La tarcoteca

by Pablo Heraklio, PHkl/tctca. Contact at Tarcoteca@riseup.net

sábado, 18 de febrero de 2017

Se intensifica el Seguimiento Web: nuevo Sistema de Huellas de Cruce de Navegadores

Se presenta un nuevo método de seguimiento en la red que ha levantado de su silla a la comunidad hacker internacional y a los defensores de los derechos a la intimidad. 


Debido a los problemas de todo tipo que plantea el seguimiento de la dirección IP se plantean métodos de detección y seguimiento alternativos. Uno de ellos es el rastreo de huellas del navegador 'Browser Fingerprinting' el cual, obviando la IP, usa los numerosos metadatos generados durante la navagación para obtener una huella única que identifique, ya no una dirección física de un terminal, sino el propio terminal.

El procedimiento 'simple' estudia las huellas de dispositivos internos, controladores y programas que se reflejan en el navegador para obtener una huella digital única, pero el usuario podía combinar varios navegadores para conseguir ocultar su huella. El nuevo proceso de combinado 'Cross Browser Fingerprinting' es capaz de cruzar los datos de varios navegadores de modo que el seguimiento es más exacto, hasta el punto de reconocer un dispositivo con un 99,2% de acierto. Por este hecho también ha sido capaz de evitar los enmascaradores.

Esta huella es como un DNI de nuestro terminal que podrá ser rastreada por toda la red y de la que no nos podremos librar. Esto es, podremos usar distintas direcciones, localizaciones, proveedores virtuales de direcciones VNP o combinaciones de navegadores, pero si usamos nuestra terminal personal, teléfono, tablet, lap top, PC, siempre seremos identificados por sus características propias. Os podéis imaginar lo que sucederá cuando crucen los datos de las terminales con los servicios online, como redes sociales, proveedores de correo o plataformas de vídeo o noticias o banca.

Podéis consultar

- aquí vuestra huella digital personal: Unique Machine de los propios desarrolladores del proyecto.
- aquí vuestra protección: Panopticlick

Nuestra Prueba

En nuestra prueba con Panopticlick nuestro navegador es capaz de bloquear publicidad de seguimiento 'tracking adds', en su mayor parte cockies, bloquear seguimiento invisible 'invisible tracking', pero no bloquea terceras partes que incumplen su promesa de no seguimiento, ni está protegido contra la huella del navegador 'browser fingerprinting'. El sistema es capaz de identificar nuestra huella de identidad del navegador entre unos 253.000 firmas gracias a 17.95 bits de información que lo hacen único.

Contramedidas

Repetimos: hasta ahora no hay ninguna plataforma a salvo del 'Cross Browser Fingerprinting'. Cada una disminuye el grado de discriminación del método en un porcentaje.
Fácil- Usar bloqueadores de publicidad, recomendamos U-block.
Fácil- Inhabilitar el 'Seguimiento de terceras partes' en vuestro navegador. Consulta su guía.
Fácil- Usar extensiones 'Do not track me' para el navegador. AQUÍ lista.
Fácil- Usa navegadores convencionales - no raros-.
Medio- Desactiva JavaScript. Consulta la guía de tu navegador.
Difícil- Usar programas VPN como PIA Private Internet Access (hasta ahora solo de pago).
         -  Usar Tor: https://www.torproject.org/. Efectividad Media.

Los intentos de controlar la red pasan por identificar cada uno de los puntos negros; todos aquellos individuos que se oponen al control de la misma. Es curioso que la población entera del planeta sea señalada como punto negro. Es el reflejo de una mente retorcida hasta quedar irreconocible como de origen humano.

_________
Traducción tarcoteca de - Web Tracking Gets Extremely Aggressive with New Hardware Level Fingerprinting - Freedom Hacker 15.2.2017

El seguimiento web online se ha vuelto aún más agresivo de la noche a la mañana, cuando un grupo de investigadores ha desarrollado un método seguimiento de huellas digitales de navegadores tan intrusivo que es capaz de rastrear el software hasta llegar al nivel de hardware. Esta técnica reciente, que actualmente no puede ser bloqueada, permite que los sitios web rastreen a los visitantes aunque utilicen dos navegadores totalmente diferentes.

Las huellas dactilares del navegador son una de las técnicas más eficaces para identificar a los individuos en la Web hasta la fecha. Esto se debe a la forma en que los navegadores interactúan con los sitios web para que funcionen correctamente. Para visualizar cómo funciona la huella digital, la 'Electronic Fronter Foundation' tiene una herramienta de privacidad gratuita online conocida como Panopticlick.

El servicio mide la eficacia de su navegador frente a la web de seguimiento en línea, y más específicamente de las huellas digitales. Los resultados varían en función de cada configuración específica de cada computadora, incluyendo todo, desde fuentes, a complementos específicos, a zonas horarias. El sitio realmente puede proporcionar una huella digital completamente identificable.

Mientras que este seguimiento es extremadamente agresivo, siempre se había limitado a un navegador. Esto significa que si usaste un servicio en Firefox y luego hiciste lo mismo en Chrome, no serías identificable específicamente debido a tu navegador. En la última técnica esbozada por los investigadores, en un documento titulado "Seguimiento de la huella digital de Navegadores (Cruzados) través de OS y niveles de características de hardware - (Cross-) Browser Fingerprinting via OS and Hardware Level Features", los investigadores fueron capaces de identificar a los usuarios a través de múltiples navegadores. La última técnica es en realidad más precisa que los métodos de huellas dactilares disponibles hasta el momento.

La huella dactilar no es intrínsecamente mala, y puede, en ciertos momentos, ofrecer beneficios potenciales para el usuario. Un ejemplo de esto sería con los bancos, el seguimiento de las huellas serviría para saber si la persona que inician sesión en la cuenta es en realidad usted y no un dispositivo desconocido. Basado en técnicas de automatización, los bancos son realmente capaces de identificar la actividad sospechosa en tiempo real y contactar con los titulares de cuenta para confirmar si el dispositivo es de hecho suyo. Sin embargo, no todos los sitios web que visitamos son bancos, que plantean enormes preocupaciones en materia de privacidad.

"Desde una perspectiva negativa, la gente podría usar nuestro "Seguimiento cruzado de navegadores" para violar la privacidad de los usuarios al proporcionar anuncios personalizados", dijo a la revista Ars el Pr Yinzhi Cao [1], investigador principal y profesor en el Departamento de Ciencias de Computación e Ingeniería de la Universidad de Lehigh.
"Nuestro trabajo hace que el escenario sea aún peor, porque después de que el usuario cambia de navegador, la compañía de anuncios todavía puede reconocer al usuario. Con el fin de derrotar la violación de la privacidad, creemos que necesitamos conocer bien a nuestro enemigo".

Las huellas de navegadores cruzados

La nueva técnica se basa en el código que instruye a cada navegador para realizar una variedad de tareas del sistema. Estas tareas pueden realmente afectar el rendimiento del sistema y del hardware, entre ellas, asignar tareas a la tarjeta gráfica, núcleos múltiples de GPU, tarjetas de audio y fuentes tipográficas del sistema, que pueden variar considerablemente para cada equipo. La técnica de Cruce de Huellas de Navegadores se lleva a cabo comparando 36 nuevas funciones para rastrear navegadores, 20 de los cuales utilizan el estándar WebGL para renderizar gráficos 3D en los mismos.

Los investigadores explican cómo funcionan estas tareas en su trabajo, detallando:


Proponemos una huella dactilar de navegador (cruzada) basada en muchos nuevas características de Sistemas Operativos SO y características del hardware, por ejemplo, desde tarjeta gráfica, CPU, sistema de audio y scripts de escritura instalados. Específicamente, debido a que muchas de estas funciones a nivel de hardware y Sistemas Operativos están expuestas a JavaScript a través de las API del explorador [application programming interface], podemos extraer características al solicitar al explorador que realice determinadas tareas a través de estas Aplicaciones. Las características extraídas pueden utilizarse tanto para la tomar huellas de un solo navegador como para cruzar navegadores.

Promedio del 99% de éxito

La técnica de seguimiento de navegador cruzado se basa en código compactado JavaSctipt que puede ejecutarse rápidamente en segundo plano mientras los visitantes se centran en su página web, como leer un artículo o ver un vídeo. Los investigadores lanzaron un sitio web para demostrar las técnicas en vivo AQUÍ, y lanzaron el código correspondiente, ahora, código abierto AQUÍ

En una prueba que recogió 3.615 huellas de 1.903 usuarios individuales en un período de tres meses, la técnica fue capaz de identificar a los usuarios con una tasa de éxito del 99,2%. Por el contrario, las técnicas anteriores que se basan en una sola huella de navegador conocida como AmIUinque, tuvieron una tasa de éxito del 90,8% en el mismo grupo de prueba.

Tor y el Seguimiento de Navegadores cruzados

Una de las ventajas del seguimiento cruzado del navegador es que no afecta a la instalación predeterminada del navegador Tor, dejando a Tor como una solución de privacidad bastante viable. Una parte de los usuarios que utilizan Tor regularmente modificarán ligeramente las opciones de su navegador Tor para hacerlo más accesible a la web, sin embargo, las últimas técnicas podrían des-anonimizar a un montón de usuarios de Tor rápidamente. 

Cao dijo que no está al tanto de los sitios que actualmente despliegan las huellas cruzadas de navegadores.
____________

Para saber más

LA TARCOTECA Contrainfo: Seguridad informática: cómo evitar represión, censura y espionaje en internet. Ocultar la IP, Navegación anónima, Cifrado, Apps, móviles. VPN gratis. Extensiones. E-rramientas. Manuales. en constante actualización

6 comentarios:

  1. Soy un completo analfabeto en todo cuanto se refiere a las tecnologías, pero supongo que, aun estando al día, necesitaría ser poco menos que un genio para escapar 100x100 al control del "gran hermano". Admiro a los hackers que son capaces, no ya de proteger su anonimato, sino de penetrar los sistemas del enemigo y birlarle información. Auténticos guerrilleros/as del s.XXI.
    Leo con atención e interés cuanto aquí se publica acerca de la seguridad en la red, que ha sido mucho, pero mi ignorancia supera con creces mi voluntarismo. En cualquier caso, se agradece esta información que, al menos en mi caso, nos da una idea de la complejidad de la red y de nuestra vulnerabilidad.

    Salud!

    ResponderEliminar
    Respuestas
    1. Yo tampoco soy experto, pero hay que saber por donde van los tiros si no quieres que acaben todos en la misma nuca, que suele ser la propia.
      El nivel hacker es profesional. Nosotros, difundiendo su trabajo, logramos que lleguen a los grandes grupos sus avisos, así que es un trabajo de equipo el proteger a la población de esta peste predadora que ocupa los tronos.
      Salud!

      Eliminar
  2. Artículo relacionado:

    http://www.mintpressnews.com/us-border-agents-are-now-searching-digital-devices-what-are-your-rights/225040/

    ResponderEliminar
    Respuestas
    1. Muy interesante. De hecho Electronic Frontier Fundation, las compañía que lanza Panoptclick, es la misma protegonista de la noticia. La verdad es que me da miedo chequear quién está detrás de EFF, por si me llevo sorpresas...
      Chequeado:
      https://www.eff.org/files/annual-report/2015/index.html#TechEncrypt
      Parecen un gabinete de abogados pro-derechos normal y no parece que tengan padrinos indeseados.
      Increible la pasta que manejan estos pollos. Así si.
      Salud!

      Eliminar
  3. Yo creo que por mucho que nos intentemos esconder o defender estamos lejos de poder hacerlo, pensemos que siempre hablamos de tecnología y conocimientos civiles, los militares están muy por delante, es otro mundo.
    Lo único que creo que es positivo es que al final tendrán a siete mil millones de "terroristas" a los que enfrentar y la mayoría les somos necesarios para producir su alimento, así que llega un momento en que tanta información no les sirve de nada, es como el millonario que teniendo cien mil millones, gana siete millones más.
    Pueden acusar a cualquiera de lo que quieran, no necesitan pruebas de nada, nunca lo han necesitado, esto realmente solo sirve para impresionarnos pero no les da más ventaja. Ellos también son esclavos de su propia tecnología.

    Salud!

    ResponderEliminar
    Respuestas
    1. Los militares siempre irán por delante en represión, por eso las estrategias de contrarresto deben ir encauzadas por otros caminos, como las libertades civiles, algo en lo que están vendidos.
      En cuanto tengan fábricas que les producen la comida no necesitarán a 7mil mill, caerá la esperanza de vida y empezaremos a morir como moscas. ¿Por cuanto tiempo nos necesitarán?
      Si no tienen tecnología tienen ejércitos, así que no sé qué es peor.
      Hoy en día tiene ejércitos nimios, pero sus estructuras de mando están intactas. Si te fijas hay más equipo que soldados. Esta es una estrategia de guerra, así, llegado el día, estarían preparados para el reclutamiento forzoso de millones de persona, un crecimiento exponencial.
      Salud!

      Eliminar

Tu opinión es importante