Se ha hablado mucho ya en el pasado del Proyecto Panopticlick de la Electronic Frontier Foundation, que trata de identificar de forma única un
navegador entre un mar de usuarios conectándose a Internet pero yo
quería dedicarle una entrada hoy para introduciros en el proyecto
Japi Tracing que han hecho mis alumnos del Master de Seguridad de la UEM para “tracear usuarios al estilo Google”. Vayamos al tema.
Huella digital de la conexión
Un navegador, en pro de la usabilidad
máxima de un interfaz de usuario web, permite que por medio de
JavaScript, Java, Flash y un montón de plugins, se acceda a
información del navegador aparentemente inofensiva, como son la
resolución de la pantalla, el valor del campo User-Agent, el idioma
del sistema operativo, si acepta o no acepta cookies, las fuentes
cargadas en el sistema o los plugins activados en el navegador. Todos
estos valores, de por sí, no ofertan información sensible aparente
para la seguridad y la privacidad del usuario... pero.... ¿es esto
así?
Lo curioso de esto es que, algo tan
tonto como las fuentes del sistema se ve afectado por el software que
está instalado en el equipo, es decir, que conociendo determinadas
fuentes se puede conocer qué programa o programas se han instalado
en el equipo. Sin embargo, eso no es lo importante en este caso, sino
que dos equipos gemelos, dependiendo de qué programas hayan
instalado van a terminar con un conjunto de fuentes distintas, que
los diferenciarán uno del otro.
Así, en el Proyecto Panopticlick se
identifica, siguiendo unas métricas, cuál es la probabilidad de que otro equipo tenga las
mismas fuentes activas en una conexión del navegador. En mi caso, 1
de cada 125.609 equipos tienen las mismas fuentes que yo. Teniendo en
cuenta el idioma de mi sistema operativo, la versión, la resolución,
el valor de User-Agent, si tengo activadas las cookies y la región
geográfica desde la que me conecto, esta información me hace
prácticamente único en España.
Luego, esos datos conforman la huella
digital de mi conexión en un instante de tiempo. Es cierto que mi
huella digital puede cambiar a medida que se instala nuevo software o
se cambia la configuración del sistema, y que un usuario puede
contar con varias huellas digitales de conexión si utiliza varios
navegadores, pero aún así, el abanico de huellas puede ser muy
reducido y lentamente cambiante.
¿Qué navegador me hace más
traceable?
Yo he hecho el test con tres
navegadores distintos, y el que me hace más “unico” y por tanto
más traceable es Apple Safari, que me obtiene que solo 1 de cada
1.758.530 equipos tienen la misma configuración que yo. Es decir,
que aquí en España, que somos unos 30 millones de navegantes, solo
hay unas aproximadamente 20 personas como yo que tienen mi misma
huella digital de conexión cuando me conecto con Safari. Pocas,
pocas.
Figura 1: 1 entre 879.263 con Chrome |
Figura 2: 1 entre 1.758.528 con Firefox |
Figura 3: 1 entre 1.758.530 con Safari |
Volviéndonos paranoicos
Ahora, hagámoslo más fácil para el
“vigilante”. Supongamos que tenemos una cuenta de... no sé,
Google, Facebook o WindowsLiveMail y que nos hayamos conectado a ella
desde nuestro equipo habitual, con nuestro navegador habitual... y
que estos servicios guardan en los logs de conexión nuestras huellas
digitales de conexión.
En este hipotético caso, existiría un "registro de huellas digitales de conexión” asociadas a nuestro
perfil. Si ahora nos desconectamos de nuestra cuenta y nos conectamos
a otro sitio que ha recogido estos datos con un simple javascript
(como los muchos que cargan todas las webs de hoy en día), ¿podría
saberse quién fue el que se conectó? Pues, evidentemente, si se
cruza esa huella de conexión digital con la base de datos de
usuarios y huellas se podría llegar a saber.
Ahora imaginate una película de
ciencia ficción
Si alguien tiene monitorizados los logs
de “huellas de conexión” podría estar buscando la huella de un
usuario en concreto, saber desde qué dirección IP se ha conectado,
llamar al ISP y obtener la ubicación GPS de esa dirección en
minutos y...¿apuntar los satélites a esa zona geográfica?
Desde que se conocen este tipo de
sistemas, Javascript y los plugins de lo que sea, se han hecho muy
poco amigos de los amantes de la privacidad de los usuarios, pero...
¿Se puede vivir sin javascript y sin plugins? Pues en un porcentaje
pequeño de sitios sí que se puede vivir y la funcionalidad
permanece intacta, pero en otro montón de sitios no se puede,
incluidos sitios de la administración pública – yo me quejo de la
Española – donde deberían estar mucho más restringidos – y fomentan que los usuarios habiliten javascript y los plugins, aumentando la facilidad de encontrar usuarios voluntariosos de dar información de su huella digital de conexión.
Prueba tu huella, y comprueba cuánto
de traceable eres a partir de tus diferentes navegadores, y recuerda,
si haces algo malo... puede que te incrimine tu huella digital, así
que revisa tus procesos de anonimato.
Saludos Malignos!
En la vida real, tu gorro hace que tu huella sea de 1 entre 40M en España (sobre todo en verano)
ResponderEliminarNo firmo el mensaje, porque seguro que ya sabes quien soy mirando mi huella ;)
Muy interesante la entrada de hoy!!
ResponderEliminarEsto es interesante como ejercicio académico, pero es un poco como un toro... si tuvieras ruedas no sería un toro, sino una bicicleta, o una motocicleta, o un coche, o avión o silla de oficina o...
ResponderEliminarExcesiva expeculación, demasiada extrapolación, muy pocos datos. Si es por el navegador... más trazable debe ser Midori (lo acabo de buscar en la wikipedia) que está en texto y apuesto a que no más de 10 personas lo usan en España.
Ahora, a lo mejor tiene su pequeña utilidad para empresas de marketing, que como complemento con otros medios puedan identificarte con un perfil general para enviar publicidad dirigida a un grupo.
Desde luego identificarte individualmente es una paja y por sí solo poco fiable.
La base de datos solotiene 1.758.530 datos ¿que clase de mega base de datos es esa?
ResponderEliminarAhora ya hay 1760187. hay por lo menos dos aspectos en los que segun esa base de tdatos eres unico, practicamente siempre.
ResponderEliminarEs aquí donde entra en juego TOR (y preferiblemente TorButton para firefox) si lo tienes correctamente configurado es decir que todo el trafico viajando por la red de TOR, que se bloqueen los ICMP y los DNS Leaks entre otras cosas, ya me gustaría a mi ver como logran obtener la huella digital de las conexiones.
ResponderEliminarPersonalmente, utilizo un navegador (por ejemplo Safari, Chrome, etc.) para hacer cosas "comunes", sin embargo para realizar otras actividades en las que mi privacidad es importante, utilizo TOR con FireFox, TorButton y TORTunnel, también suelo utilizar googlesharing para evitar que google registre mis búsquedas, (ya puestos a ser paranoicos...)
Un Saludo, muy buen post.
Donde esté Konqueror...
ResponderEliminarDesactivación de java/javascript, cookies, Eliminar el useragent y/o, cambiarlo en esa página rebelde...
Quizás en las navegadores tipo más usuales (IE, FF, Safari, Chrome, Opera) sea más difícil, pero en Konqueror es más fácil la suplantación del navegador
Your browser fingerprint appears to be unique among the 1,761,631 tested so far.
ResponderEliminarLa verdad es que ya me lo imaginaba... linux, con firefox de 64 bits, algún plugin RC,... :P
No pensaba que fuera tan exagerado esto de la huella digital. Lo de las fuentes no pensaba que variara tanto de un ordenador a otro, Aún así, no me obsesiono con eso, la verdad.
Saludos malignos
/ayer/
ResponderEliminarYour browser fingerprint appears to be unique among the 1,760,295 tested so far.
Estamos sonados...
los míos...
ResponderEliminarChrome: 1,762,339
firefox: 1,762,341
Yo bajo Mac OSX 10.7.2:
ResponderEliminarSafari 5.1.1 en modo normal: one in 909,495 browsers
Modo privado: unique among the 1,819,030
Firefox 7.0.1 en modo normal: appears to be unique among the 1,818,994
Modo privado: unique among the 1,819,032
Chrome 14.0.835.202 en modo normal: appears to be unique among the 1,819,027
Modo incógnito: one in 909,511
Un poco raro que safari en modo normal obtenga menos que en modo privado no? y en firefox da igual privado que no por lo que veo...
appears to be unique among the 3,349,825
ResponderEliminaryo no entiendo esas personas que ponene comentarios que no sirven para nada , y personas ignorantes en sentido de que no se dan cuenta de que en internet no hay privacidad ni seguridad. "No tengo nada que ocultar por mi que me espien " las personas que piensan eso seguramente actuaron en la pelicula idiocracia.
ResponderEliminar