La VPN no te salvará: cómo se recopilan los datos personales a través de SuperCookies





Thomas Dunning dijo: "Con un 300 por ciento [de ganancia], no hay delito que él [la capital] no se arriesgue, aunque sólo sea bajo pena de la horca". Estas palabras, dichas en el siglo XIX, siguen siendo relevantes hoy. Las empresas que hacen negocios en Internet están inventando formas cada vez más sofisticadas de espiar a los usuarios. 



La historia de las cookies ha pasado por varios escándalos relacionados con violaciones a la privacidad, el trabajo de los navegadores con ellas cambió paulatinamente y, al parecer, finalmente entró en un canal civilizado. Hemos aprendido a proteger nuestros datos y se ha vuelto relativamente seguro comer galletas.



Pero luego aparecieron las Supercookies , una cosa bastante pegajosa que literalmente no se puede pasar por alto. 



En realidad supercookiesno una tecnología específica, sino un nombre general para varios medios de recopilar y almacenar información privada, que funcionan de manera encubierta eludiendo las restricciones conocidas. Veamos qué son las supercookies, cómo recopilan exactamente nuestros datos y cómo protegernos de ellas.



Cómo la ingenuidad de los desarrolladores creó las bases para la recopilación de datos personales 



La idea de almacenar datos de sitios localmente surgió en los albores de Internet. Inicialmente, las tecnologías de cookies perseguían objetivos extremadamente buenos, pero, como la mayoría de los protocolos y tecnologías, fueron creadas por idealistas a los que realmente no les importaba la seguridad, que simplemente no podían imaginar la escala real del desarrollo de la red en el futuro. 



Estos problemas comenzaron cuando las computadoras eran grandes y los programadores eran algo ingenuos. Por ejemplo, una de las vulnerabilidades de las redes celulares surgió por la misma ingenuidad: Miedo y Terror a SS7



También con galletas. La idea de recordar los productos que el usuario ha agregado al carrito, no obligarlo a ingresar una contraseña cada vez que visita la página, recordar la apariencia del sitio, etc., es genial. ¿Qué puede salir mal?



Las estadísticas son un dato para la publicidad. Información sobre los usuarios, su comportamiento en los sitios, preferencias en la elección de productos, tiempo de permanencia en la página. Los empresarios están dispuestos a hacer cualquier cosa por el bien de ello, y la estrategia publicitaria se construye de acuerdo con ello. 



La primera alarma se dio en 1996. Solo un par de años después de la introducción de la cookie, el Financial Times publicó un artículo en su periódico sobre la amenaza a la privacidad:





Las investigaciones realizadas en 1996 y 1997 por la Comisión Federal de Comercio de EE. UU. Dieron como resultado una especificación de cookies. Una de sus disposiciones era que las cookies de terceros deberían estar completamente bloqueadas o, al menos, no funcionar de forma predeterminada.



 Además de la capacidad de monitorear en secreto las acciones de los usuarios, las primeras versiones tenían otras desventajas. Por ejemplo, podrían ser interceptados y reemplazados, y luego usarse para ingresar al sitio con la contraseña de otro usuario. En el transcurso de la evolución del trabajo con cookies, se han emitido varias directivas que endurecen la política de uso de cookies, por ejemplo: limitar la duración de su funcionamiento. 



Posteriormente, las cookies se equipararon a datos personales y gradualmente se endurecieron los requisitos para recopilar información sobre los usuarios, hasta la decisión más ridícula y molesta: una notificación emergente de que se utilizan cookies en el sitio y una oferta para estar de acuerdo con este hecho. Consiguió a todos tan mal que algunos navegadores incluyeron la capacidad de eliminar estos banners en su configuración, y se escribieron varias extensiones para bloquear advertencias molestas.



Cómo Flash-Supercookie recopiló los datos personales



Las supercookies eran inicialmente desagradables y potencialmente peligrosas. A diferencia de las cookies normales, su fuente no provenía de una dirección de sitio específica, sino de un dominio de nivel superior. Por ejemplo, en lugar de vincularse al sitio habr.com, se asignó un archivo de cookie al nombre de dominio com y podría controlar el trabajo del usuario con cualquier sitio en esta zona de dominio. Esta posibilidad era tan obvia que los navegadores la bloquearon desde el principio. Pero, cuando había formas de almacenar información privada de otras formas, este nombre se recordaba y se atascaba.



Durante mucho tiempo, la capacidad de proporcionar una interacción sofisticada en un sitio de Internet (mostrando videos, banners animados y juegos de navegador) fue casi exclusivamente posible con la ayuda de la tecnología Flash. El notorio Adobe Flash Player cargó fuertemente el procesador, no permitió detectar correctamente los errores que ocurrieron, lo que provocó que el navegador se bloqueara y se ralentizara. Además, el motor contenía muchas vulnerabilidades que fueron explotadas sin piedad por atacantes de todo tipo. 



Dado que las empresas comerciales no son muy diferentes de los sinvergüenzas en la elección de los medios, no dudaron en utilizar las capacidades de flash para recopilar información sobre los usuarios. Para ello, una tecnología denominada " objetos compartidos locales"(LSO, objetos compartidos locales). Originalmente estaba destinado, por ejemplo, a guardar el progreso en un juego flash de navegador o ajustar el volumen en un reproductor de audio. Los LSO están disponibles en diferentes navegadores porque se refieren a un reproductor flash. Con su ayuda, las http-cookies ordinarias se pueden restaurar si el usuario las ha eliminado, y dentro de los propios LSO, puede almacenar una gran cantidad de información recopilada sobre el usuario de la computadora. 



Durante mucho tiempo esta tecnología no llamó la atención de los profesionales de la seguridad, pero en 2009 Jeremy Kirk publicó su estudio sobre cuestiones de privacidad: Estudio: Las cookies de Adobe Flash plantean inquietantes cuestiones de privacidad... Poco a poco, comenzaron a aparecer extensiones de terceros para controlar y eliminar las cookies de Flash, pero los torpes fabricantes de navegadores y Adobe no tenían prisa por notar este problema. No fue hasta 2011 que los navegadores convencionales aprendieron a trabajar con estas cookies de la misma manera que lo hacen con las normales. 



Pero al final, el reproductor Flash con fugas y movimiento lento finalmente atrapó a todos, y HTML5 se generalizó lo suficiente, lo que hizo posible deshacerse por completo de la tecnología Flash. Lo mataron durante mucho tiempo y, dolorosamente, la empresa de fabricación abandonó muy lentamente su creación. En 2012, Adobe prometió que terminaría el soporte para la tecnología en aproximadamente una década. En 2017, se anunció la fecha límite para eliminar el reproductor flash del sitio: diciembre de 2020. Estos tres años, según la compañía, fueron necesarios para que los desarrolladores adaptaran sus sitios a HTML5. Hace un mes, este período llegó a su fin, y en todos los navegadores comenzaron a aparecer molestas advertencias de que el plug-in, finalmente e irrevocablemente, está siendo eliminado de todas partes, aunque no está claro por qué notificar a los usuarios sobre esto.que no están particularmente interesados ​​en las complejidades de la estructura interna de los sitios.



Sobre esto, el tema de las cookies flash se puede considerar completamente agotado.



Las supercookies basadas en ETag , uno de los identificadores del encabezado HTTP que responde a la solicitud, si la versión actual del recurso difiere de la cargada, funcionaron aproximadamente de la misma manera . Estas cookies se descubrieron casi al mismo tiempo que Flash-Supercookie y, después de una demanda en 2011, eran relativamente raras. 



HTTP Supercookie: cómo Verizon y Access venden datos de forma silenciosa



Flash no es la única forma de espiar a los usuarios a través de cookies. 



Ambas historias de recopilación y comercio de datos fueron posibles debido al hecho de que los usuarios comunes no entendían realmente las complejidades de la tecnología. Los especialistas en seguridad hicieron sonar la alarma con diligencia, pero no fueron escuchados y durante mucho tiempo se prestó poca atención a la privacidad de la conexión HTTP. 



El protocolo HTTP sin cifrado SSL ha vivido durante mucho tiempo: los certificados SSL se pagaron, a veces no eran nada baratos (algunas empresas los vendían por más de $ 100). La segunda razón es la complejidad del uso. Este es el certificado que se instala y actualiza ejecutando un script, y antes de que Mozilla lanzara su iniciativa Let's Encrypt, no todos los administradores pensaron que era necesario aprender a instalar SSL.



Pero mientras tanto, los ISP estaban explotando y vendiendo la capacidad de rastrear usuarios a través de HTTP a los anunciantes. 



Funcionó de una manera bastante sofisticada. Cuando un usuario visitaba el sitio, su proveedor insertaba información especial en el encabezado HTTP: UIDH (Unique Identifier Headers), único para cada usuario, que permitía identificar de manera completamente única la computadora o teléfono inteligente desde el que se abrió la página. Para tal operación, se utilizó la sensacional tecnología DPI



El problema fue que el usuario prácticamente no tiene influencia en este proceso, porque todo sucede del lado del proveedor de servicios de acceso a Internet. La identificación se incrusta después de que la solicitud abandona el navegador de camino al sitio. 



La información de esta súper cookie no se almacena localmente y, por lo tanto, no se puede eliminar. Los bloqueadores de anuncios tampoco pueden hacer nada. Además de la dirección del sitio al que va el navegador y la hora de la solicitud, UIDH puede transmitir información sobre el número de teléfono móvil desde el que el usuario navega por Internet, la hora de la solicitud y otros datos.



El escándalo más famoso que involucra este método de rastreo de usuarios involucra a Verizon, un proveedor de telefonía celular de EE. UU. Verizon comenzó a utilizar UIDH en 2012 para ofrecer anuncios personalizados, intercambiando activamente los datos personales de sus clientes. Fue solo en 2014 que la compañía admitió públicamente este hecho, enterrando la mención en las preguntas y respuestas de su sitio web. Sin embargo, esto se notó y una oleada de críticas cayó sobre Verizon por una actitud tan descarada hacia sus usuarios. En 2015, la compañía se vio obligada a agregar una configuración a la cuenta personal del usuario para deshabilitar el uso de UIDH para sus dispositivos, y en 2016 finalmente se terminó. La FCC ha multado a la empresa con 1,35 millones de dólares. 



Por desgracia, Verizon no está solo. 



La empresa Access ha creado un sitio web especial Amibeingtracked.com (dirección actual: www.accessnow.org/aibt/ ) y ha comenzado a analizar los encabezados HTTP de los usuarios de teléfonos móviles que han aceptado realizar las pruebas. Resultó que el 15,3% de las solicitudes contenían supercookies. Participaron usuarios de todo el mundo. Resultó que casi todos los principales operadores móviles siguieron a sus usuarios de esta manera. 



Existe la sospecha de que Verizon se echó atrás solo porque este método ha dejado de ser relevante debido a la adopción generalizada de SSL, que mencioné anteriormente. Y la cantidad no parece impresionante en comparación con las recientes multas antimonopolio, donde la factura asciende a cientos de millones de dólares. Es probable que Verizon haya ganado mucho más dinero con las ventas de PD. 



Además, debe tenerse en cuenta que no solo los sitios que operan sobre el protocolo HTTPS pueden protegerse contra dicha vigilancia, sino también la navegación a través de una VPN. En este caso, el proveedor tampoco puede sustituir a UIDH. Ambos métodos de protección son relevantes, y las cerraduras de alfombra recientes han enseñado a muchos conocimientos informáticos, y mucha gente ha aprendido sobre VPN.



HSTS-Supercookie: Por qué SSL no nos salvará



Parecería que el cifrado debería proporcionar protección contra las escuchas, pero resultó que esto no es una garantía de privacidad. El siguiente método es puramente académico, apenas práctico, y es una demostración de la sofisticación de Sam Greenhalgh de Radical Research, quien demostró este mecanismo en 2015.



Se basa en el hecho de que para cada sitio en el navegador hay una variable booleana especial que almacena el estado de cómo el usuario ingresó al sitio: a través de HTTPS o HTTP. Por ejemplo, la última vez que un usuario visitó el sitio habr.com a través de HTTPS y el sitio flibusta.is, a través de HTTP (lamentablemente, esto ahora es relevante debido a la lentitud de los administradores de la biblioteca). El navegador tendrá datos como estos:



habr.com: 1;
      
      





Y flibusta.is no se mencionará en la base de datos HSTS. 



Así, puede registrar varios dominios de la forma: 00-hsts-supercookie.net, 01-hsts-supercookie.net, 02-hsts-supercookie.net, 03-hsts-supercookie.net. 



Luego escribe un script que, al ingresar a tu sitio, generará llamadas a "cookies" según una plantilla única para cada usuario, formando una tabla con valores del formulario en la base de datos HSTS de su navegador:



00-hsts-supercookie.net: 1;

02-hsts-supercookie.net: 1;
      
      





Y luego lea los datos de las "cookies", sustituyendo 0 por sitios que no están en la base de datos. En este ejemplo se formará el número 1010. Si registra dos o tres docenas de sitios, entonces los identificadores únicos serán suficientes para proporcionarlos en general a todos los suscriptores que, teóricamente, pueden ingresar al sitio. 



Para ser justos, debe tenerse en cuenta que los desarrolladores del navegador reaccionaron a esta información y las cookies ahora se eliminan junto con los datos de esta tabla. Pero además de esta bandera, los navegadores modernos almacenan mucha otra información, que se discutirá a continuación. 



HTML5-Supercookie



El progreso avanza, HTML5 ha conquistado Internet con confianza, Flash ha sido eliminado, las capacidades del nuevo estándar le permiten crear milagros en páginas que antes eran inaccesibles. ¿Pero Internet se ha vuelto más seguro? Lamentablemente no.



Todas estas tecnologías proporcionan mucha información a través de la cual se puede formar una "huella digital" única del navegador. 



Si visita sitios modernos, entonces usa las capacidades de HTML5, lo que significa que la información sobre: ​​agente de usuario, tamaño del lienzo, resolución de pantalla y profundidad de color, fuentes del sistema y mucho más, se transmitirá al sitio para representarlo adecuadamente. en el navegador ... Además, el estándar HTML5 permite guardar datos en Localstorage, un almacenamiento especial que no está disponible para el usuario a través del menú habitual para borrar cookies, historial de visitas o caché del navegador.



Puede ver todo lo que el navegador envía al sitio en www.deviceinfo.me . Intente ingresar, ¡la cantidad de información es impresionante! 



También hay sitios que comparan toda la información transmitida y calculan qué tan único es su dispositivo en particular entre muchos otros. Por ejemplo, fui a coveryourtracks.eff.org , el sitio promovido por una organización de derechos humanos sin fines de lucro Foundation Electronic Frontier (Electronic Frontier Foundation, EFF) y descubrí que:



Sus resultados La



huella digital de su navegador parece ser única entre las 300,802 probadas en los últimos 45 días.



Actualmente, estimamos que su navegador tiene una huella digital que transmite al menos 18,2 bits de información de identificación.



Las medidas que usamos para obtener este resultado se enumeran a continuación. Puede leer más sobre nuestra metodología, resultados estadísticos y algunas defensas contra las huellas digitales aquí.


En teoría, se cree que puede reducir ligeramente la singularidad del navegador utilizando un proxy o VPN y el modo de navegador privado. Por desgracia, esto no me ayudó mucho, los resultados obtenidos en la pestaña privada a través de la VPN integrada en Opera, dieron casi los mismos resultados: 



Sus resultados La



huella digital de su navegador parece ser única entre las 300,854 probadas en los últimos 45 días.



Actualmente, estimamos que su navegador tiene una huella digital que transmite al menos 18,2 bits de información de identificación.



Las medidas que usamos para obtener este resultado se enumeran a continuación. Puede leer más sobre nuestra metodología, resultados estadísticos y algunas defensas contra las huellas digitales aquí.


Aunque un dispositivo de cada trescientos mil está en el mar, donde flotan cientos de millones de teléfonos inteligentes y computadoras de escritorio, hay un lugar para esconderse.



Cache-Supercookie: una forma sofisticada de autenticar a un usuario a través de un caché



Otra forma de espiar a un usuario es el uso sofisticado de información almacenada en caché. Algunos sitios usan las mismas imágenes en sus páginas, los navegadores ahorran espacio en disco y ancho de banda al almacenar datos en caché. Una imagen o una fuente se descarga una vez y luego se carga desde el almacenamiento local. La tecnología es tan antigua como Internet, pero incluso entonces había una forma de distinguir a un usuario de otro.



Por ejemplo, un rastreador codifica un ID único en una imagen almacenada en caché de un solo sitio. El otro usa la misma imagen y el rastreador extrae el ID de la imagen en caché cuando el usuario visita el segundo sitio.



Puede luchar contra estas supercookies separando cachés para diferentes sitios. Hace una semana, el equipo de Firefox informóque incluyeron este mecanismo en la versión 85 del navegador. La cantidad de datos almacenados en caché aumenta, pero se vuelve más difícil rastrear al usuario.



¿Qué tipo de cookies seremos alimentadas en el futuro?



Toda esta lucha parece estar bien, la privacidad es algo que en el mundo moderno están tratando de arrancarnos por cualquier medio. Las cámaras conectadas a los servicios de reconocimiento facial y de matrículas se han convertido en una realidad desde hace mucho tiempo, atrapan a los delincuentes y emiten multas por exceso de velocidad. El DPI para los operadores móviles da forma al tráfico de los pocos clientes de torrents que quedan y reduce su ancho de banda para que no interfieran con otros que ven videos de YouTube. Sitios "prohibidos" bloqueados.



Hace poco me contaron una historia sobre cómo en un pequeño pueblo ruso, con la ayuda de cámaras de vigilancia, capturaron a un grupo de gopniks que se divertían golpeando a los transeúntes solitarios y luego los intimidaron para que no se lo contaran a la policía. Cuando los patrulleros llegaron al lugar, las gopniks se quedaron en silencio, sin preocuparse por su seguridad, pero los policías que salieron de los autos ni siquiera hicieron preguntas, simplemente torcieron a todos los involucrados. Porque las cámaras que filmaron la golpiza los reconocieron a todos por el rostro y no se necesitó ningún testimonio adicional.



Por lo tanto, ¿da tanto miedo a las empresas de publicidad rastrear nuestras acciones en Internet?



Difícil de decir. No se trata solo de vigilancia, sino de molestos intercambios "personalizados". Por un lado, en mi memoria, solo una vez utilicé una oferta publicitaria de los resultados de búsqueda, que estaba marcada como "Publicidad". A lo largo de los años, la gente ha desarrollado la "ceguera de los banners", e incluso sin un bloqueador de anuncios, este método ya no funciona muy bien. Por otro lado, la alta relevancia de búsqueda en Google, Amazon o AliExpress funciona gracias a rastreadores inteligentes que rastrean nuestra actividad.



Pero casi todos pueden recordar una historia misteriosa, cuando en una conversación real o un chat de Telegram mencionaron una categoría de bienes, y luego de unos minutos el teléfono inteligente mostró sitios con pancartas de las cosas discutidas. Y la innovación más molesta es el rastreo de advertencias sobre el uso de cookies que no desaparecen hasta que presionas el botón para aceptarlas. 



¿Es bueno o malo? Probablemente ni lo uno ni lo otro. Se ha convertido en un lugar común y la privacidad es una ilusión.






All Articles