Содержание:
  1. Как киберполиция "проверяла уровень доверия" раньше
  2. Что произошло сейчас?
  3. Почему это важно
  4. Зачем скрипты вообще следят за пользователями
  5. Зачем это киберполиции?
  6. Как избежать слежки?

Андрей Баранович, сооснователь сообщества украинских "хактивистов" "Украинский киберальянс", 4 февраля написал о том, что киберполиция проводит "массовую незаконную слежку за пользователями в Украине". По его словам, киберпол выкачивает "отпечатки пользователей" с множества сайтов, в том числе с сайтов украинских университетов и интернет-магазинов. При этом данные уходят на сервер, принадлежащий российской компании.

Как киберполиция "проверяла уровень доверия" раньше

В январе 2020 года, как пишет Баранович, издание "Полтавщина" получило письмо из департамента киберполиции с просьбой установить на их сайте скрипт для слежки за пользователями. Такие скрипты собирают "отпечатки пользователя", которые есть у каждого устройства, – это разные версии браузеров, разрешение экрана, шрифты. "Отпечатки" собираются в библиотеки, такие как FingerprintJS, отмечает Баранович, позволяющие деанонимизировать пользователя, ранее воспользовавшегося VPN.

Киберэксперт приводит такой пример: "Если человек оставил анонимный комментарий через VPN о том, что полиция, вместо того, чтобы ловить мошенников, проводит "контрольные закупки" на OnlyFans, а затем тот же человек заходит без VPN на сайт интернет-магазина, то база отпечатков позволяет деанонимизировать пользователя с большей или меньшей степенью вероятности. Подобная слежка без ордера без сомнения незаконна".

В феврале 2020 года на запрос издания AIN в киберполиции ответили, что использование этих скриптов было проверкой "уровня доверия общества к полиции". В ведомстве пообещали тогда удалить скрипт с официального сайта. Однако, как считает Андрей Баранович, киберполиция продолжила использовать "отпечатки" пользователей. 

Что произошло сейчас?

В декабре 2021 года еще один такой скрипт появился на сайте платежной системы iPay.ua. По словам эксперта, он собирает всю информацию, шифрует ее с помощью библиотеки JSEncrypt и отправляет на сервер. Это "трекер", скрипт, отслеживающий деятельность пользователей. Баранович представил список сайтов, пользователей которых отслеживает этот скрипт. Кроме iPay, это сайты украинских вузов – Запорожского университета, Харьковского университета строительства и архитектуры, Хортицкой национальной академии, а также сайты коммерческих предприятий. 

Конечная точка, куда уходят данные, извлекаемые скриптом, – это сервер российской компании YesHost, которая предоставляет аренду виртуальных серверов. 

Почему это важно

По мнению главы ОО "Электронная демократия" Владимира Фльонца, сервис поиска скриптов не является точным инструментом, поэтому имеющейся информации о сайтах со скриптами недостаточно для того, чтобы делать выводы. Но не менее нескольких десятков ресурсов указывают на организованное действие. Для интернета такое количество – это "почти ничего", для Украины – это единицы процентов пользователей, но все же довольно значимый случай. "Это или какой-то proof of concept, или мы застали самое начало развертывания какой-то большей системы. Или этот скрипт – лишь один из попавшихся доменов и нужно более глубокое расследование", – говорит эксперт.

Наличие вузов в списке сайтов, из которых извлекает информацию скрипт, опасно, считает эксперт. Если на сайте есть электронный кабинет студента, связанный с платежной системой, – данные скрипта могут разрешить расшифровать такую ​​электронную метку до полных паспортных данных. Это слежка в чистом виде, и она все меньше напоминает относительно "безопасный" рекламный трекинг, отмечает Фльонц.

В Гильдии IT-специалистов также считают описанный случай масштабным для Украины. По мнению киберэкспертов Гильдии, скрипты используются киберполицией для деанонимизации пользователей интернета, а опубликованный Андреем Барановичем перечень сайтов, где установлены трекеры, является неполным.

Подписывайтесь на LIGA.Tech в Telegram: только важное

Зачем скрипты вообще следят за пользователями

Для чего используются такие скрипты, Liga.Tech рассказал Владимир Фльонц. По его словам, подобные скрипты, занимающиеся массовым трекингом пользователей, в первую очередь интересны рекламным компаниям. Им важно связать активность в соцсетях с покупками в магазинах – каждая такая успешная связка – это живые деньги, говорит эксперт.

Треккингом также занимаются антифрод-системы в платежных и банковских системах. Их задача – отслеживать потенциальных мошенников с учетом того, что они регулярно чистят cookies и блокируют рекламу. Такой трекинг более сложный, чем тот, который используют рекламные компании.

Третий источник трекинговых скриптов – спецслужбы. "Трекать всех и вся – глупая задача, если ты не рекламщик и твои расходы не окупаются моментально", – отмечает Владимир Фльонц. По его словам, спецслужбы используют такие скрипты, чтобы в случае необходимости "быстрее добраться до своей цели".

По мнению Фльонца, найденные Барановичем трекеры могут использоваться либо платежными системами, либо спецслужбами. По имеющейся информации трудно сказать, кто именно является источником этого отслеживания. При этом круг распространения скрипта не похож ни на антифрод, ни на рекламно-медийную сеть.

Зачем это киберполиции?

Андрей Баранович считает, что российский хостинг был выбран киберполом без учета того, что сервер может быть взломан или скомпрометирован. Эксперт уверяет, что хакеры, которые могут получить доступ к слитым данным, способны использовать их, к примеру, для атаки на цепочки поставок. Таким способом была совершена крупная кибератака на сайты украинских ведомств в январе.

Специалист считает, что полиция изначально не намеревалась "сливать" куда-либо данные. Использование скриптов может быть способом деанонимизации псевдоминеров, которые отсылают письма с угрозами через прокси-сервер. Но это, подчеркивает Баранович, недостаточно точный и совершенно незаконный метод. 

Liga.Tech отправила запрос в киберполицию 7 февраля. Там нам сообщили, что ответ будет предоставлен в течение 30 дней (согласно законодательству, это максимальный срок ответа на запрос частных лиц, но не СМИ). Мы обязательно опубликуем ответ позже.

Как избежать слежки?

Андрей Баранович ("Украинский киберальянс") поделился также инструкцией, как сохранить приватность в интернете и не стать жертвой скриптов-трекеров.

Пользователям стоит отказаться от DNS-серверов провайдера. В Windows это делается через панель сетевых подключений. В свойствах подключения следует указать 1.1.1.1, 8.8.8.8 или 9.9.9.9. Можно также воспользоваться сервисом OpenDNS и при этом включить в настройках браузера технологии DoH/DoT, отключить плагины Java, Flash и Silverlight, если они установлены.

Следующий шаг – проверка "отпечатков" на сайте https://browserleaks.com/. Для того, чтобы скрыть реальный IP-адрес, можно воспользоваться VPN. Сейчас можно найти множество платных и бесплатных VPN-сервисов.

Читайте также
Хакеры смогли взломать 70 правительственных сайтов, в том числе "Дии". Как это получилось?
кибербезопасностькиберполиция