Einführung in digitale Fingerabdrücke: Online-Tracking verstehen, manipulieren und sich dagegen wehren

Überblick

Beim digitalen Fingerabdruck handelt es sich um eine Technik zur Identifizierung von Benutzern auf verschiedenen Websites anhand ihrer einzigartigen Geräte- und Browsereigenschaften. Diese Merkmale – Fingerabdruckparameter – können verschiedene Software, Hardware (CPU, RAM, GPU, Mediengeräte – Kameras, Mikrofone, Lautsprecher), Standort, Zeitzone, IP, Bildschirmgröße/-auflösung, Browser-/Betriebssystemsprachen, Netzwerk, Internetanbieter umfassen -bezogene und andere Attribute.

Durch die Kombination dieser Parameter entsteht eine eindeutige Kennung – der Fingerabdruck –, der zur Verfolgung der Online-Aktivitäten eines Benutzers verwendet werden kann. Fingerabdrücke spielen eine entscheidende Rolle für die Online-Sicherheit und ermöglichen es Diensten, einzelne Benutzer zu identifizieren und zu authentifizieren. Sie ermöglichen es Benutzern auch, solche Systeme auszutricksen, um online anonym zu bleiben. Wenn Sie jedoch Ihre Fingerabdrücke manipulieren können, können Sie Dutzende oder Hunderte oder mehr verschiedene Konten betreiben, um vorzutäuschen, dass es sich um einzigartige, authentische Benutzer handelt. Auch wenn das vielleicht cool klingt, hat es schwerwiegende Folgen, da es die Schaffung einer Armee von Bots ermöglichen kann, die Spam und Fälschungen im gesamten Internet verbreiten können, was möglicherweise zu betrügerischen Aktionen führt.

Hinweis: Natürlich werde ich hier nicht darauf eingehen, wie man „schlechte“ Dinge tun kann; Sie müssen immer vorsichtig sein, sich von der „dunklen Seite“ fernhalten und illegale Handlungen vermeiden. In diesem Artikel geht es um die Technologie dahinter, also nutzen Sie die Informationen mit Bedacht.

Dies ist der erste (und vielleicht nicht der letzte) Artikel in diesem Bereich, daher handelt es sich eher um einen Überblick. Der Inhalt bietet einen Einstieg in das Thema. Es gibt Dutzende Tools und Möglichkeiten, Fingerabdrücke zu erkennen, zu sammeln und zu fälschen, und es gibt viele verschiedene Parameter und Technologien, die Ihre wahre Identität oder die Tatsache, dass Sie Fingerabdrücke fälschen (was bedeutet, dass Sie kein authentischer Benutzer sind), offenbaren oder verbergen können ).

Parameter in digitalen Fingerabdrücken

Betrachten wir einige davon, einige Beispiele für offensichtliche, einfache oder bekannte Parameter, andere, die seltener, weniger bekannt und schwer zu fälschen sind.

• User-Agent: Diese Zeichenfolge liefert Informationen über den Browser, das Betriebssystem und das Gerät des Benutzers.
• IP: Zeigt das Netzwerk und den geografischen Standort des Benutzers an. Dienste verwenden IP-Adressen aus Sicherheitsgründen und zur Verhinderung böswilliger Aktivitäten. Wenn Sie ein Konto von verschiedenen IP-Adressen oder viele verschiedene Konten von derselben IP-Adresse verwenden, kann es sein, dass einige Dienste diese Aktivität (in Kombination mit anderen Parametern) als verdächtig einstufen und ein gewisses Maß an Bot-Schutz gegen Sie verwenden. Dies kann auch ausgelöst werden, wenn Sie IPs verwenden, die bereits verwendet werden oder sich in einer Art Verbotsliste (Proxys) befinden.
• Browser-Plugins und -Erweiterungen: Informationen über installierte Plugins und Erweiterungen können zur Erstellung eines eindeutigen Fingerabdrucks verwendet werden – er hilft bei der Identifizierung von Benutzern anhand der zusätzlichen Funktionalitäten ihres Browsers.
• Bildschirmauflösung und Farbtiefe: Unterschiedliche Benutzer haben oft unterschiedliche Anzeigeeigenschaften.
• Zeitzonen- und Spracheinstellungen: Dies sind wichtige Faktoren beim Fingerabdruck. Wenn Sie zufällige Werte haben, z. B. die japanische Zeitzone und die norwegische Sprache, ist dies etwas ungewöhnlich.
• Canvas: Hierbei handelt es sich um das Rendern versteckter Grafiken im Browser des Benutzers, um Informationen über die Grafikhardware zu sammeln. Eine ziemlich knifflige Angelegenheit, denn wenn Sie Ihre Hardwareinformationen fälschen, können Sie nicht den richtigen Canvas-Wert haben – Sie können ihn nicht auf Ihrer anderen echten Hardware rendern.
• WebGL-Fingerprinting: Es nutzt die einzigartigen Fähigkeiten und Einschränkungen der Grafikhardware des Benutzers beim Rendern von 3D-Grafiken aus – zusätzliche Informationen über das Gerät des Benutzers.
• Schriftarten: Die Liste der auf dem System eines Benutzers installierten Schriftarten kann als Fingerabdruckparameter verwendet werden. Auf diese Informationen kann über JavaScript zugegriffen werden. Die Liste der Schriftarten muss realistisch sein – Sie können also beispielsweise keine Win-Schriftarten auf macOS haben oder Sie können nicht nur 1 oder 2 Schriftarten haben, das ist ein sehr verdächtiger Indikator.
• Batteriestatus-API: Damit können Websites den Batteriestand und den Ladestatus des Geräts ermitteln. Die Kombination der Batterieattribute kann für die Fingerabdruckerkennung verwendet werden.
• Audio-Fingerprinting: Websites können die Web-Audio-API verwenden, um einzigartige Audio-Fingerprints zu generieren, indem sie die Audioverarbeitungseigenschaften des Geräts analysieren.
• Hardware-Parallelität: Diese Informationen umfassen Details zu den Software- und Hardwarekomponenten des Geräts, wie z. B. Grafikkarte, Netzwerkadapter und Betriebssystem. Dies trägt zur Einzigartigkeit des Fingerabdrucks bei.
• Netzwerkinformationen: Zu diesen Informationen gehören Details zur Netzwerkverbindung, z. B. IP-Adresse, ISP und DNS-Server.
• Offene und verwendete Ports: Einige Benutzer verwenden möglicherweise Software, die bestimmte Ports abhört, was in bestimmten Fällen ebenfalls nützlich sein kann.

Inkognito im Web navigieren

Die Manipulation digitaler Fingerabdrücke ist eine schwierige Aufgabe, die einen proaktiven Ansatz erfordert, um einer Entdeckung zu entgehen. Es gibt viele Strategien und Werkzeuge, um Ihre Identität (Fingerabdrücke) zu verbergen oder so zu tun, als wären Sie jemand anderes.

Verwenden Sie datenschutzorientierte Browser

Die Entscheidung für datenschutzorientierte Browser wie Brave, Ghostery, Tor, Octo Browser oder Vivaldi mit erweiterten Datenschutzeinstellungen bietet einen grundlegenden Schutz gegen gängige Fingerabdrucktechniken. Diese Browser legen großen Wert auf die Privatsphäre der Benutzer und verfügen über Funktionen, die Ihre echten Fingerabdrücke verbergen und so die Nachverfolgung Ihrer Aktivitäten erschweren. Beispielsweise leitet der Tor-Browser, der auf den Prinzipien der Anonymität basiert, den Internetverkehr über das Tor-Netzwerk. Dieses strategische Routing verschleiert die Identität des Benutzers, indem Verbindungen über eine Reihe von freiwillig betriebenen Servern weitergeleitet werden, wodurch die allgemeine Online-Anonymität verbessert wird.

Browsererweiterungen

Datenschutzorientierte Browsererweiterungen, darunter AdBlock, uBlock Origin, Privacy Badger oder CanvasBlocker, könnten ein aktiver Schutz gegen Tracking-Skripte, Cookies und Fingerabdruckversuche sein. Diese Tools arbeiten im Hintergrund und schützen und wahren die Anonymität der Benutzer.

VPN und Proxys

Die Verwendung von VPNs oder Proxy-Diensten bietet eine zusätzliche Schutzebene, indem die tatsächlichen IP-Adressen des Benutzers (Standort, Zeitzone, Sprache usw.) maskiert und der Internetverkehr verschlüsselt werden. Dies dient nicht nur der Änderung Ihrer Fingerabdrücke, sondern auch der Gewährleistung einer anonymeren Online-Präsenz und eines höheren Sicherheitsniveaus.

Beweggründe hinter Fingerabdruck-Spoofing

Das Warum verstehen

Datenschutz: Personen, denen die Privatsphäre und die zunehmende digitale Überwachung am Herzen liegen, fälschen häufig Fingerabdrücke, um sich vor gnadenloser Online-Verfolgung zu schützen.

Geo-Beschränkungen: Spoofing-Fingerabdrücke erweisen sich als nützlich, um geografische Beschränkungen zu umgehen und Benutzern den Zugriff auf Inhalte zu ermöglichen, die auf bestimmte Regionen beschränkt sind. VPN- und Proxy-Dienste spielen hier eine entscheidende Rolle, indem sie nicht nur die Identität des Benutzers verbergen, sondern auch Zugriff auf Server an verschiedenen geografischen Standorten ermöglichen.

Werbung: Der Verzicht auf gezielte Werbung und Online-Profiling ist für Einzelpersonen ein überzeugendes Motiv, ihre digitalen Fingerabdrücke zu manipulieren. Einige Tools können Tracking-Skripte und Cookies von Drittanbietern blockieren und so den Profilerstellungsprozess stören.

Strategische Anforderungen im digitalen Bereich, Bot-Erkennung und Schutzsysteme: Web Scraping, Multi-Accounting, E-Commerce, Bounty & Airdrop, Bonusjagd, Bots in sozialen Netzwerken und Affiliate-Marketing sind häufig Einnahmequellen oder Stützpunkte für mittlere Unternehmen. Digitale Agenturen, Einzelpersonen und Influencer, die an diesen Aktivitäten beteiligt sind, benötigen möglicherweise Fingerabdruck-Spoofing, um durch komplizierte Bot-Erkennungssysteme zu navigieren. Für einige Dienste ist es von entscheidender Bedeutung, eine Erkennung zu vermeiden, um sicherzustellen, dass legitime Aktivitäten nicht fälschlicherweise gekennzeichnet oder eingeschränkt werden (obwohl solche Aktivitäten und Konten häufig nicht wirklich legitim sind, sondern nur so tun, als wären sie legitim). Zu den beliebtesten Tools gehören Multilogin, X-Browser, Octo Browser, AdsPower, Incogniton, Scrapy, Surfsky, Web Scraper.io, ScrappingBee usw.

Sammeln von Fingerabdrücken von Benutzern

JavaScript: Websites verwenden (offensichtlich) JS, um Details über Benutzer zu sammeln und umfassende digitale Porträts zu erstellen. Dazu gehört die Prüfung der Bildschirmauflösung, der Geräteausrichtung, der Mausbewegungen, der Tastendynamik usw. Ausgeklügelte Fingerabdruckskripte zählen eine Vielzahl von Browser- und Hardwareattributen auf.

Cookies und lokaler Speicher: Permanente Cookies und im lokalen Speicher gespeicherte Daten dienen dazu, Benutzer über Sitzungen und Plattformen hinweg zu verfolgen. Zu den Techniken gehören die Nutzung von Browser-Cookies und die Speicherung eindeutiger Kennungen zur Benutzerverfolgung. Abhängig von Ihren Zwecken müssen Sie wissen, wann Sie einen „leeren“ Browser mit eindeutigen Fingerabdrücken benötigen oder wann Sie einen Dienst austricksen müssen, der zeigt, dass Sie über bestimmte Cookies und dieselben Fingerabdrücke verfügen.

Skripte von Drittanbietern: Durch die Einbeziehung von Skripten von Drittanbietern für Analysen und Werbung werden unsichtbare Tracker eingebettet, die häufig dazu verwendet werden, das Systemverhalten für einen bestimmten Benutzer basierend auf gesammelten Fingerabdrücken anzupassen. Sie können die oben genannten Tools und Ansätze verwenden, um solche Skripte gezielt zu blockieren oder auszutricksen, um das erforderliche Verhalten zu erzielen.

Verstehen Sie Ihre Online-Identität

Online-Checker: Panopticlick (EFF), Pixelscan, deviceinfo.me und BrowserLeaks zeigen die Fingerabdruckparameter Ihres Browsers wie User-Agent, Canvas-Fingerprinting, Schriftarten usw. Diese Checker bieten Einblicke in die Einzigartigkeit und Stabilität Ihres digitalen Fingerabdrucks bei verschiedenen Browseraktivitäten Sitzungen.

Browser-Entwicklertools: Sie ermöglichen Benutzern die Überprüfung von Netzwerkanfragen, Cookies und anderen Fingerabdruckparametern und fördern so ein tieferes Verständnis ihres digitalen Abdrucks und der Art und Weise, wie Websites Bots und eindeutige legitime Benutzer erkennen und Fingerabdrücke sammeln. Die Untersuchung der Registerkarten „Netzwerk“ und „Anwendung“ in Browsern bietet eine Echtzeitansicht der zwischen Browser, Websites und Servern ausgetauschten Daten.

Hier sind einige Beispiele, wie Sie Informationen über die Fingerabdrücke von Benutzern im Browser erhalten können.

• GEO:

 navigator.geolocation.getCurrentPosition(function(position) { var userLocation = position.coords; });

• Mikrofon:

 navigator.mediaDevices.enumerateDevices() .then(function(devices) { var microphones = devices.filter(device => device.kind === 'audioinput'); });

• Kamera:

 navigator.mediaDevices.enumerateDevices() .then(function(devices) { var cameras = devices.filter(device => device.kind === 'videoinput'); });

• Lautsprecher:

 navigator.mediaDevices.enumerateDevices() .then(function(devices) { var speakers = devices.filter(device => device.kind === 'audiooutput'); });

• Audio:

 var audioContext = new (window.AudioContext || window.webkitAudioContext)(); var oscillator = audioContext.createOscillator(); var analyser = audioContext.createAnalyser(); oscillator.connect(analyser); analyser.connect(audioContext.destination);

• GPU:

 var canvas = document.createElement('canvas'); var gl = canvas.getContext('webgl') || canvas.getContext('experimental-webgl'); var renderer = gl.getParameter(gl.RENDERER); console.log(renderer);

• Schriftarten:

 var fonts = []; var fontList = document.fonts.forEach(function(font) { fonts.push(font.family); }); console.log(fonts);

• Canvas (Hashing):

 var canvas = document.createElement('canvas'); var context = canvas.getContext('2d'); var dataURL = canvas.toDataURL(); var canvasHash = MurmurHash3(dataURL); console.log(canvasHash);

• RAM und CPU:

 function getCPUInfo() { return navigator.hardwareConcurrency || 0; } function getDeviceMemory() { return navigator.deviceMemory || 0; } var cpuInfo = getCPUInfo(); var deviceMemory = getDeviceMemory(); console.log(`CPU Cores: ${cpuInfo}`); console.log(`Device Memory (GB): ${deviceMemory}`);

Bot-Erkennungssysteme: Abwehr von Automatisierung

Ein paar Beispiele für solche Systeme:

• Distil Networks: Es ist ein weltweit führender Anbieter von Bot-Erkennung und -Abwehr. Es bietet eine proaktive und präzise Möglichkeit, zu überprüfen, ob legitime menschliche Benutzer auf Ihre Website, mobile App und APIs zugreifen. Bot-Erkennung: Distil Networks verwendet eine Kombination von Techniken zur Erkennung von Bots. Es untersucht eine Reihe von Variablen wie Cursorbewegungen, Klickmuster und Webbrowsermuster auf anderen Websites. Es verwendet Gerätefingerabdrücke und die Are You a Human-Technologie , die alle Besucher anhand von Hunderten verschiedener Merkmale überprüft und sich dabei auf ihr Verhalten konzentriert. Es ruft aktiv zusätzliche Daten aus dem Browser ab, um Geräte präzise zu identifizieren. Wenn eine Browseranfrage eingeht, fragt Distil die Header ab, um festzustellen, ob der Besucher über seine Identität lügt. Diese eindeutige Kennung kann zur vollständigen oder teilweisen Identifizierung einzelner Geräte verwendet werden, auch wenn Cookies nicht im Browser gelesen oder gespeichert werden können, die IP-Adresse des Clients verborgen ist oder man auf demselben Gerät zu einem anderen Browser wechselt. Es nutzt maschinelles Lernen, um biometrische Muster in der Mausaktivität und beim Scrollen zu erkennen und sucht außerdem nach Hinweisen in Browsern, Geräten und anderen Faktoren. Es kann viele Bots einfacher oder mittlerer Komplexität erkennen, die JS von einer Webseite aus ausführen. Ressourcenschutz: Distil Networks schützt vor Web Scraping, konkurrierendem Data Mining, Kontoübernahmen, Transaktionsbetrug, unbefugten Schwachstellenscans, Spam, Klickbetrug, Denial of Service und API-Missbrauch. Es kann 99,9 % des böswilligen Datenverkehrs automatisch blockieren, ohne legitime Benutzer zu beeinträchtigen. Es bietet auch Distil Bot Defense für Web und API, die Ihre Website bzw. API-Server schützen.
• Imperva: Es handelt sich um eine umfassende Cybersicherheitsplattform, die eine fingerabdruckbasierte Identifizierung integriert, um legitime Benutzer von potenziellen Bedrohungen zu unterscheiden. Mithilfe fortschrittlicher Verhaltensanalysen und Anomalieerkennung erstellt Imperva Profile basierend auf einer Kombination von Faktoren, darunter IP-Reputation, Benutzeragent, verschiedene Fingerabdruckparameter und Verhaltensmerkmale. Dadurch kann das System verdächtige Aktivitäten erkennen, die auf Bot-Verkehr hinweisen, und potenzielle Bedrohungen wirksam abwehren.
• Akamai: Es handelt sich um einen bekannten Content-Delivery- und Cloud-Service-Anbieter, der robuste Bot-Erkennungsmechanismen in seine Sicherheitsangebote integriert. Mithilfe einer Kombination aus fingerabdruckbasierter Erkennung, Verhaltensanalyse und maschinellem Lernen identifiziert und bekämpft Akamai verschiedene Bots. Das globale Netzwerk von Akamai ermöglicht Bedrohungsinformationen in Echtzeit und ermöglicht so eine proaktive Verteidigung gegen sich entwickelnde Bot-Taktiken.
• Cloudflare: Es handelt sich um ein weit verbreitetes Content-Delivery-Netzwerk und einen Sicherheitsdienst, der einen vielfältigen Ansatz zur Bot-Erkennung nutzt. Cloudflare unterscheidet zwischen menschlichen Benutzern und Bots, indem es Parameter wie IP-Reputation, Benutzer-Agent-Eigenschaften und Verhaltensmuster analysiert. Die Plattform nutzt außerdem Bedrohungsinformationen und Community-basierte Erkenntnisse, um im Kampf gegen neu auftretende Bot-Bedrohungen die Nase vorn zu haben. Cloudflare nutzt JA3 Fingerprinting, um SSL/TLS-Clients zu profilieren und potenzielle Bot-Anfragen zu blockieren. Es verwendet außerdem HTTP-Filterung , um Regeln anzuwenden und den Datenverkehr basierend auf HTTP-Anforderungsinformationen weiterzuleiten. Data Fingerprinting wird verwendet, um bestimmte Dateien zu identifizieren und Datenverlust zu verhindern. Diese Techniken helfen bei der Erkennung nicht echter Benutzer.

Rolle von Bot-Erkennungssystemen:

Sie spielen eine entscheidende Rolle bei der Verbesserung der Bot-Erkennungsfähigkeiten. Da die Server strategisch rund um den Globus verteilt sind, können sie geografische Erkenntnisse und Echtzeit-Bedrohungsinformationen nutzen, um Bot-Verkehr effektiv zu erkennen und einzudämmen. Die WAF- und Bot-Manager der Plattform tragen zu einer umfassenden Abwehr automatisierter „Benutzer“ bei.

In diesem andauernden Katz-und-Maus-Spiel entwickeln sich Bot-Erkennungssysteme weiter und nutzen fortschrittliche Technologien, um der Fingerabdruck-Spoofing-Technologie immer einen Schritt voraus zu sein. Die Zusammenarbeit zwischen Sicherheitsanbietern, Unternehmen und der breiteren Online-Community ist nach wie vor von entscheidender Bedeutung für die Abwehr der Taktiken automatisierter Bedrohungen, wird aber in gewisser Weise auch gegen die Privatsphäre, Anonymität und das Online-Erlebnis der Benutzer eingesetzt, was zu aufdringlicher Werbung und ausgefeilten Tools zur Benutzerverfolgung führt die nur für Unternehmen von Vorteil sind, nicht für Benutzer. Allerdings entwickeln sich auch Tools zum Schutz der Privatsphäre, zum Verbergen und Spoofing von Fingerabdrücken sowie zum Blockieren von Werbung und Trackern, um selbst die ausgefeiltesten Benutzerverfolgungssysteme zu umgehen.

Zusätzliche Überprüfungsschritte für Websites

• Verdächtiges Verhalten: Wenn ein Fingerabdruck verdächtig erscheint, beispielsweise durch häufige Änderungen oder ungewöhnliche Kombinationen von Datenpunkten, kann die Website zusätzliche Überprüfungsschritte auslösen.
• Captcha: Websites stellen Benutzer möglicherweise vor Captcha-Aufforderungen, um ihre Identität zu überprüfen. Dabei geht es darum, Rätsel zu lösen oder verzerrten Text zu identifizieren, Aufgaben, die für primitive Bots nur schwer durchzuführen sind.
• Mobile Verifizierung: Websites können Benutzer auffordern, ihre Mobiltelefonnummern zu verifizieren, um eine stärkere Verbindung zwischen einer eindeutigen Identität und einer realen Entität herzustellen. Dies kann dazu beitragen, betrügerische Aktivitäten zu verhindern.
• Identitätsprüfung : Die Idee ist die gleiche wie bei Mobiltelefonen, Sie müssen jedoch Ihren Ausweis vorlegen

Beispiele:

Google verlangt für neue Nutzer mit eindeutigen, einheitlichen Fingerabdrücken keine zusätzliche Verifizierung. Wenn sich der Fingerabdruck eines Nutzers häufig ändert oder denen ähnelt, die von bekannten Bots verwendet werden (oder nur für Google bereits bekannt sind), fragt Google möglicherweise nach einer Mobiltelefonnummer oder bittet um die Bearbeitung eines Captchas.

Aufgrund der Sensibilität von Transaktionen erzwingen Finanzwebsites häufig strengere Überprüfungsmaßnahmen. Möglicherweise müssen Benutzer zusätzliche persönliche Informationen angeben, ihre Identität über sichere Kanäle überprüfen oder komplexere Captcha-Herausforderungen bestehen.

Meinung: Spoofing ist besser als sich zu verstecken

Das Verstecken von Fingerabdrücken kann die Privatsphäre, Sicherheit und Online-Anonymität verbessern, aber es bietet noch größere Vorteile, sie so zu fälschen, dass sie als eindeutiger, legitimer Benutzer erscheinen. Indem Sie sich unter die Masse mischen und den Verdacht von Systemen vermeiden, die Anti-Erkennungstools erkennen, können Sie Glaubwürdigkeit und Vertrauen bewahren. Dieser Ansatz ermöglicht es Ihnen, die Vorteile zu genießen, als einzigartiger, legitimer Benutzer wahrgenommen zu werden, und minimiert das Risiko, mit zusätzlichen Schutzmaßnahmen oder Hindernissen konfrontiert zu werden. Und natürlich trägt es dazu bei, die Offenlegung Ihrer echten Daten und Ihrer Identität zu verhindern.

Auch hier veröffentlicht.