is er echter een plugin, genaamd "I don't care about cookies", die standaard alle cookies voor je accepteerd. Dat werkt perfect.

Geen idee of er ook zoiets voor Chrome is. Overigens is Google bezig met het wijzigen van de API voor plugins, waardoor een aantal anti-tracker en anti-ad pluginmakers al aangegeven hebben dat hun plugin niet meer (goed) kan werken straks. Mooi moment om over te stappen op een andere browser zou ik zeggen.
12-12-2020, 11:56 door karma4
Door Anoniem: Eenvoudiger? Gewoon hetzelfde denk ik...
Maar torbrowser doet het wel goed.
Blijk je de enige te zijn die zo binnenkomt. Een betere fingerpint kun je niet hebben.
Meld het nog even dat ze je toch niet kunnen vinden en ze hebben de naam er ook bij.
12-12-2020, 17:53 door Anoniem
Door Anoniem:
Door Anoniem: Het beste is gewoon zonder al die ad- en tracking apps alles te accepteren in een sandbox of docker container en telkens een maagdelijke browser te starten. Geen tacking, geen historie gen cookies niks nada noppes, zeker in combinatie met een VPN adres wat telens anders is helemaal top.
Ligt er maar aan wat je "het beste" noemt natuurlijk... als er op jouw IP adres meerdere gebruikers zitten en jij bent de
enige die zou werkt dan maakt jou dat heel makkelijk trackbaar.

Alweer iemand die NIET kan lezen.

In combinatie met een VPN adres wat telkens anders is hoop ik dat er miljoenen mensen gebruik maken van zo'n extit node van mijn VPN provider maar als ik de enige ben is dat ook prima.
13-12-2020, 08:52 door Anoniem
Door Anoniem: Het beste is gewoon zonder al die ad- en tracking apps alles te accepteren in een sandbox of docker container en telkens een maagdelijke browser te starten. Geen tacking, geen historie gen cookies niks nada noppes, zeker in combinatie met een VPN adres wat telens anders is helemaal top.
En dan nog heb je een unieke fingerprint.

Klein proefje: ik heb drie verschillende browsers (Firefox, Chromium en Falkon) in firejail met de optie --private opgestart, wat neerkomt op een maagdelijke browseromgeving met initiële instellingen, en ze alle drie met https://coveryourtracks.eff.org/ laten testen.

De resultaten: één in 164400.0, één in 164402.0 en één in 164402.5 browsers van de "honderdduizenden" uit de laatste 45 dagen hadden dezelfde fingerprint.

Voor drie verschillende browsers liggen die waarden opmerkelijk dicht bij elkaar. Ik denk dat dat alleen verklaarbaar is als de resultaten domweg uniek waren in de laatste 45 dagen en die ruim 164000 het aantal gefingerprinte browsers was. Misschien dat die 5 achter de decimale punt in de laatste meting weerspiegelt dat ik de test in Falkon startte toen die in Chromium nog liep, en dat ze lopende tests half meetellen in het totaal.

Uitgesplitst zijn de afzonderlijke eigenschappen waarnaar gekeken wordt een stuk minder zeldzaam (met uitzondering van een paar in Falkon, maar die browser wordt zelf maar weinig gebruikt), maar zelfs met defaultinstellingen zijn browsers dus nog vergaand te fingerprinten.

Opvallend detail: het platform "Linux x86_64" komt bij 1 op de 7.53 geteste browsers voor. Dat is aanzienlijk hoger dan de schattingen voor gebruiksaandeel van Linux. Dat zal vermoedelijk aangeven dat Linux-gebruikers gemiddeld aanzienlijk actiever op hun privacy letten dan gebruikers van andere platforms. Daarmee zijn de gebruikers van die website geen representatieve weergave van hoe de verhoudingen werkelijk liggen.

Het beeld dat ik ervan krijg is dat fingerprinting sowieso moeilijk te voorkomen is, of je het nou probeert of niet. Dat bevestigt dat een succesvolle bescherming van privacy hoe dan ook afhangt van discretie, van de bereidheid van partijen die iets te weten komen over iemand om die gegevens niet te gebruiken. Zonder dat zijn de maatregelen die je individueel kan nemen dweilen met de kraan open.

Dat betekent niet dat het allemaal hopeloos is. Het is duidelijk dat de AVG een stevige impact heeft, niet alleen binnen de EU maar ook daarbuiten. Het is voor de meeste bedrijven ondoenlijk om voor elke jurisdictie dingen anders in te regelen, die streven uit efficiëntieoverwegingen naar één systeem dat overal aan de eisen voldoet. Als exploitatie van persoonsgegevens niet het primaire verdienmodel is maar iets wat mooi is meegenomen als bijverdienste dan kan het bestaan van dit soort wetgeving in een deel van de wereld al reden om er maar helemaal van af te zien.

Ook hoopgevend is dat STER bij reklame op websites van de NPO afgestapt is van het profileren van bezoekers, omdat een grote meerderheid in de cookiewall "nee" zei daartegen. In plaats daarvan zijn ze advertenties aan de inhoud van pagina's en video's gaan koppelen, en ze deden de verrassende ontdekking dat dat niet tot minder maar tot meer advertentieinkomsten leidde. Dat is niet onopgemerkt gebleven, internationale nieuwswebsites hebben erover bericht. Het strookt met wat DuckDuckGo al jarenlang benadrukt, ook die koppelen advertenties aan inhoud en zijn winstgevend.

Verder herinner ik me twee onderzoeken naar hoe lukratief het tracken en profileren van bezoekers is met ogenschijnlijk tegenstrijdige resultaten: het een gaf aan dat het lukratief was en het andere dat het eerder kostenverhogend was. Het verschil zat hem in het perspectief van de onderzoeken: het was lukratief voor de advertentieplatforms (Google, Facebook, advertentienetwerken) maar niet voor de individuele adverteerders, die hadden er geen voordeel bij. Dat strookt met de ervaringen van STER en DuckDuckGo. Ik heb helaas geen links naar die onderzoeken bewaard en kon ze een poosje terug zelf al niet terugvinden, maar dit is wat me ervan is bijgebleven.

Wat ik hoop is dat die platforms uiteindelijk door de mand vallen, onder druk van de AVG en ervaringen als die van STER. We komen dan hopelijk een werkelijkheid uit waarin veel minder partijen dan nu de behoefte voelen om mensen grootschalig te stalken, simpelweg omdat duidelijk wordt dat het eerder geld kost dan geld oplevert.
14-12-2020, 12:09 door Anoniem
Om te kijken hoe je fingerprinting moet omzeilen kun je ook kijken naar geindustrialiseerde click- lead- en aankoopfraude. Deze fraudeurs, meestal clickfarms in 3e wereld landen die via VPNs en residential proxies werken, maken gebruik van speciale browsers die gebaseerd zijn op de opensource versies van FF en Chromium.

Alle tracking wordt eruit gehaald. Er worden extra opties ingebouwd zoals een identity per tabblad wat betekent dat je een bestaand device emuleert teneinde de fingerprint op te hoesten van dat device zodra het fingerprint JavaScript zn werk heeft gedaan. Een andere mooie optie is dat je per tabblad een VPN kunt instellen, of via TOR, of een combinatie van beide.

Deze browsers hebben zelfs een marktplaats waar je fingerprints per bulk kunt kopen. Automatisering en executie van scripts is ook mogelijk om bulk logins/ posts te doen op social media.

Zoek eens op 'linken sphere' of 'multilogon', deze zijn eenvoudig te koop. Andere varianten zijn op invite only basis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.