Кіберполіцію звинуватили у стеженні за українцями. Запитали в експертів, що це може бути
Андрій Баранович, співзасновник спільноти українських "хактивістів" "Український кіберальянс", 4 лютого написав про те, що кіберполіція проводить "масове незаконне стеження за користувачами в Україні". За його словами, кіберпол викачує "відбитки користувачів" з багатьох сайтів, зокрема, з сайтів українських університетів та інтернет-магазинів. Водночас дані йдуть на сервер, що належить російській компанії.
Як кіберполіція "перевіряла рівень довіри" раніше
У січні 2020 року, як пише Баранович, видання "Полтавщина" отримало листа з департаменту кіберполіції з проханням встановити на їхньому сайті скрипт для стеження за користувачами. Такі скрипти збирають "відбитки користувача", які є у кожного пристрою, – це різні версії браузерів, роздільна здатність екрану, шрифти. "Відбитки" збираються до бібліотек, таких як FingerprintJS, зазначає Баранович, що дозволяють деанонімізувати користувача, який раніше скористався VPN.
Кіберексперт наводить такий приклад: "Якщо людина залишила анонімний коментар через VPN про те, що поліція замість того, щоби ловити шахраїв, проводить "контрольні закупівлі" на OnlyFans, а потім та сама людина заходить без VPN на сайт інтернет-магазину, то база відбитків дозволяє деанонімізувати користувача з більшим або меншим ступенем імовірності.
У лютому 2020 року на запит видання AIN у кіберполіції відповіли, що використання цих скриптів було перевіркою "рівня довіри суспільства до поліції". У кіберполі пообіцяли тоді видалити скрипт із офіційного сайту. Проте, як вважає Андрій Баранович, кіберполіція продовжила використовувати "відбитки" користувачів.
Що сталося зараз?
У грудні 2021 року ще один такий скрипт з'явився на сайті платіжної системи iPay.ua. За словами експерта, він збирає всю інформацію, шифрує її за допомогою бібліотеки JSEncrypt та відправляє на сервер. Це "трекер", скрипт, який відстежує діяльність користувачів. Баранович назвав список сайтів, користувачів яких відстежує цей скрипт. Окрім iPay, це сайти українських вишів – Запорізького університету, Харківського університету будівництва та архітектури, Хортицької національної академії, а також сайти комерційних підприємств.
Кінцева точка, куди йдуть дані, які отримує скрипт, – це сервер російської компанії YesHost, яка надає оренду віртуальних серверів.
Чому це важливо
На думку голови ГО "Електронна демократія" Володимира Фльонца, сервіс пошуку скриптів не є точним інструментом, тому наявної інформації про сайти зі скриптами недостатньо для того, щоби робити висновки. Але щонайменше кілька десятків ресурсів вказують на організовану дію. Для інтернету така кількість – це "майже нічого", для України – це одиниці відсотків користувачів, але все ж є доволі серйозним випадком. "Це або якийсь proof of concept, або ми застали самий початок розгортання якоїсь більшої системи. Або цей скрипт – лише один з доменів, на який натрапили, і потрібно більш глибоке розслідування", – каже експерт.
Наявність вишів у списку сайтів, з яких витягує інформацію скрипт, небезпечне, вважає експерт. Якщо на сайті є електронний кабінет студента, пов'язаний із платіжною системою, дані скрипту можуть дозволити розшифрувати таку електронну мітку до повних паспортних даних. Це стеження у чистому вигляді, і воно дедалі менше нагадує доволі "безпечний" рекламний трекінг, зазначає Фльонц.
У Гільдії IT-фахівців також вважають описаний випадок масштабним для України. На думку кіберекспертів Гільдії, скрипти використовуються кіберполіцією для деанонімізації користувачів інтернету, а опублікований Андрієм Барановичем перелік сайтів, де встановлені трекери, є неповним.
Підписуйтесь на LIGA.Tech у Telegram: тільки важливе
Навіщо скрипти взагалі стежать за користувачами
Для чого використовуються такі скрипти, Liga.Tech розповів Володимир Фльонц. За його словами, подібні скрипти, які займаються масовим трекінгом користувачів, насамперед цікаві рекламним компаніям. Їм важливо пов'язати активність у соцмережах із покупками в магазинах – кожна така успішна зв'язка – це живі гроші, каже експерт.
Трекінгом також займаються антифрод-системи у платіжних та банківських системах. Їхнє завдання – відслідковувати потенційних шахраїв з урахуванням того, що вони регулярно чистять cookies та блокують рекламу. Такий трекінг складніший, ніж той, який використовують рекламні компанії.
Третє джерело трекінгових скриптів – спецслужби. "Трекати всіх і все – дурне завдання, якщо ти не рекламник і твої витрати не окуповуються моментально", – зазначає Володимир Фльонц. За його словами, спецслужби використовують такі скрипти, щоб у разі потреби "швидше дістатися своєї цілі".
На думку Фльонця, знайдені Барановичем трекери можуть використовуватись або платіжними системами, або спецслужбами. За наявною інформацією важко сказати, хто є джерелом цього відстеження. Водночас коло поширення скрипту не схоже ні на антифрод, ні на рекламно-медійну мережу.
Навіщо це кіберполіції?
Андрій Баранович вважає, що російський хостинг був обраний кіберполом без урахування того, що сервер може бути зламаний чи скомпрометований. Експерт запевняє, що хакери, які можуть отримати доступ до злитих даних, здатні використовувати їх, наприклад, для атаки на ланцюжки постачань. У такий спосіб було здійснено велику кібератаку на сайти українських відомств у січні.
Фахівець вважає, що поліція спочатку не мала наміру "зливати" кудись дані. Використання скриптів може бути способом деанонімізації псевдомінерів, які надсилають листи з погрозами через проксі-сервер. Але цей метод, наголошує Баранович, є незаконним та недостатньо точним.
Liga.Tech надіслала запит до кіберполіції 7 лютого. Там нам відповіли, що відповідь нададуть упродовж 30 днів (згідно із законодавством, це максимальній термін для відповіді на запит приватних осіб, але не ЗМІ). Ми обов'язково опублікуємо її пізніше.
Як уникнути стеження?
Андрій Баранович ("Український кіберальянс") поділився також інструкцією, як зберегти приватність в інтернеті та не стати жертвою скриптів-трекерів.
Користувачам варто відмовитись від DNS-серверів провайдера. У Windows це робиться через панель підключення до мережі. У властивостях підключення слід зазначити 1.1.1.1, 8.8.8.8 або 9.9.9.9. Можна також скористатися сервісом OpenDNS і одночасно увімкнути в налаштуваннях браузера технології DoH/DoT, відключити плагіни Java, Flash та Silverlight, якщо вони встановлені.
Наступний крок – перевірка "відбитків" на сайті https://browserleaks.com/. Для того, щоби приховати реальну IP-адресу, можна скористатися VPN. Зараз можна знайти безліч платних та безкоштовних VPN-сервісів.