[ru] Браузерное расширение BPIP

[Virsec]

Где найти это расширение?

Firefox и его деривативы, такие как Tor Browser, включая десктопные и Android версии: https://addons.mozilla.org/en-US/firefox/addon/bpip-extension/

Chrome и его деривативы/совместимые браузеры: https://chrome.google.com/webstore/detail/ecpfdlfjiabpdnlhmkmannofnmpdakkj

Ссылки на bitcointalk вместо информации об авторе расширения достовляют. Расширение от анонимуса

Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Короче всю инфу об отпечатке браузера расширение передает сразу на сервера.

[1715364001]

1715364001

[1715364001]

1715364001

[1715364001]

1715364001

[1715364001]

1715364001

[suchmoon]

Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Корчое всю инфу об отпечатке браузера расширение передает сразу на сервера.

Расширение подключается только к bpip.org. Вот что отправляется и получается на обычной странице со всеми включенными функциями:


Edited 2020-11-30 to fix a broken image

Содержание POST-запроса:

Code:

{"instance_id":null,"items":["36044","64507","99165","366233","917790","2033515","2664833"]}

(номера пользователей для получения информации о статусе/DT).

Заголовки запроса - такие же, как если бы вы посетили bpip.org, стандартный запрос «fetch» из браузера, с «origin» указывающим на расширение:


Edited 2020-11-30 to fix a broken image

Если вы не используете дополнительные функции, ничего не отправляется и не принимается, и расширение показывает только значок «(i)» со ссылкой на BPIP.

[Virsec]

1) BPIP тормозной и медленный. Информация обновляется медленно. В Loycev все быстрее и там самые актуальные логи

2) Создатель расширения BPIP - анонимус. Устанавливать непонятное расширение от анонимуса - экстрим на любителя. Да еще с такой сомнительной репутацией на форуме

3) JAVA тоже дырывая - все через Яву может утечь.

Красивые иконки в обмен на конфиденциальность. Уж увольте. Я итак знаю по памяти кто в DT, а кто не в DT

Плюс ты сачмун Ратимову не угодил. Отсутствует расширение на Opera. Сдался ему тормозной Фаерфокс или глючый Хром.

[TheFuzzStone]

Давайте позовем Фузстоуна, он вам расскажет про анонимность

Ага, мне ссылку на эту тему в Телегу кинули...
Форум тухнет, уже не знают какие костыли придумать, чтобы народу было интересно здесь время проводить.

Да и что здесь рассказывать, Balthazar прав:

Абсолютно любое расширение так может, а не только это. Всякие адблоки и ютуб даунлодеры - та же фигня, все крутится в привилегированном контексте, в режиме бога относительно объектов страниц во вкладках и всего кода на них.

кто-то потом будет копаться в твоих ЛС

Юзай и другим советуй, и не бойся, что тебя читают -- https://gnupg.org/

Здесь Balthazar тоже прав:

А с вшитыми блокировщиками рекламы браузера та же история?

Речь о расширениях. Встроенная функциональность браузера, разумеется, может видеть все что хочет, но это же браузер.. Если к браузеру нет доверия, тогда просто надо пользоваться другим браузером.

P.S. Brave - говно. Хочется приватности? Юзайте Firefox и крутите гайки: https://tgraph.io/Reliz-Firefox-71-osnovnye-novshestva--paru-rekomendacij-po-ego-nastrojke-i-brauzernym-rasshireniyam-12-13

Если использовать VPN, допустим Mullvad VPN, и опустошить всю переписку, использование данного расширения опасно?

Использование данного расширения просто бессмысленно.

Понятно, что при разрыве VPN соединения можно сверкнуть своим реальным IP, не уж то, как пишет корнер, и реальный IP можно засветить?

Не знаю что там пишет корнер, но на Линуксе Kill Switch делается за две минуты, и ничем не надо "сверкать".  

Если использовать любой ВПН (даже самопальный) это уже само по себе опасно.

Нет, нужно просто быть осторожным и понимать что ты делаешь.

То же касается и тора.

Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь.

Эти технологии придуманы прежде всего для проведения атак

И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ?  

и для анонимного получения незаконного контента

И все, больше ни для чего?
В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1"

Допустим, вычислили, что я использую VPN и вычисленный IP не реальный, вычислили время моей машины, разрешение экрана и т.д. Как это вообще может отразиться на моей идентификации, если таких машин миллионы в сети?

По уникальности твоего браузера, а там прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок!  ), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр.

Тестить свой браузер на уникальность здесь: https://browserleaks.com/

А теперь смотри как все просто. Ты говоришь о "миллионах машин" в сети... Подумай, а сколько с тех миллионов установили это расширение BPIP (или как оно там, сорри, мне лень посмотреть шапку темы)? Пусть будет 1000 (что является очень раздутым кол-вом пользователей), ок, дальше. Беремся за твой VPN и тайминг атаку (припустим твой VPN-провайдер не ведет логи) -- анализируем твою активность на форуме (она открытая для всех), именно активность-постинг. К этому всему имеем куки (которые ты вряд ли чистишь вручную или каким то софтом), разрешение экрана, шрифты, версию системы, user agent и пр. интересные вещи, которые лично тебя отличают от других машин (уникальный отпечаток).

Что делаем имея все на руках? Ждемс твоей активности (а параллельно ты еще точно где то залогинен, а может и DNS течет, что вообще было бы отлично для твоей поимки), и как только видим твою активность -- общаемся с твоим VPN-провайдером, который сдаст тебя (понятно, что здесь надо предварительное общение, предоставление материалов твоего дела и т.д.).

То что VPN-провайдер не ведет логи, это не значит, что при поступлении запроса от служб (и предоставления "пруфов") они не будут сотрудничать. Как раз и наоборот, будут сотрудничать как миленькие.

Тот же ProtonMail (-VPN) сотрудничает при запросе служб, когда какой то очередной альтернативно-одарённый даун юзает ProtonMail чтобы "минировать" вокзалы и пр.

И это только один из возможных векторов атак.

Пусть каждый решит сам для себя -- становиться ли действительно уникальным в сети, благодаря этому расширению, чтобы взамен получить какие то значки над профилями.

Я, пожалуй, откажусь.


З.Ы. Я только проснулся, так что в этом посте могут быть ошибки, сорри. Данный пост ни к чему не призывает. Думайте своей головой.

[Virsec]

прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок!  ), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр.

Короче я придумал
Я завел себе второй комп. Купил симкарту оформленную на бомжа + USB модем
И оттуда пользуюсь палевным расширениями от сачмуна

Теперь можете беспалевно заниматься промошеном своих свистелок и перделок.
Эй сачмун теперь можешь обмазываться не свежим говном и драчить без упреков

[stoos]

Если использовать любой ВПН (даже самопальный) это уже само по себе опасно.

Нет, нужно просто быть осторожным и понимать что ты делаешь.

То же касается и тора.

Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь.

Я как раз и написал о том, что через впн и тор делать можно, а что не нужно, не ограничиваясь абстрактными и надменными фразами наподобие "нужно просто быть осторожным и понимать что ты делаешь"

Эти технологии придуманы прежде всего для проведения атак

И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ?  

Первая часть относилось к впн. А вот следующее к тору:

и для анонимного получения незаконного контента

И все, больше ни для чего?
В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1"

Я не зря использовал слово "незаконный". Ибо так и есть. Тут правда есть одна небольшая грань: форум российских экстремистов не запрещён где-нибудь в Индии, и для него достаточно индусского или китайского впн провайдера - ну будет знать Раджа из Дели, что Вася из Новосибирска кухонный революционер, думаю, это можно пережить. А вот другой запрещённый во всех цивилизованных странах контент уже требуют тора. Так что не надо лить за тор и боязнь за жизнь, это смешно. Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.

[Virsec]

Я, пожалуй, откажусь.

Поздно отказыватся. Ты теперь не анонимус. Твои фоточки с бинанса - нам известны
Какой ты анонимус - если ты KYC прошел на дырявом Бинансе?

Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.

Шутишь чтоли? Тут полфорума ФСБшников. К одному юзеру уже приезжали пативены, а ты говоришь что не надо тяжелый тор использовать

Отедляться надо, свою UA-локаль создавать надо, недоступную для гебистов

[TheFuzzStone]

~
P.S. Brave - говно.

Чем Brave не угодил? Сказать говно  это легче всего, надо бы  обосновать.

Надо бы? Кому?  
Еще бы сказал: "ты обязан обосновать".  

Если бы тема шла о чем то более сложном, понимаю, мало инфы, надо делиться (я только за). А когда речь идет о том, чтобы чуток погуглить... сорри, я за других Гугл юзать не буду.

EDIT.
Хотите чтобы я за кого то гуглил, пожалуйста -- типните мне пару баксов в Лайтнинге https://tippin.me/@thefuzzstone, а я за вас Гугл буду юзать. 

[TheFuzzStone]

Понятно, я так и понял что это был просто пук

Разбираешься в пуках? Ты действительно хочешь срачь начинать?
Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью?
Или ты наивный, или вложился в их говно-токен.

Brave нормальный браузер

А для меня говно, которое ничего не имеет общего с приватностью.

и при правильной настройке вполне можно пользоваться.

Ой, а ну ка расскажи нам здесь, как правильно ты его настроил? 

[~DefaultTrust]

По нынешним временам, написать собственный браузер может любой студент за неделю или его преподаватель за один день. Только вот кто из этих песателей аудировал код хромиума и электрона на возможные закладки от правильных пацанов?
Попробовал только что на сайте https://browserleaks.com/ связку VPN + tor браузер, в принципе неплохо получилось. Даже близко ничего похожего на себя не нашел  
Зато VPN + обычный браузер, когда ему разрешил гео API, выдал практически полный домашний адрес, только номера квартиры не хватает.

[TheFuzzStone]

Ой, а ну ка расскажи нам здесь, как правильно ты его настроил? 

Там все прозрачно

Ага, понял, вот и конец твоей "правильной настройке", которая основана на доверии к компании Brave и её партнерам рекламодателям, а также кликбейт-контенту контенту в стиле  -- "Брейв приватен!"

Все настройки обеспечивающие приватность включены.

Ну так и скажи: "Натыкал галочек и все вдруг стало приватно:  privacy mode ON."

Если говоришь то подкрепи, чтобы я и другие знали в чем именно гавно заключается.

Почему бы не проверить мои слова? Тебе Гугл лень заюзать?

И по второй части... так, получается ты не знаешь в чем он говняный, а все равно продолжаешь говорить что "там все открыто, норм браузер".

[TheFuzzStone]

Не раздувай щеки, в мозиле ты делаешь тоже самое, тыкаешь нужные галочки.

Я там копался лично, ручками своими любимыми, при этом, гуглил инфу об каждой непонятной мне включаемой/отключаемой опции:

• https://github.com/ghacksuserjs/ghacks-user.js/blob/master/user.js

И ты хочешь сказать, что то, что ты тыкнул 5 галочок (а может и меньше) через UI-йку в говно-Brave, сделало тебя приватным?
Да, теперь я тебе верю -- в токен ты не вложился, ты просто наивный.


А раз ты наивный (плюс не умеешь пользоваться Гуглом), дарю инфу, без регистрации и смс:

1. Во-первых, погугли об их автоматических говно-Brave обновлениях, и куда они стучаться (пссс, это серваки Амазона, только никому не говори, это приватностЪ), и что эти обновления ты НЕ отключишь через настройки браузера, вот здесь народ за житуху трёт, там же и ответ одного из разрабов:

"Мы не планируем добавлять в UI возможность отключать обновления..." -- ну и да, как всегда, пугают "риском", под который попадут все пользователи, которые хотят это отключить. А они пиздатые, за вас все уже продумали. Ну, в общем, как ты сказал выше -- "все открыто", верно?

Когда ты сказал о "правильной настройке", без сарказма, я подумал что ты запустил WireShark, посмотрел куда этот блядский Brave стучится и добавил правила для своего фаерволла, чтобы эта мразь "сидела локально и молчала". Но я чуть не угадаль.

2. Прошлогодний проёб со стороны Brave: https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/. Пиздуны они. Откуда знаю? Потому что у меня все известные трекеры блочатся уже годами, включая трекеры от ФБ, Твиттера и той хуйни, что в их списке. И, о мистика! -- У меня все работает как надо.

3. Еще здесь кое что есть: https://spyware.neocities.org/articles/brave.html

4. Тут тоже кое что интересное: https://news.ycombinator.com/item?id=18734999

Кстати, я не говорю что все идеально в Firefox сразу после установки, но, имхо, лучше чем в говно-Brave. Я когда им пользовался, тестил, ну хуле, форк Хромиум с говно-токеном, не более.

Тому, кто качественно переведет с инглиша эту инфу о Brave, и красиво оформит отдельной темой, с меня 20 меритов.

EDIT.

Зы. Наш авторитетный  пошел гуглить.  

Пост для тебя наивного и криворукого писал.
Надеюсь тебе стыдно, за то, что ты не дружишь с поисковиками, и за то, что отнял у меня время.

Насчет гугла не сомневайся. Я проверил и компромата не нашел.

Чувак, я уже выше увидел твою "правильную настройку", пожалуйста, не надо.

Но если ты что ты что-то знаешь, то будь добр ткни носом

Инфа выше, читай.

может и я откажусь от брейва.

Честно, мне похуй. Ты, должен заботиться о своей приватности, а не я.

Пока все твои слова выглядят как сотрясение воздуха.

А ты показался дурачком в этой ситуации (со своей "правильной настройкой, и верой что "там все открыто"). А я когда то думал, что ты более прошаренный в этом вопросе.

Зы. Наш авторитетный  пошел гуглить. 

А теперь не выё, а иди кури инфу.

[Balthazar]

А это ваапще полный писец.  Авторитетнейший даже не понимает что там написано и пытается спорить.. Крейзи.

Он, вроде бы, просто попросил сделать тему с переводом, нет? С чего ты взял, что не понимает?
Телепатия, наверно, не иначе.

[TheFuzzStone]

Ты мне по брейву что нибудь дай, а не  пукай.

Ты даун, или слепой? Пройдись по пунктам от 1 до 4 и почитай о любимом Brave.

Авторитетнейший даже не понимает что там написано и пытается спорить.. Крейзи.

Не, ну точно даун. Мне как будто нечего делать, а генерить контент для форума.
Предложил заработать Мерита за честный труд, чтобы другие знали, что такое Brave, а ты подумал что мне этот перевод надо... (рука-лицо)
А по поводу "авторитетнейший", так что, тебе подгорает, или как?

Бегло просмотрел - кому-то не поправилась  их модель монетизации и идет размусоливание этой темы.

Это вот эта ссылка: https://news.ycombinator.com/item?id=18734999

А вот инфу по другим ссылкам, ты как то не комментишь, как будто слепнешь и не видишь. Давай еще раз, вот чем является твой любимый говно-Brave:

• https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/
• https://spyware.neocities.org/articles/brave.html
• https://github.com/brave/browser-laptop/issues/1877

Пусть дует, для блондинок наверное старается.

Оуу, вот и приехали! Я заказной, от Firefox, на Brave гоню. Талант, вы, сэр.

Могу взяться, я недавно переводил как раз материальчик по Brave, если не понравится качество моего перевода, тему удалю, тогда пусть другой кто-то сделает.

Переводи. Я видел пару твоих переводов, норм.

[lovesmayfamilis]

Вот тут можно все посмотреть о чем пишет TheFuzzStone

https://www.youtube.com/watch?v=trkUyrYObVQ
https://www.youtube.com/watch?v=8gXXQhKAFN0

[TheFuzzStone]

А по поводу "авторитетнейший", так что, тебе подгорает, или как?

Не не подгарает, но ты сам в своем посте перед этим в качестве аргументации заявил - "у меня тут авторитет" - подтер потом правда за собой.

Зы. По поводу дауна, ты там случайно  на гитхабе дальше своего знаменитого "Hello World" на питоне еще не продвинулся?

Зы..зы И не забудь Ратимову 20 меритов отсыпать , когда он для тебя "не-дауна" переведет то, что ты сам не в состоянии понять.

Да, у меня есть кака-никакая репутация, что явно никогда не помешает, так это всегда проверять мои слова, о всем, Линуксе, Монеро, приватности и пр.

По Питону пока нет времени (дошел до классов и написания тестов), приятно что следишь.

Ратимов, не Ратимов, мне пох кому 20 меритов отдать за перевод материала.

З.Ы. А вот ссылок ты упорно не видишь и не комментишь!  

Если вы видите эти ссылки, значит вы не xenon131:

• https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/
• https://spyware.neocities.org/articles/brave.html
• https://github.com/brave/browser-laptop/issues/1877

Вот тут можно все посмотреть о чем пишет TheFuzzStone

https://www.youtube.com/watch?v=trkUyrYObVQ
https://www.youtube.com/watch?v=8gXXQhKAFN0

А вот есть норм чувак, open source-щик, который красиво разобрал Brave по полочкам, и который явно больше ресёрча слелал чем xenon131:

https://www.youtube.com/watch?v=8qeG5vJhCMs

Но все равно, он этого не увидит, и спрыгнет на Ратимова, мерит, Мозиллу, Иисуса, Элвиса, только не по теме.

[johhnyUA]

Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью?

Ну если говорить честно, то Мозилла тоже не святошами разрабатывается из швейцарских храмов. Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.

По поводу ВПН - спасибо за вот эту ссылку https://browserleaks.com/

Я помню через Фаерфокс подключался через один ВПН, и там он сразу меняет язык браузера и так далее на тот, к стране которого ты подключился. Иначе по тем же java скриптам можно и время твоего компьютера посмотреть, и язык, и тайм зону и догадаться что странно, айпи японский а время то белгородское 

[Balthazar]

Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.

Не такой уж и секрет. К примеру, у меня настроена подписка, каждый месяц снимается $300 с карточки в пользу Mozilla Foundation.
Не весть какая большая сумма, но такие пожертвования делает много кто, в том числе и разного рода организации.

[lovesmayfamilis]

Зы,  вот еще одна неплохая ссылка тебе в копилку https://www.deviceinfo.me/ + если не установлено  то советую три неплохих адона для мозилы Canvas Fingeprint Defender,  AudiooContent Fingeprint Defender и Font Fingeprint Defender. Они накладывают шум на соответствующие отклики мозилы.

Зы, зы  а тут много полезных ссылок для криптанов https://cryptositeslist.com/ Мне особенно нравятся презентации от MIT Bitcoin Club

Раз тема зашла про копилки, наверное некоторые слышали о таком сервисе как фейкдетектор. Сервис обнаруживает было ли вмешательство пользователя в настройки браузера,и тем самым показывает самые важные моменты, которые следует изменить.

http://www.f.vision/
информация с форумов см поиск

 

Заходя на Fake Vision вы можете самостоятельно выбрать необходимые проверки, связанные с подключением исходя из необходимости (некоторые тесты требуют дополнительного времени - приблизительное ожидание написано рядом с конкретным тестом). Для наиболее точной картины фейка мы рекомендуем выполнять максимально возможный перечень проверок.

После запуска теста Fake Vision выполняет проверку правдивости браузера и подключения, используя особые алгоритмы и технологии, нацеленные на выявление подмены.

Кроме особых тестов выполняется проверка следующих базовых параметров:

Общие: ip4 / WebRTC адреса, Timezone, Zip, Geolocation, Useragent

Браузер: Scripts, Audio, Screen, Canvas, Navigator, Plugins, Fonts, WebGl, Timezone, clientRects, Modernizr, Java, Ubercookie, Hashes

Подключение: Open ports, Nmap, DNS, Double ping, Black List, Proxy headers, Timezone и др.

Исходя из результатов проведенных тестов вы получите наглядную информацию в виде процентов вероятности того, что браузер или подключение к Сети было подвергнуто вмешательствам со стороны пользователя. Кроме того, фейк-детектор укажет красным цветом на основные проблемные моменты для того, чтобы вы могли максимально комфортно и быстро устранить недостатки в вашей конфигурации.

[FontSeli]

Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.

Не такой уж и секрет. К примеру, у меня настроена подписка, каждый месяц снимается $300 с карточки в пользу Mozilla Foundation.
Не весть какая большая сумма, но такие пожертвования делает много кто, в том числе и разного рода организации.

Так вот как выглядят донатеры Лисы))

Бытует мнение что они и пользовательскими данными приторговывают. Я на всех своих машинах пользуюсь мозиллой и давно заметил что для контекстной рекламы даже аккаунты не нужно объединять, достаточно где-то поискать новые шины на патрол и вуаля - теперь тебе пихают шины и шиномонтажки везде, где ты бы не засветился. Видать не хватает "лисам" твоих $300, они икорку тоже кушать хотят)