martes, enero 06, 2015

HSTS Super Cookies: Cómo te pueden espiar la navegación

El pasado 2 de Enero el investigador Sam Greenhalgh ha publicado una Prueba de Concepto que lleva un paso más allá cómo los sitios web de Internet y, en concreto las empresas de publicidad, pueden utilizar SuperCookies para saber quién eres. Esto va mucho más allá que las EverCookies - que permiten a un sitios crear cookies en una gran cantidad de sitios del navegador web haciendo muy complicado para el usuario eliminarlos todos - ya que lo que utiliza son flags de la especificación HSTS (HTTP Strict Transport Security) para guardar un identificado que le permita al sitio reconocer al usuario desde cualquier web, incluso si navegas desde un navegador en modo anónimo o privado.

Figura 1: Cómo te pueden espiar los sitios web con SuperCookies

Cookies y Privacidad: Cookies, EverCookies & SuperCookies

El objeto de las cookies es guardar información en la sesión de navegación de un cliente. La información que se guarda en una cookie puede ser utilizada para identificar de forma unívoca a una persona, creado para ello un identificador único. Ese valor se puede leer desde el sitio web que lo creó cada vez que se visite la web. Sin embargo, las cookies se pueden borrar fácilmente y por tanto el sitio web no podría saber que una persona es la misma que visitó el sitio hace dos días.

Figura 2: Funcionamiento de las EverCookies

Para conseguir ponerle difícil las cosas al usuario se crearon las EverCookies, un sistema que utiliza no solo las cookies normales para guardar el identificador, sino que utiliza todas las opciones posibles para almacenar datos, que van desde el almacenamiento local en HTML5 hasta las cookies de plugins como Adobe Flash. Aún así, estas EverCookies podrían llegar a ser eliminadas todas si un usuario se lo empeña, o si cambia su navegación a modo Privado o Incógnito.

Figura 3: Identificador único creado en Google Chrome con SuperCookies

Con las SuperCookies esto es no es tan fácil, y es necesario que las implementaciones de Mozilla Firefox, Google Chrome o MicroSoft Internet Explorer cambien, ya que abusan del funcionamiento de la implementación de HSTS. Con HSTS, una web le puede indicar al navegador que siempre que se conecte a ella debe hacerlo usando HTTPS y no HTTP. Esta es una forma para ayudar a que los usuarios dejen de navegar bajo HTTP y pasen a hacerlo sobre HTTPS. Para ello, el servidor web le contesta al cliente con una serie de flags HTTPS que le hacen recordar al navegador esa configuración y ya siempre irá con HTTTPs el tráfico a esa web.

Figura 4: Identificador Único leído desde la SuperCookie en una sesión Incógnito

Entre esos flags, el sitio web puede guardar un Identificador Único utilizando el valor de Max-AGE, que además podrá ser leído desde cualquier pestaña, y desde cualquier navegación, incluso si esta navegación se hace desde otra instancia del navegador en modo Privado o Incógnito.

Doxing y desenmascaramiento

Según el investigador, el equipo de Chromium está viendo cómo puede solucionarlo pero que no es fácil, ya que hay que gestionar el equilibrio entre seguridad y usabilidad. Lo cierto es que con esto, se acaba de abrir un nuevo mundo de posibilidades para el Doxing, es decir, para el desenmascaramiento de quién está detrás de una determinada identidad falsa en redes sociales o visitas a la web, ya que poner este Identificador ayudaría al sitio web a tener todos los datos de todas las sesiones de navegación que se hagan contra esa web desde un navegador concreto.

Saludos Malignos!

6 comentarios:

FollaReyes dijo...

Gracias chema! gran post siempre va bien estar informado sobre el tema de las cookies, y que quieres que te diga, la paranoia va en augmento XDXD!!!

Nietz Fock dijo...

Recientemente instalé el plugins para bloquear rastreadores Ghostery, pero yo no entiendo mucho de esto.
Sabés si sirve de algo o estoy diciendo una burrada.

Ernesto dijo...

¿Y así es como será el BIG BROTHER de Orwell en el s XXI?

Snowden y Assange nos previenen de eventos así. La mano invisible privada con la mano invisible del gobierno espiandonos.

Anónimo dijo...

SG9sYSUyMENoZW1hJTIwbWUlMjBndXN0YSUyMG11Y2hvJTIwdHUlMjBibG9nLi4uJTIwZXMlMjBkZSUyMGxvcyUyMHBvY29zJTIwZW4lMjBlc3BhJUYxb2wlMjB5JTIwbG9zJTIwdGVtYXMlMjB0cmF0YWRvcyUyMHNvbiUyMGZhYnVsb3NvcyUyMHNpZ3VlJTIwYXNpJTIwY2FtcGVvbiUyMCUzQVA

Chema Alonso dijo...

@Anónimo R3JhY2lhcw==

Marina Brpcca dijo...

Chema ¿crees que es viable cumplir con la actual Ley de cookies? a mi me parece materialmente imposible siendo que están en constante transformación por parte de terceros ¿que opinas tu?

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares