Papa Carder
Professional
- Messages
- 188
- Reaction score
- 176
- Points
- 43
Если вы думаете, что режим «Инкогнито», смена IP-адреса, и чистка куки делают и т.д. делают вас невидимкой для корпораций, у меня для вас плохие новости. В 2026 году правила игры в цифровые прятки изменились навсегда.
Тихая революция произошла с выходом последних версий Chromium (в частности, 140-й версии). Самый популярный браузер в мире перестал быть просто программой для просмотра сайтов и превратился в мощный зонд, который сканирует не только ваши действия, но и физическую реальность вокруг вас — от «железа» внутри вашего ноутбука до скорости прохождения сигнала по проводам.
Давайте разберемся, как это работает и почему методы, которые спасали нас еще год назад, сегодня ведут к неминуемому «бану».
В недрах системных папок Chrome есть неприметный файл — Local State. Это не просто настройки. Это досье на ваше устройство. Внутри него спрятан блок данных (в формате Protocol Buffers), который формируется не на основе того, что вы «показываете» сайтам, а на основе того, что браузер сам узнает у Windows.
Что там записано?
- Точная модель вашего процессора и материнской платы.
- Хеши драйверов видеокарты.
- Наличие антивирусов и программ удаленного доступа (вроде TeamViewer).
Пути к файлам:
Windows: %LOCALAPPDATA%\Google\Chrome\User Data\Local State%LOCALAPPDATA%\Google\Chrome\User Data\Default\Preferences(Обычно это: C:\Users\ВашеИмя\AppData\Local\Google\Chrome\User Data\Local State)
macOS: ~/Library/Application Support/Google/Chrome/Local State~/Library/Application Support/Google/Chrome/Default/Preferences
Linux: ~/.config/google-chrome/Local State~/.config/google-chrome/Default/Preferences
В Windows 11 для работы требуется модуль безопасности TPM. На настоящем ноутбуке это физический чип. На виртуальной машине — его программная эмуляция. Chrome научился видеть крошечный маркер svtpm (Software TPM). Как только система видит этот флажок, она понимает: перед ней не реальный пользователь за ноутбуком, а виртуальная копия. Доверие к такому устройству мгновенно падает до нуля.
А. Маркеры виртуализации (Мгновенный бан)
svtpm (Software Trusted Platform Module): Самый критичный параметр. В Windows 11 наличие TPM обязательно. На реальных ПК это чип. На виртуальных машинах это эмуляция. Если в профиле есть флаг или строка svtpm, браузер помечает устройство как "Виртуальная машина". Доверие (Trust Score) падает до нуля.
Специфические объемы RAM: Виртуальные машины часто имеют "слишком ровные" или специфические значения доступной памяти, отличающиеся от физических планок.
Б. Аппаратный фингерпринт
GPU Info: Полная информация о видеокарте, включая ID вендора (VendorID) и устройства (DeviceID), а также версию драйвера. Если драйвер стандартный от Microsoft (Basic Render Driver) или от VMware/VirtualBox — это детект.
CPU: Точная модель процессора, количество ядер и поддерживаемые инструкции.
Drive Info: Серийные номера и модели жестких дисков (получаемые через системные API, а не через JS).
В. Программное окружение
Сервер Google знает, что это мусор, и игнорирует его. Но если ваш трафик идет через дешевый или устаревший прокси, тот может испугаться неизвестных данных и попытаться их «почистить» или вообще разорвать соединение. Для Google это сигнал: «Ага, соединение непрямое, кто-то пытается скрыться».
Допустим, вы сидите в Москве, но включили VPN, чтобы выдать себя за жителя Нью-Йорка.
Ваш сигнал должен добежать до Нью-Йорка и вернуться обратно. Даже свету в оптоволокне нужно на это время (минимум 100–120 миллисекунд).
Настоящий житель Нью-Йорка имеет задержку до сервера Google в соседнем квартале всего 5–10 мс.
Браузер замеряет это время. Если вы утверждаете, что вы в США, но сигнал идет слишком долго, система понимает: это туннель. Вы не там, за кого себя выдаете. Точность этого метода — выше 90%.
Смотрит на карту: Вы подключаетесь к сайту. SNITCH видит ваш IP и определяет, что вы якобы в Берлине.
Спрашивает соседей: Система мгновенно «пингует» проверенные устройства (зонды RIPE Atlas), которые реально находятся в Берлине. Она узнает: «Как быстро должен долетать сигнал из Берлина?». Допустим, это 20 мс.
Сравнивает с вами: Если сигнал от вас идет 100 мс, а от соседей 20 мс — значит, ваши данные летят не напрямую, а делают огромный крюк через скрытый VPN-сервер.
https://www.ndss-symposium.org/wp-content/uploads/madweb25-8.pdf
При прохождении крупного Client Hello с ключом Kyber через цепочку низкокачественных SOCKS5-прокси возрастает вероятность потери пакетов или нарушения порядка их доставки. Антифрод-система может измерять метрики TCP-ретрансмиссий и задержек (RTT) на этапе рукопожатия. Аномально высокое время негоциации TLS (из-за передачи 1.2 КБ данных вместо 300 байт по нестабильному каналу) коррелирует с использованием резидентных прокси.
Тихая революция произошла с выходом последних версий Chromium (в частности, 140-й версии). Самый популярный браузер в мире перестал быть просто программой для просмотра сайтов и превратился в мощный зонд, который сканирует не только ваши действия, но и физическую реальность вокруг вас — от «железа» внутри вашего ноутбука до скорости прохождения сигнала по проводам.
Давайте разберемся, как это работает и почему методы, которые спасали нас еще год назад, сегодня ведут к неминуемому «бану».
Браузер знает, какая у вас материнская плата
Раньше системы защиты (антифрод) смотрели на поверхностные вещи: разрешение экрана, версию операционной системы, часовой пояс. Сегодня Google смотрит гораздо глубже — прямо в "душу" вашего компьютера.В недрах системных папок Chrome есть неприметный файл — Local State. Это не просто настройки. Это досье на ваше устройство. Внутри него спрятан блок данных (в формате Protocol Buffers), который формируется не на основе того, что вы «показываете» сайтам, а на основе того, что браузер сам узнает у Windows.
Что там записано?
- Точная модель вашего процессора и материнской платы.
- Хеши драйверов видеокарты.
- Наличие антивирусов и программ удаленного доступа (вроде TeamViewer).
Пути к файлам:
Windows: %LOCALAPPDATA%\Google\Chrome\User Data\Local State%LOCALAPPDATA%\Google\Chrome\User Data\Default\Preferences(Обычно это: C:\Users\ВашеИмя\AppData\Local\Google\Chrome\User Data\Local State)
macOS: ~/Library/Application Support/Google/Chrome/Local State~/Library/Application Support/Google/Chrome/Default/Preferences
Linux: ~/.config/google-chrome/Local State~/.config/google-chrome/Default/Preferences
Ловушка для виртуальных машин:
Многие используют виртуальные машины (VM), чтобы разделить свои цифровые личности. Google научился вычислять это с пугающей точностью.В Windows 11 для работы требуется модуль безопасности TPM. На настоящем ноутбуке это физический чип. На виртуальной машине — его программная эмуляция. Chrome научился видеть крошечный маркер svtpm (Software TPM). Как только система видит этот флажок, она понимает: перед ней не реальный пользователь за ноутбуком, а виртуальная копия. Доверие к такому устройству мгновенно падает до нуля.
Что конкретно ищет Google (Красные флаги)
После декодирования вы увидите дерево параметров. Вот на что антифрод смотрит в первую очередь:А. Маркеры виртуализации (Мгновенный бан)
svtpm (Software Trusted Platform Module): Самый критичный параметр. В Windows 11 наличие TPM обязательно. На реальных ПК это чип. На виртуальных машинах это эмуляция. Если в профиле есть флаг или строка svtpm, браузер помечает устройство как "Виртуальная машина". Доверие (Trust Score) падает до нуля.
Специфические объемы RAM: Виртуальные машины часто имеют "слишком ровные" или специфические значения доступной памяти, отличающиеся от физических планок.
Б. Аппаратный фингерпринт
GPU Info: Полная информация о видеокарте, включая ID вендора (VendorID) и устройства (DeviceID), а также версию драйвера. Если драйвер стандартный от Microsoft (Basic Render Driver) или от VMware/VirtualBox — это детект.
CPU: Точная модель процессора, количество ядер и поддерживаемые инструкции.
Drive Info: Серийные номера и модели жестких дисков (получаемые через системные API, а не через JS).
В. Программное окружение
- Список ПО: В Local State могут сохраняться следы установленного софта, который Google считает подозрительным. Это инструменты удаленного доступа (AnyDesk, TeamViewer) и проксификаторы.
- Антивирус: Наличие и состояние антивируса. "Чистая" машина без антивируса (или с отключенным Защитником Windows) выглядит подозрительно для обычного домашнего пользователя.
"Три всадника" сетевого апокалипсиса
Самый сильный удар по анонимности был нанесен не на уровне компьютера, а на уровне сети. Google внедрил три технологии проверки соединения, которые делают использование дешевых прокси и старых VPN (вроде OpenVPN) бессмысленным. Эксперты в шутку называют их «Тремя всадниками».1. GREASE: Проверка на "вшивость"
Представьте, что вы здороваетесь с сервером Google. Чтобы проверить, не стоит ли между вами посредник (прокси), браузер начинает говорить на тарабарщине. Он вставляет в заголовок приветствия случайные, мусорные значения (это и есть технология GREASE).Сервер Google знает, что это мусор, и игнорирует его. Но если ваш трафик идет через дешевый или устаревший прокси, тот может испугаться неизвестных данных и попытаться их «почистить» или вообще разорвать соединение. Для Google это сигнал: «Ага, соединение непрямое, кто-то пытается скрыться».
2. SNITCH: Физику не обманешь
Это, пожалуй, самая умная ловушка. Алгоритм SNCH (анализ сетевых задержек) использует законы физики против вас.Допустим, вы сидите в Москве, но включили VPN, чтобы выдать себя за жителя Нью-Йорка.
Ваш сигнал должен добежать до Нью-Йорка и вернуться обратно. Даже свету в оптоволокне нужно на это время (минимум 100–120 миллисекунд).
Настоящий житель Нью-Йорка имеет задержку до сервера Google в соседнем квартале всего 5–10 мс.
Браузер замеряет это время. Если вы утверждаете, что вы в США, но сигнал идет слишком долго, система понимает: это туннель. Вы не там, за кого себя выдаете. Точность этого метода — выше 90%.
Смотрит на карту: Вы подключаетесь к сайту. SNITCH видит ваш IP и определяет, что вы якобы в Берлине.
Спрашивает соседей: Система мгновенно «пингует» проверенные устройства (зонды RIPE Atlas), которые реально находятся в Берлине. Она узнает: «Как быстро должен долетать сигнал из Берлина?». Допустим, это 20 мс.
Сравнивает с вами: Если сигнал от вас идет 100 мс, а от соседей 20 мс — значит, ваши данные летят не напрямую, а делают огромный крюк через скрытый VPN-сервер.
https://www.ndss-symposium.org/wp-content/uploads/madweb25-8.pdf
3. Постквантовая криптография
В ожидании появления квантовых компьютеров Google внедрил новый, сверхмощный метод шифрования (X25519kyber768). Его особенность — ключи шифрования стали очень "тяжелыми" и большими.При прохождении крупного Client Hello с ключом Kyber через цепочку низкокачественных SOCKS5-прокси возрастает вероятность потери пакетов или нарушения порядка их доставки. Антифрод-система может измерять метрики TCP-ретрансмиссий и задержек (RTT) на этапе рукопожатия. Аномально высокое время негоциации TLS (из-за передачи 1.2 КБ данных вместо 300 байт по нестабильному каналу) коррелирует с использованием резидентных прокси.
