Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

20 feb. 2017

Nueva técnica para identificar navegadores web y usuarios en línea [Paper]

Los sitios web, los bancos, anunciantes supervisan las actividades en línea de los usuarios utilizando diferentes técnicas denominadas de forma general "fingerprinting", incluso en modo incógnito.

Ahora, un equipo de investigadores ha desarrollado recientemente una nueva técnica de "huellas dactilares de navegadores". Dicen que es la primera técnica confiable para rastrear con precisión a los usuarios de varios navegadores, basándose en información de las extensiones, los complementos, zonas horarias e incluso en los bloqueadores de anuncios. Esto hace que el método sea particularmente útil para los anunciantes, lo que les permite seguir publicando anuncios dirigidos a usuarios en línea.
La nueva técnica se puede encontrar en un trabajo de investigación titulado por Yinzhi Cao y Song Li de Lehigh University y Erik Wijmans de la Universidad de Washington en St. Louis.

Los métodos de huellas digitales conocidos anteriormente usualmente sólo funcionan en un único navegador, pero este nuevo método utiliza las características del sistema operativo y de hardware y es capaz de funcionar en varios navegadores. La nueva técnica se basa en muchas nuevas características del sistema operativo y del hardware, especialmente en las propiedas de la placa gráficas.
Websites Can Now Track You Online Across Multiple Web Browsers
Por ejemplo, la tecnología puede utilizarse para identificar la máquina mediante la realización de 20 tareas de WebGL utilizadas para renderizar gráficos 3D en navegadores web. Las características probadas actualmente incluyen la zona horaria, el número de núcleos de la CPU, la GPU, los valores de hash de los resultados de renderizado de la GPU, los complementos, las fuentes, el audio, la proporción y la profundidad de la pantalla, WebGL, bloqueo de anuncios, lienzo, cookies, codificación y lenguaje.

Los investigadores proporcionaron una demostración práctica y el código fuente en GitHub. Realizaron una prueba que incluyó 3.615 huellas dactilares y 1.903 usuarios y encontró que su método identificó con éxito el 99.2% de los usuarios. Por otro lado, la técnica para identificar el navegador, llamada AmIUnique, tuvo una tasa de éxito del 90,8%.

Además de los comercios, los bancos pueden utilizar esta técnica para comprobar si un usuario que inicia sesión en una cuenta en línea utiliza el mismo equipo que ha utilizado en visitas anteriores, asegurando de que el inicio de sesión es legítimo, incluso si el usuario utiliza una máquina diferente a la habitual.

Los investigadores planean presentar su trabajo en el Network and Distributed System Security Symposium programado para el 26 de febrero al 1 de marzo en San Diego, California.

Fuente: The Hacker News

3 comentarios:

  1. Es muy grave este nivel de identificación, en mi opinión viola la privacidad de usuarios, en muchos casos la precisión es prácticamente absoluta. Ahora no alcanza con eliminar cookies y el cache de navegación (por los Etags), cosa que de por sí pocos sabían, ahora hay que sofisticarse mucho más.

    En línea general, se puede decir que deshabilitar JS con NoScript y uBlock Origin sería suficiente (ya que todas estas identificaciones se realizan con JS).

    El problema surge cuando hay que habilitarlo porque de lo contrario un sitio no anda (por eso google ofrece a los webmasters servicios como captcha, hostear algunas librerías JS, etc. - así siempre tenés que tenerlo en lista blanca, sino no anda la mitad de los sitios, este inclusive). Para tales casos, para Firefox hay un plug-in "Random Agent Spoofer". Ahí tenemos que elegir, entre muchas otras opciones, la de bloquear WebGL y canvas. Esto puede tener su impacto en la usabilidad, algunos *pocos* sitios necesitan canvas para funcionar (sobre todos los que dibujan gráficos financieros). Para estos sitios habría que crear excepciones manualmente: nada del otro mundo, pero un usuario común no lo podría hacer.

    ResponderEliminar
  2. La privacidad por la privacidad misma es un berrinche de cuarentones copiado por algunos jóvenes sin personalidad. Sólo se necesita realmente privacidad cuando hay que esconder algo. Veremos andar desnudos a los postmilennials en poco tiempo. Ellos nacieron en un mundo compartido y sin seguridad.

    ResponderEliminar
  3. Anónimo7/3/17 18:29

    Es curioso e irónico, "Anónimo28/2/17 09:58", que hable de la privacidad así alguien que escribe su opinión como anónimo que podría haberla escrito con su nombre o pseudónimo.

    La privacidad es importante siempre, no sólo para el que tiene que esconder algo, sino para aquel que no quiere que haya gente que aproveche de sus datos, para que no interfieran en tu vida personal, no te vendan y ofrezcan servicios que no quieres o incluso que no sepan tus hábitos de andar por casa para incluso robarte u otras cosas.

    Algo que era tan impensable hace años ahora sí resulta un problema. Hace años no se habían juntado tantas cosas, como potencia de cálculo, hardware potente y buenos algoritmos evolucionados incluso a nivel de iA que permiten que el saber la identidad de este modo permita también sacar patrones de comportamiento, que no sólo son usados para proteger, sino para hacer daño. Dado que incluso las Instituciones llegan a corromperse.

    En mi opinión, precisamente ahora es cuando es importante mantener la privacidad, porque es precisamente ahora cuando cada vez más las empresas van mejorando todo y muchos buscan el pequeño agujero legal o la posición importante que tiene en el mundo para ello.

    Del mismo modo, si las empresas e instituciones tienen vulnerabilidades pueden filtrar esto a gente bastante menos bien intencionada, lo cual les haría el trabajo de Ingeniería social a esos sujetos.

    Saludos.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!