Erid: 2SDnjc7BRpk

По­мимо обыч­ных бра­узе­ров для пов­седнев­ного исполь­зования, сущес­тву­ет отдель­ный класс, сла­вящий­ся защищен­ностью и невоз­можностью отсле­дить поль­зовате­ля. Такие бра­узе­ры при­гож­дают­ся в самых раз­ных задачах: работе с боль­шим чис­лом акка­унтов, сбо­ре информа­ции, раз­ного рода тес­тах. Сегод­ня мы погово­рим о бра­узе­ре Undetectable, пред­ложен­ном нам на тест его раз­работ­чиками.

Ав­торы бра­узе­ра обе­щают защиту от фин­гер­прин­тинга, изо­ляцию циф­ровых про­филей в сети и под­дер­жку раз­ных прок­си для раз­ных про­филей в целях ано­ними­зации. Зву­чит инте­рес­но! Без лиш­них раз­думий я ска­чал бра­узер, под­нял чис­тый тес­товый стенд и взял­ся за тес­тирова­ние.

 

Тестовый стенд

Для экспе­римен­тов я под­нял вир­туаль­ную машину с четырь­мя ядра­ми i5 12-го поколе­ния, 16 Гбайт опе­ратив­ной памяти и Windows 11 Pro в качес­тве опе­раци­онной сис­темы. Туда же уста­новил Wireshark.

На сосед­ней машине у меня есть Burp Suite, из которо­го я выг­рузил кор­невой сер­тификат и нас­тро­ил прок­си в тес­товой сис­теме.

 

Регистрация и пользовательское соглашение

Изу­чение нач­нем с сай­та раз­работ­чика.

Главная страница
Глав­ная стра­ница

Здесь мы узна­ём, что основная задача бра­узе­ра — обхо­дить антифрод‑сис­темы и зап­реты на муль­тиак­каун­тинг. Как нес­ложно догадать­ся, боль­ше все­го в таких фичах будут заин­тересо­ваны люди, про­фес­сиональ­но занятые наруше­нием раз­нооб­разных поль­зователь­ских сог­лашений в самых экзо­тичес­ких целях. Пре­дус­мотрен даже авто­мати­чес­кий прог­рев акка­унтов!

Впро­чем, офи­циаль­но цели заяв­лены впол­не тра­вояд­ные: раз­деление пер­сональ­ного и биз­нес‑про­филя, коман­дная работа для тес­тирова­ния раз­ных сай­тов.

С порога нам пред­лага­ют начать бес­плат­но и переки­дыва­ют на стра­ницу регис­тра­ции, где тре­бует­ся ввес­ти логин, элек­тро­поч­ту и пароль.

Ра­ди инте­реса я гля­нул поль­зователь­ское сог­лашение. Вни­мание сра­зу прив­лекла вот эта часть:

Third-Party Services means any services or content (including data, information, applications and other products services) provided by a third-party that may be displayed, included or made available by the Application.

You must comply with applicable Third parties’ Terms of agreement when using the Application.

То есть если исполь­зовать Undetectable в сом­нитель­ных целях, то пер­вым делом мы нарушим его же поль­зователь­ское сог­лашение. Хит­ро при­дума­но!

Так­же заин­тересо­вали пункт о том, что ком­пания не руча­ется за чис­тоту при­ложе­ния, сай­та и писем от мал­вари, и пункт про то, что она оставля­ет за собой пра­во собирать и обра­баты­вать дан­ные о кон­фигура­ции компь­юте­ра поль­зовате­ля, «в том чис­ле о прог­рам­мных и сетевых свой­ствах и нас­трой­ках».

За­бегая впе­ред, ска­жу, что я не нашел в тра­фике никаких уте­чек лич­ной информа­ции, так что это боль­ше похоже на юри­дичес­кие перес­тра­хов­ки. На мой взгляд — излишние и даже вред­ные, учи­тывая, что целевая ауди­тория бра­узе­ра отно­сит­ся к таким вещам щепетиль­но.

 

Установка

Для уста­нов­ки нуж­но ска­чать со стра­ницы заг­рузки инстал­лятор раз­мером 251 Мбайт. Дос­тупны вари­анты для Windows 10/11 и macOS для обе­их маков­ских архи­тек­тур. Под­дер­жки Linux и Android нет, одна­ко изоб­ражать зап­росы с этих плат­форм бра­узер уме­ет.

Установка
Ус­танов­ка

Пос­ле уста­нов­ки нуж­но залоги­нить­ся в пред­варитель­но соз­данный на сай­те акка­унт.

Главное окно
Глав­ное окно

Под­дер­жка рус­ско­го язы­ка непол­ная — тут и там попада­ются стро­ки на англий­ском. Впро­чем, вряд ли это кого‑то сму­тит.

Тра­фик лаун­чера ока­зал­ся по боль­шей час­ти чис­тым — аутен­тифика­ция содер­жит лишь логин, пароль и отпе­чаток устрой­ства (видимо, что­бы уста­нов­ленный бра­узер нель­зя было ско­пиро­вать на дру­гую машину), а потом толь­ко пери­оди­чес­ки обновля­ется спи­сок про­филей и про­веря­ются обновле­ния. Прав­да, со вклад­ки нас­тро­ек отправ­ляет­ся лог о каж­дом дей­ствии, в том чис­ле перек­лючении вкла­док, но без какой‑либо при­ват­ной информа­ции.

Пример лога
При­мер лога
 

Настройки

Пос­ле запус­ка перед нами пред­ста­ет вер­тикаль­ное окош­ко с пред­ложени­ем добавить про­филь. Добав­ляем!

Нас­тро­ек мно­го, но не слиш­ком. Кро­ме оче­вид­ных вро­де наз­вания про­филя, в общем спис­ке мож­но сра­зу выб­рать опе­раци­онную сис­тему, которую будет репор­тить бра­узер. Это важ­но, пос­коль­ку мно­гие дру­гие парамет­ры силь­но зависят от выб­ранной ОС. На выбор десять вари­антов, но полови­на недос­тупна (в том чис­ле Linux), вари­ант «все Windows», на мой взгляд, тре­бует пояс­нений. Windows 11 в спис­ке почему‑то нет.

Настройки профиля
Нас­трой­ки про­филя

При желании ты можешь выс­тавить заведо­мо невоз­можную ком­бинацию бра­узе­ра и опе­раци­онной сис­темы, о чем было бы неп­лохо пре­дуп­реждать.

Safari на Android
Safari на Android

В ком­плек­те с Undetectable пос­тавля­ются пред­нас­тро­енные про­фили, их количес­тво зависит от тариф­ного пла­на (допол­нитель­ные мож­но докупать по необ­ходимос­ти). Пос­ле выбора ОС и бра­узе­ра мож­но прос­то нажать кноп­ку слу­чай­ного выбора кон­фига. Удоб­но!

И конеч­но, ты можешь деталь­но нас­тро­ить кон­фигура­цию компь­юте­ра, которую будет предъ­являть бра­узер. Выб­рать любое чис­ло ядер и даже выс­тавить 5K-экран, от чего некото­рые сай­ты весело переко­сит. Что кас­томизи­ровать не выш­ло — это модель виде­окар­ты и информа­цию о мик­рофонах и камерах.

На вто­рой вклад­ке нас­тра­ивают­ся прок­си и cookies. Прок­си под­держи­вают­ся толь­ко HTTP и SOCKS5 (зато с аутен­тифика­цией), но дру­гие не так уж и нуж­ны. Куки мож­но заг­ружать в фор­матах JSON и TXT, при этом мож­но сра­зу одной галоч­кой отфиль­тро­вать про­тух­шие.

На треть­ей вклад­ке находят­ся нас­трой­ки тех­нологий, которые час­то исполь­зуют­ся для тре­кин­га. Не рекомен­дую мас­сово бло­киро­вать их: эти воз­можнос­ти час­то исполь­зуют­ся в закон­ных целях, и, если их поот­клю­чать, это сло­мает некото­рые сай­ты.

Настройки слежки
Нас­трой­ки слеж­ки

Ес­ли ты не заг­рузил куки на вто­рой вклад­ке, мож­но сде­лать это на чет­вертой, при­чем воз­можнос­тей здесь боль­ше.

Редактор кук
Ре­дак­тор кук

Пос­ледняя вклад­ка — редак­тор сох­ранен­ных логинов и паролей к сай­там. То, что ты туда допишешь, появит­ся в авто­запол­нении в бра­узе­ре.

Редактор учетных данных
Ре­дак­тор учет­ных дан­ных

Сох­ранение про­филей дос­тупно в обла­ке и на локаль­ной машине. И если локаль­ное ничего инте­рес­ного собой не пред­став­ляет, то облачное поз­воля­ет исполь­зовать веб‑панель, где мож­но прос­мотреть или уда­лить про­филь даже без дос­тупа к самому бра­узе­ру.

Веб-интерфейс
Веб‑интерфейс

С нас­трой­ками закон­чено, давай запус­кать!

 

Тесты

Пос­ле запус­ка бра­узер нес­ложно спу­тать с обыч­ным Chromium. Никаких замет­ных наворо­тов, которые я ожи­дал уви­деть, тут нет.

Окно About
Ок­но About
 

Cover Your Tracks

Пер­вым делом идем про­верять защиту от детек­та. Я буду исполь­зовать Cover Your Tracks, раз­работан­ный в EFF.

info

Cover Your Tracks — это тест, который поз­воля­ет про­верить, нас­коль­ко полез­ны для отсле­жива­ния поль­зовате­ля раз­ные механиз­мы в бра­узе­ре. Сайт дает не толь­ко абс­трак­тные резуль­таты, он под­робно раз­бира­ет каж­дый пункт, при­водя ко все­му еще и объ­ем иден­тифици­рующей информа­ции (в битах) и рас­простра­нен­ность такого сочета­ния парамет­ров сре­ди про­тес­тирован­ных бра­узе­ров. Этот тест счи­тает­ся одним из основных при про­вер­ке при­ват­ности бра­узе­ра.

Тест прой­ден дос­той­но: отпе­чат­ки по тегу canvas, WebGL и AudioContext под­меня­ются пра­виль­но и эффектив­но, раз­лича­ются меж­ду про­филя­ми, а в рам­ках одно­го про­филя сох­раня­ются неиз­менны­ми (если это задано в нас­трой­ках про­филя).

По­луча­ется, что бра­узер дела­ет упор не на зап­рет отсле­жива­ния, а на воз­можность «рас­тво­рить­ся в тол­пе», пре­дос­тавив прав­доподоб­ный, но лег­ко сме­няемый про­филь.

Тест EFF
Тест EFF

Важ­ный момент — ран­домиза­ция спис­ка шриф­тов. Информа­ция о шриф­тах в моей кон­фигура­ции была изме­нена отно­ситель­но стан­дар­тно­го Chromium, что дает целых 15 бит иден­тифици­рующей информа­ции.

Шрифты
Шриф­ты
Шрифты в Chromium для сравнения
Шриф­ты в Chromium для срав­нения

При желании ты можешь управлять этим: выб­рать дру­гую кон­фигура­цию или отклю­чить под­мену шриф­тов в нас­трой­ках.

От­печаток по WebGL работа­ет как надо — реаль­ный скры­вает­ся и под­совыва­ется соот­ветс­тву­ющий про­филю.

 

Webkay

До­пол­нитель­но я про­шел тест Webkay, но ничего нового он не дал. Инте­ресен раз­ве что раз­дел с соц­сетями: почему‑то чис­тый про­филь бра­узе­ра показал наличие Flickr, но это, веро­ятно, глюк самого Webkay.

Как работает Webkay

Ес­ли встро­ить стра­ницу логина какого‑нибудь сер­виса в тег img для залоги­нен­ного поль­зовате­ля, про­изой­дет авто­мати­чес­кий редирект на favicon и отра­бота­ет фун­кция onLoad, а если поль­зователь не залоги­нен на том сер­висе, будет выз­ван onError. Метод может давать ошиб­ки, но в целом работа­ет неп­лохо — по край­ней мере, в моем основном бра­узе­ре тест опре­делил все сер­висы, куда я залоги­нен.

Тест Webkay сбоит
Тест Webkay сбо­ит
 

Privacy.net

Сле­дующий тест — Privacy.net. Ради раз­нооб­разия я выб­рал про­филь с macOS и бра­узе­ром Safari в надеж­де, что под­делка будет выяв­лена. Одна­ко тест не заметил под­мену дан­ных, и Chromium на Windows лег­ко прев­ратил­ся в Safari на macOS.

Единс­твен­ный момент: ука­зание фаль­шивого раз­решения экра­на при­вело к невер­ному рен­дерин­гу стра­ницы. Воз­можно, в будущих релизах это удас­тся как‑то испра­вить.

Разрешение сломалось
Раз­решение сло­малось
 

2ip.ru

На­пос­ледок — оте­чес­твен­ный тест при­ват­ности 2ip.ru. Пред­видя воз­мущение в ком­мента­риях, сра­зу ого­ворюсь, что этот тест не про­веря­ет воз­можность фин­гер­прин­тить бра­узер, а смот­рит на соот­ветс­твие IP-адре­са реаль­ному. То есть дол­жен выяв­лять исполь­зование прок­си, VPN, Tor и подоб­ных штук. Все­го ана­лизи­рует­ся 15 кри­тери­ев, которые обыч­но поз­воля­ют обна­ружить исполь­зование средств ано­ними­зации. Вот некото­рые из них:

  • За­голов­ки HTTP-прок­си. Часть прок­си‑сер­веров под­став­ляют в зап­росы свои заголов­ки, что­бы мож­но было иден­тифици­ровать кли­ента. С при­ходом HTTPS метод стал прак­тичес­ки бес­полез­ным.
  • От­кры­тые пор­ты HTTP-прок­си. Даже если прок­си не под­став­ляет свои заголов­ки, у него дол­жен быть открыт порт, через который кли­ент под­клю­чает­ся к самому прок­си‑сер­веру. Сюда же мож­но отнести откры­тые пор­ты VPN.
  • По­доз­ритель­ное наз­вание хос­та. Если хост име­ет имя вро­де my-vpn-server.net, поль­зователь, ско­рее все­го, что‑то скры­вает.
  • Раз­ница во вре­мен­ных зонах бра­узе­ра и IP. Любой пуб­личный IP мож­но соот­нести с некото­рой стра­ной, и, если бра­узер сооб­щает одну стра­ну, а IP при­над­лежит дру­гой, это повод для подоз­рений.
  • Утеч­ка DNS. Если ты живешь в Поль­ше, а исполь­зуешь DNS-сер­веры в Бра­зилии — воз­можно, Поль­ша у тебя ненас­тоящая.
  • При­над­лежность IP к сети Tor. Если IP кли­ента — это адрес выход­ного узла Tor, то (вне­зап­но) кли­ент, ско­рее все­го, исполь­зует Tor.

Для это­го тес­та я поп­робовал нас­тро­ить прок­си, и это ока­залось нет­риви­аль­ной задачей. Бес­плат­ные прок­си из интерне­та упор­но отка­зыва­лись работать, а нажатие на кноп­ку импорта пар­тнерских прок­си не сра­бота­ло и толь­ко сде­лало что‑то стран­ное с интерфей­сом. Бес­плат­ных тес­товых прок­си в бра­узе­ре тоже нет. В ито­ге мне уда­лось раз­добыть рабочий SOCKS5-прок­си из США и тест я про­вел с ним.

Тест прокси пройден блестяще
Тест прок­си прой­ден блес­тяще

К моему удив­лению, тест был прой­ден не прос­то хорошо, а отлично — даже тест двус­торон­ним пин­гом не рас­крыл наличие прок­си.

Двусторонний пинг

Этот метод обна­руже­ния тун­неля осно­ван на поис­ке раз­личия в дли­тель­нос­ти про­хож­дения пакета от тебя до сер­вера и назад. Твой компь­ютер пин­гует сер­вер и запоми­нает вре­мя, а потом сер­вер пин­гует адрес, с которо­го ты к нему под­клю­чил­ся. Если это адрес прок­си, вре­мя пин­га, которое получит сер­вер, будет замет­но мень­ше, чем то, что получи­лось с тво­его компь­юте­ра. При этом, если ты ходишь с реаль­ного адре­са, раз­ницы прак­тичес­ки не будет.

Бра­узер Undetectable прос­то бло­киру­ет попыт­ки пин­говать сто­рон­ние сер­веры, так что этот тест вооб­ще не уда­ется выпол­нить.

 

Трафик браузера

В пла­не перех­вата тра­фика бра­узер ока­зал­ся край­не подат­ливым: для перех­вата не приш­лось делать вооб­ще никаких слож­ных манипу­ляций. Он сам взял­ся исполь­зовать прок­си, про­писан­ный в нас­трой­ках Windows, спо­кой­но при­нял сер­тификат Burp Suite и никак не обфусци­ровал свой тра­фик — все шло на один домен (api.undetectable.io) и с понят­ными име­нами парамет­ров. Никакой подоз­ритель­ной активнос­ти при работе бра­узе­ра нам выявить не уда­лось, в том чис­ле при изу­чении тра­фика, перех­вачен­ного в Wireshark.

 

Прочие функции

Глав­ное, что прив­лекло мое вни­мание, — это облачная син­хро­низа­ция. Мож­но прос­то сох­ранить про­филь со все­ми нас­трой­ками в обла­ко и про­дол­жить его исполь­зовать на дру­гом компь­юте­ре, при этом все вир­туаль­ное железо оста­нет­ся тем же.

Об­рати вни­мание, что все cookies син­хро­низи­руют­ся в виде откры­того тек­ста, так что при работе с облачным сер­висом раз­работ­чики потен­циаль­но будут иметь дос­туп ко всем сес­сиям, которые ты кру­тишь, вмес­те с учет­ными дан­ными от прок­си и самими учет­ными дан­ными от сай­тов (если ты их сох­ранишь в бра­узе­ре). При желании ты можешь либо отка­зать­ся от син­хро­низа­ции, либо выб­рать тариф, поз­воля­ющий перенес­ти сох­ранения на свой сер­вер.

Од­нако сама воз­можность исполь­зовать свои про­фили отку­да угод­но без рис­ка быть обна­ружен­ным защит­ными механиз­мами — это кру­тая фиш­ка, однознач­но полез­ная для рас­пре­делен­ных команд и для тес­тиров­щиков всех мас­тей, которым нуж­но вос­про­изво­дить баги. Соз­дал про­филь, где баг пов­торя­ется, — а раз­работ­чик прос­то открыл и всё уви­дел. Сказ­ка!

Еще есть бот — он нужен для сбо­ра кук и прог­рева про­филей, что­бы абсо­лют­но чис­тый бра­узер не вызывал подоз­рений у антифрод‑сис­тем. Есть даже готовые спис­ки популяр­ных сай­тов для раз­ных стран.

Настройки бота
Нас­трой­ки бота

Нас­трой­ки бота инту­итив­но понят­ны, так что раз­бирать под­робно я их не буду. Единс­твен­ное, на что обра­щу вни­мание, — бот запус­кает реаль­ное окно бра­узе­ра (по одно­му окну на каж­дый прог­рева­емый про­филь), а не «без­головый» вари­ант, и эти окна зак­рывать нель­зя, ина­че про­цесс оста­новит­ся.

Еще одна полез­ная фича — выг­рузка всех куки и паролей из бра­узе­ра в JSON. Рас­ширения обыч­но показы­вают куки толь­ко для одно­го сай­та, на котором ты находишь­ся, а Undetectable поз­воля­ет выг­рузить разом все и так же лег­ко в один клик заг­рузить их обратно. Или исполь­зовать в сво­их скрип­тах.

За­явлен так­же дви­жок для авто­мати­зации. При запус­ке лаун­чер начина­ет слу­шать локаль­ный порт 59989 (который вызыва­ет подоз­рения у «Защит­ника Windows»). Там кру­тит­ся HTTP-сер­вер, к которо­му мож­но обра­щать­ся для вызова раз­личных фун­кций. Это воз­можность для сов­сем уж прод­винутых при­мене­ний, и ее тес­тирова­ние выходит за рам­ки этой статьи.

Порт Undetectable
Порт Undetectable
 

Цены

Раз­работ­чики Undetectable пред­лага­ют гиб­кую сис­тему тарифов: на дан­ный момент это бес­плат­ный и три плат­ных тарифа от 50 до 200 дол­ларов США в месяц.

Бес­плат­ный вари­ант отли­чает­ся от обыч­ного Chromium лишь воз­можностью нас­тра­ивать некото­рые отпе­чат­ки и син­хро­низи­ровать их через обла­ко, но под­держи­вает­ся все­го один поль­зователь. Сле­дующий шаг — базовый тариф за 50 дол­ларов в месяц. Здесь чуть боль­ше пред­нас­тро­енных отпе­чат­ков, не огра­ниче­но соз­дание локаль­ных про­филей, а чис­ло облачных про­филей воз­раста­ет до 50 и за допол­нитель­ную пла­ту уже мож­но сде­лать боль­ше одно­го поль­зовате­ля.

Бо­лее серь­езный тариф за 100 дол­ларов в месяц поз­воля­ет наконец задей­ство­вать боль­шинс­тво воз­можнос­тей бра­узе­ра, вклю­чая экспорт дан­ных из него, а чис­ло облачных про­филей воз­раста­ет до 100. И наконец, самый прод­винутый тариф за 200 дол­ларов, помимо все­го перечис­ленно­го, поз­воля­ет соз­дать 200 про­филей, дает по умол­чанию пять поль­зовате­лей и поз­воля­ет исполь­зовать для син­хро­низа­ции собс­твен­ный сер­вер, что обес­печит кон­фиден­циаль­ность сох­раня­емых там дан­ных.

 

Выводы

Итак, заяв­ленные раз­работ­чиком фун­кции работа­ют как надо. Есть гиб­кие нас­трой­ки пре­дос­тавля­емой сай­там информа­ции и огромное чис­ло при­ложен­ных про­филей. Тес­ты при­ват­ности бра­узер про­ходит уве­рен­но, осо­бен­но при гра­мот­ной нас­трой­ке. Не хва­тило раз­ве что воз­можнос­ти кас­томизи­ровать спис­ки шриф­тов и под­делывать информа­цию о перифе­рий­ном обо­рудо­вании. По час­ти защиты тра­фика и шиф­рования дан­ных нам ска­зать нечего, пос­коль­ку ничего такого здесь не пре­дус­мотре­но.

Из при­ятных фич: в Undetectable очень лег­ко работать с cookies — как заг­ружать, так и выг­ружать их в виде фай­лов. Облачная син­хро­низа­ция работа­ет и будет край­не полез­на, осо­бен­но в коман­дной работе.

Что до цен, то для прос­того поль­зовате­ля, который решил уси­лить свою при­ват­ность, даже 50 дол­ларов в месяц — это невидан­ная по мер­кам под­писок дорого­виз­на. В слу­чае с биз­несом это воп­рос более тон­кий. Нет­рудно пред­ста­вить слу­чаи, ког­да нужен имен­но такой инс­тру­мент, и тог­да 100 или даже 200 дол­ларов в месяц (с воз­можностью исполь­зовать свой сер­вер) немед­ленно нач­нут оку­пать­ся.

Реклама. Рекламодатель: ИП Миронов Павел Владимирович. ИНН 390806044270

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии