devqp
Специалист
Существует устойчивый миф: если удалить Tor Browser, очистить следы и установить его заново, вы получите абсолютно чистую, новую личность. Недавний ресёрч показал, что это далеко не так. Браузер остается «узнаваемым» для антифрод-систем, и смена профиля или переустановка софта не спасают от деанонимизации оборудования.
Ниже — подробный разбор того, как именно нас отслеживают, почему базовых настроек Tor недостаточно, и как я автоматизировал создание полностью изолированных сборок.
Проверка гипотезы: Стенд и чекеры
Для тестирования я использовал чистые виртуалки и дедики, прогоняя их через самые популярные сканеры отпечатков, которые выявляют до 99% совпадений по хэшам:
Главное наблюдение (Вектор утечки)
Я написал скрипт, который собирает данные рендеринга и генерирует единый «мастер-хэш» системы. Вывод оказался неутешительным: даже при полном сносе Tor Browser и его повторной установке на тот же ПК, значения Canvas и WebGL остаются статичными.
Почему это происходит?
Эти параметры напрямую привязаны к вашему железу: видеокарте (GPU), версии драйверов и алгоритмам рендеринга. Любое физическое устройство дает уникальный след при отрисовке графики. Переустановка браузера не меняет вашу видеокарту, а значит, антифрод-система (или трекер) легко сопоставит старый и новый профили, сделав вывод: «Это другой профиль, но тот же самый компьютер». Сменить отпечаток в таком случае поможет только смена GPU/драйверов или использование качественного антидетекта.
Аудит конфигурации Tor (Вскрытие черного ящика)
Поняв, что «из коробки» Tor не дает нужной защиты от фингерпринтинга по железу, я выгрузил его конфигурацию — более 4 900 строк настроек (префов). При детальном анализе я обнаружил около 110 параметров, которые потенциально «светят» лишней информацией или могут использоваться трекерами.
Править это вручную под каждую задачу — безумие. Поэтому я разработал собственное решение на базе чистого PowerShell (без закрытых бинарников, полная прозрачность кода).
Что делает скрипт:
• Централизованная очистка: Автоматически применяет кастомный шаблон, где исправлены те самые 110 сомнительных префов.
• Изоляция инстансов: Разворачивает неограниченное количество копий Tor Browser одновременно. Каждая копия работает в своей песочнице.
• Разделение сетей: Грамотно распределяет локальные порты и сокеты Tor, чтобы инстансы не пересекались и не зависели друг от друга.
• Изоляция нод: Гарантирует, что входные и выходные узлы (Entry/Exit nodes) для каждой копии не смешиваются в процессе работы.
Анализатор выходных узлов (Exit Nodes)
В дополнение к скрипту я написал модуль-анализатор. Он в реальном времени парсит логи и мониторит новые выходные узлы в сети Tor. Если модуль фиксирует подозрительную активность (которая может привести к компрометации трафика), он «на лету» генерирует правила для конфига и блокирует опасные узлы. Система самообучается и обновляет шаблон профиля без участия пользователя.
Парадокс Антидетекта (OpSec)
Нужно помнить важное правило: если вы слишком сильно модифицируете Tor Browser, вы становитесь нетипичным пользователем. А выделяться из общей массы (иметь уникальный профиль настроек) — это тоже способ спалиться. Поэтому в своем шаблоне я искал баланс: закрыть явные утечки данных, но не превращать сборку в «уникальную снежинку», которую антифрод заблокирует просто за нестандартность.
Резюме и планы
На данный момент архитектура (шаблон + PowerShell развертывание + анализатор нод) полностью готова. Сейчас я провожу стресс-тесты: запускаю десятки параллельных потоков и прогоняю их через тесты Canvas/WebGL, Cookies и LocalStorage.
Ниже — подробный разбор того, как именно нас отслеживают, почему базовых настроек Tor недостаточно, и как я автоматизировал создание полностью изолированных сборок.
Проверка гипотезы: Стенд и чекеры
Для тестирования я использовал чистые виртуалки и дедики, прогоняя их через самые популярные сканеры отпечатков, которые выявляют до 99% совпадений по хэшам:
Код:
https://niespodd.github.io/browser-fingerprinting/
https://bot.incolumitas.com/
https://plaperdr.github.io/morellian-canvas/Prototype/webpage/picassauth.html
https://pixelscan.net/
https://browserleaks.com/webgl
https://f.vision/
https://www.ipqualityscore.com/ip-reputation-check
https://amiunique.org/fp
Главное наблюдение (Вектор утечки)
Я написал скрипт, который собирает данные рендеринга и генерирует единый «мастер-хэш» системы. Вывод оказался неутешительным: даже при полном сносе Tor Browser и его повторной установке на тот же ПК, значения Canvas и WebGL остаются статичными.
Почему это происходит?
Эти параметры напрямую привязаны к вашему железу: видеокарте (GPU), версии драйверов и алгоритмам рендеринга. Любое физическое устройство дает уникальный след при отрисовке графики. Переустановка браузера не меняет вашу видеокарту, а значит, антифрод-система (или трекер) легко сопоставит старый и новый профили, сделав вывод: «Это другой профиль, но тот же самый компьютер». Сменить отпечаток в таком случае поможет только смена GPU/драйверов или использование качественного антидетекта.
Поняв, что «из коробки» Tor не дает нужной защиты от фингерпринтинга по железу, я выгрузил его конфигурацию — более 4 900 строк настроек (префов). При детальном анализе я обнаружил около 110 параметров, которые потенциально «светят» лишней информацией или могут использоваться трекерами.
Править это вручную под каждую задачу — безумие. Поэтому я разработал собственное решение на базе чистого PowerShell (без закрытых бинарников, полная прозрачность кода).
Что делает скрипт:
• Централизованная очистка: Автоматически применяет кастомный шаблон, где исправлены те самые 110 сомнительных префов.
• Изоляция инстансов: Разворачивает неограниченное количество копий Tor Browser одновременно. Каждая копия работает в своей песочнице.
• Разделение сетей: Грамотно распределяет локальные порты и сокеты Tor, чтобы инстансы не пересекались и не зависели друг от друга.
• Изоляция нод: Гарантирует, что входные и выходные узлы (Entry/Exit nodes) для каждой копии не смешиваются в процессе работы.
Анализатор выходных узлов (Exit Nodes)
В дополнение к скрипту я написал модуль-анализатор. Он в реальном времени парсит логи и мониторит новые выходные узлы в сети Tor. Если модуль фиксирует подозрительную активность (которая может привести к компрометации трафика), он «на лету» генерирует правила для конфига и блокирует опасные узлы. Система самообучается и обновляет шаблон профиля без участия пользователя.
Нужно помнить важное правило: если вы слишком сильно модифицируете Tor Browser, вы становитесь нетипичным пользователем. А выделяться из общей массы (иметь уникальный профиль настроек) — это тоже способ спалиться. Поэтому в своем шаблоне я искал баланс: закрыть явные утечки данных, но не превращать сборку в «уникальную снежинку», которую антифрод заблокирует просто за нестандартность.
Резюме и планы
На данный момент архитектура (шаблон + PowerShell развертывание + анализатор нод) полностью готова. Сейчас я провожу стресс-тесты: запускаю десятки параллельных потоков и прогоняю их через тесты Canvas/WebGL, Cookies и LocalStorage.