Кіберполіція незаконно стежить за українцями та зливає дані до РФ, — експерт

База відбитків дозволяє деанонімізувати користувача. Коли поліцію буквально схопили за руку, вони заявили, що у такий спосіб перевіряють "рівень довіри суспільства" до них.

кіберполіція
Фото: преслужба Киберполіції
Related video

Кіберполіція продовжує масове незаконне стеження за користувачами в Україні, дії поліції не лише незаконні, а й загрожують національній безпеці, зібрана інформація зливається до Росії.

Два роки тому, у січні 2020 року, у видання "Полтавщина" надійшов лист із департаменту Кіберполіції з проханням встановити на сайті скрипт для стеження за користувачами. У кожного пристрою є невеликі відмінності — різні версії браузерів, різна роздільна здатність екрану, шрифти — всі ці дрібні деталі дозволяють створити своєрідний "відбиток". Є бібліотеки, такі як FingerprintJS, які дозволяють збирати "відбитки". Якщо людина залишила анонімний коментар через VPN про те, що поліція замість того, щоб ловити шахраїв, проводить "контрольні закупівлі" на OnlyFans, а потім та сама людина заходить без VPN на сайт інтернет-магазину, то база відбитків дозволяє деанонімізувати користувача з більшим чи меншим ступенем упевненості. Подібне стеження без ордера без сумніву є незаконним. Коли поліцію буквально схопили за руку, вони заявили, що у такий спосіб перевіряють "рівень довіри суспільства" до поліції. На мою думку скандал, пов'язаний з незаконним стеженням в Інтернеті опустив рівень довіри в область негативних величин.

З цієї історії Кіберполіція здобула певний урок — не попадатися. У грудні 2021 року на веб-сайті платіжної системи iPay.ua з'явився ще один скрипт у домені cdnjs.cloubflare[.]com. З першого погляду навіть не дуже помітна невелика друкарська помилка clouBflare замість clouDflare. Сам скрипт виглядає повною маячнею, але є дуже простий спосіб з'ясувати, що він робить. Відкриваємо "панель розробника" та просимо вивести всі змінні з поточного вікна: for (var b in window) if (window.hasOwnProperty(b)) console.log(b + " = " + window[b]); userAgent (назва та версія браузера), language, deviceMemory, ітд — скрипт збирає всю інформацію, шифрує її за допомогою бібліотеки JSEncrypt і відправляє на сервер. Перед нами ще один трекер. Є навіть посилання на вихідний код "new Fingerprint()' is deprecated, see https://github.com/Valve/fingerprintjs2…") Більше того, мисливці на камхор забули в коді ключ шифрування: — — — BEGIN RSA PRIVATE KEY — — — MIIEowIBAAKC… Навіть найпримітивніші форми життя на кшталт авторів програм-вимагачів знають, що так не можна робити.

Тепер постараємося з'ясувати куди ще мамині пінкертони розпихали свої закладки? Нам допоможе SEO-сервіс для відстеження посилань. Список, швидше за все, не повний, але навіть у ньому близько сорока сайтів: Запорізький Національний Університет, Харківський університет будівництва та архітектури, Вінницький національний технічний та цілий ряд інтернет-магазинів. Тепер найцікавіше, куди йдуть дані? Може здатися, що IP 78.108.181[.]141 розташований у Чехії, а рахунок провайдера обслуговує банк на Кіпрі та реєстрація на Сейшелах, але це ілюзія, тому що домен славного хостера: yeshost[.]RU. Там же хостився сайт "Кінокрад". І в мене до кіберполіції залишилося лише одне питання: я хочу знати, кому саме прийшла недолуга ідея влаштувати масове стеження без ордера і злити всю інформацію разом із ключами на сервер російської компанії? (Не кажучи вже про те, що ця інфраструктура може бути використана для крадіжки карток з iPay та supply-chain атаки на сайти, що встановили скрипт)

Тепер поговоримо про те, як зберегти приватність в Інтернеті. Для початку варто відмовитися від DNS-серверів провайдера та замінити їх на 1.1.1.1, 8.8.8.8 або 9.9.9.9. Або будь-який інший сервіс, наприклад OpenDNS, якнайдалі від України. Бажано при цьому увімкнути в налаштуваннях браузера DoH/DoT. Потім слід відключити WebRTC (у Файрфоксі у налаштуваннях, для Хрому знадобиться плагін). Відключаємо плагіни Java, Flash та Silverlight, якщо вони у вас стоять. Тепер йдемо на Вrowserleaks і дивимося, що ще видно. Щоб приховати IP-адресу, вам знадобиться VPN. Можна придбати передплату або встановити власний сервер. А можете скуштувати наш безкоштовний #GardaVPN.

Першоджерело.