1 Supercookie
Supercookie【1】是几项如前所述favicon重要信息的开放源码追踪技术,紧密结合应用程序人脸重要信息,能加速构筑应用程序追踪标注符,同时实现路子绝妙。责任编辑对其同时实现基本原理及形式进行分析研究。
1.1 同时实现监督机制
favicon是三个小的(一般来说是16×16或32×32画素)logo,由web应用程序采用,以可辨识的形式记号中文网站。绝大多数应用程序一般来说在网页和记事本条目中的网页中文名称旁表明favicon。为的是在他们的中文网站上提供favicon,开发人员必须在网页的副标题中包涵优点。假如此记号的确存有,则应用程序会从原订义源允诺工具栏,假如伺服器积极响应包涵可以恰当呈现出的有效率工具栏文档,则应用程序会表明此工具栏。在任何其他情况下,单厢表明三个盲点的favicon。
为的是使应用程序能够很难地出访这些机能。favicon被内存有系统上三个原则上的邻近地区资料库中,称为favicon内存(F-cache)。F-Cache数据项主要包括出访的URL(并集、域、路由器、URL模块)、favicon ID和存活时间(TTL)。【相同应用程序有相同同时实现】
如前所述前述基本原理,Supercookie利用应用程序内存的favicon重要信息,结构设计了两套应用程序的追踪方案:紧密结合应用程序优点,当应用程序允诺三个网页时,假如favicon无此邻近地区F-cache中,则会对favicon收到另三个允诺;假如该工具栏已存有于F-Cache中,则不推送进一步的允诺。通过对某一URL是否推送favicon允诺,排序出应用程序惟一的URL号。
1.2 同时实现业务流程
Supercookie同时实现主要主要包括三个关键步骤:写(Write)、读(Read)。
1.2.1 写(Write)
当使用者采用应用程序第二次访问XDMCP,服务项目侧将调用三个表达式,分别是:
路由器重要信息[/a, /b, /c, /d],则表示五个URL文档门牌号
ID,应用程序辨识符,比如10,十进制则表示为1010
由前述重要信息排序出出访矢量,即[/a, /b]。
图1 写业务流程
/a
/b
/c
伺服器在进行积极响应时,针对ID中标识位为1的允诺,反馈Status 200重要信息;针对ID标识位为0的允诺,返回404 Error notfound允诺。具体重要信息可参考图1。
1.2.2 读(Read)
读的目标是根据返回的使用者的现有F-Cache条目重新辨识该使用者。
在读取模式下,伺服器总是以错误404 Not Found状态积极响应favicon允诺,但正常积极响应所有其他允诺。这将在读取操作期间保留内存favicon的完整性,因为应用程序不会创建新的F-cache条目。
在读的过程中,应用程序将遍历所有
已出访门牌号visitedRoutes
未出访到favicon的门牌号[/b, /c]
如前所述前述重要信息,流量器将排序出对应身份编码:1010,具体可参考图2。
图2 读业务流程
2 计划分析
2.1 测试结果
自测(版本、操作系统覆盖面较小)应用程序/操作
项目反馈
2.2 同时实现分析
Supercookie计划路子较为新颖,在溯源同时实现中处于一定的领先位置,但计划同时实现上,对于应用程序的同时实现监督机制有较大依赖(实际测试过程中,也发现在溯源上有局限性),存有后续主流应用程序针对前述计划进行修复的可能性。
大家都知道cookie规范是为的是给HTTP增加状态追踪用的(假如要精确把握,建议仔细阅读一下相关的RFC),那么前述机能也能用cookie来同时实现。相比Supercookie计划,两者存有哪些差异?
从前述比较看,应用程序将其他邻近地区存储和内存与匿名模式完全隔离,而favicon内存则不是这样,它允许攻击者在匿名模式下追踪使用者,Supercookie在匿名模式支持上有较大优势,但其同时实现监督机制不够成熟,部分应用程序不支持Supercookie。
2.3 思考
技术是一把双刃剑,应用得当可以造福社会。从蓝队溯源角度来看,攻击者对Supercookie监督机制不熟悉,也不易察觉这种追踪手段,能为攻击溯源提供另一种维度的数据支撑;从个人使用者角度看,匿名模式不再那么“匿名”,阶段性清除cookie+网页数据,可以有效率破解此类追踪威胁。
3 相关计划简述
除了Supercookie,还有研究者提出了多种应用程序追踪计划,主要分为以下几类【2】:
1) 在线追踪
胁以及追踪和关联相同中文网站使用者活动,这些技术可以分为有状态追踪技术和无状态追踪技术。
最早的几项关于追踪的研究同时实现了第三方收集的重要信息类型以及如何辨识使用者。而Lerner等人则对追踪技术进行了纵向探索。Olejnik等人研究了“cookie syncing”,这是一种通过同步cookie为第三方提供使用者浏览历史更完整视图的技术。Englehardt和Narayanan进行了大规模的测量研究,以量化有状态和无状态追踪以及cookie同步的采用。许多研究也提出了阻塞追踪器的技术。另一方面,责任编辑展示了一种允许中文网站重新辨识使用者的新技术。从概念上讲,Supercookie计划更接近于“evercookies”–Acar等人调查了它们的流行率以及cookie再繁殖与cookie同步相紧密结合的效果。HSTS监督机制也被滥用来创建追踪URL。Klein和Pinkas最近展示了一种新技术,它通过创建一组独特的DNS记录来追踪使用者,与supercookie具有类似的追踪优势,它也可以在同一台机器上跨应用程序工作。但是,由于存根解析程序内存DNS记录的生命周期有限(在几个小时到一周之间),因此它们的攻击不是长期的,而favicons可以内存一整年。
2) 应用程序人脸
虽然有状态技术允许中文网站惟一地辨识出访其中文网站的使用者,但一般来说更难通过清除应用程序的状态来回避。这导致了利用应用程序人脸技术的无状态方法的出现。Nikiforakis等人调查了流行追踪器采用的各种人脸技术,并测量了它们在网络上的采用情况。Acar等人提出了FPDetective,一种通过辨识和分析某一事件(如字体加载或出访某一应用程序优点)来检测人脸的框架。此外,Cao等人提出了一种人脸辨识技术,该技术利用操作系统和硬件级别的优点来同时实现使用者在同一台机器上跨相同应用程序的追踪。最近,Vastel等结构设计了FP-STALKER,三个监控应用程序人脸随时间演化的系统,发现人脸的演化很大程度上取决于设备的类型和利用率。其他防御措施还主要包括随机化技术和不确定性人脸。
3) 如前所述Cache攻击
先前的研究广泛探讨了由于应用程序对相同资源的内存策略而产生的安全和隐私问题,一般来说侧重于历史嗅探。Nguyen等人通过构筑三个新的内存测试工具,对应用程序内存行为进行了广泛的调查。Bansal等人采用web workers和内存计时攻击扩展了历史嗅探攻击。在类似的方向上,Jia等人利用应用程序的内存来推断使用者浏览历史中存储的地理位置重要信息。
4) 如前所述Favicons
没有受到搜索社区的严格审查。在最早的几项研究中,耿等人采用favicons成功区分了恶意中文网站和良性中文网站。他们的方法具有很高的准确度,这项工作是第二次评估和表征favicon在野外的采用情况。Chiew等人也提出了采用Favicon来检测钓鱼网页。最后,favicons还被用作其他类型攻击的一部分,比如中间人攻击,推断使用者是否登录到某些中文网站,分发恶意软件或秘密共享僵尸网络命令和控制门牌号。
跨境电商首要的就是账号防关联,假如设备不够,可以采用水鸟人脸应用程序创建独立环境,每个环境就相当于一台独立电脑设备。这也是目前主流的操作模式,极大提高防关联系数!
水鸟应用程序的前身是国内著名的黑客组织“绿色B团”的内部工具,属于黑客级别的应用程序。“水鸟应用程序”结构设计的初衷,是给黑客做高匿用的,而不是给“低级”的亚马逊测评或者店铺防关联,但其实市场上顶尖的亚马逊测评系统单厢用水鸟应用程序。
说它是黑客级别,并不是应用程序本身具有“盗”号机能,而是这款应用程序能自己配置的模块维度高达三四十个,能给到使用者非常高级别的“匿名”(伪装)机能。
水鸟防关联人脸浏览器(水鸟应用程序官网:防关联超级人脸应用程序系统工具) 是一款运用模拟应用程序硬件配置文档代替若干电脑的多任务应用程序,同时实现应用程序人脸防护机能,每个应用程序文档的Cookies、邻近地区存储和其他内存文档将被完全隔离,应用程序配置文档之间完全独立,无法相互出访。
多个惟一人脸应用程序,每个人脸应用程序都是相互隔离的。可以理解为每个应用程序配置文档就是相同的电脑,再紧密结合切换相同 IP,就是相同地区相同的电脑。
水鸟人脸浏览器(mbbrowser.com)
水鸟人脸应用程序(水鸟应用程序官网:防关联超级人脸应用程序系统工具) 的工作基本原理
水鸟人脸应用程序如前所述Chromium,除了设置代理 -IP,还可以修改基础的人脸重要信息UA、时区、语言、GEO、分辨率、字体等等。
水鸟反人脸应用程序(Facebook,amazon,ebay,wish)专用应用程序。
管理: 指的是能批量管理网络帐号,支持 Cookie 导入/导出,帐号免登陆,多人分享协作。
防关联: 指每个应用程序配置环境独立分开,每个应用程序文档的 Cookies、邻近地区存储和其他缓存文 件将被完全隔离,应用程序配置文档之间无法相互泄漏重要信息,防止因应用程序人脸相同而网 络帐号出现关联情况。
模拟硬件人脸: 通过相同配置的设置,比如 IP、时区、设备硬件人脸重要信息等来模拟出目标地区和设备硬 件的机能,来同时实现批量注册、批量登陆、批量多开养号等操作。
为什么人脸应用程序还要考虑 I P,这又是怎么一回事呢?
比如通过水鸟超级应用程序伪装出 1000 个邻近地区配置环境,那么这 1000 个邻近地区配置环境要对应上 1000 个相同的 I P 环境。换句话说,假如 1000 个邻近地区配置环境,对应的都是同三个 IP,那么各个跨境电商平台的 AWS 就会检出这 1000 个邻近地区配置环境产生“关联”,并被列入黑名单。