El pasado 2 de Enero el investigador Sam Greenhalgh ha publicado una Prueba de Concepto que lleva un paso más allá cómo los sitios web de Internet y, en concreto las empresas de publicidad, pueden utilizar SuperCookies para saber quién eres. Esto va mucho más allá que las EverCookies - que permiten a un sitios crear cookies
en una gran cantidad de sitios del navegador web haciendo muy
complicado para el usuario eliminarlos todos - ya que lo que utiliza son
flags de la especificación HSTS (HTTP Strict Transport Security)
para guardar un identificado que le permita al sitio reconocer al
usuario desde cualquier web, incluso si navegas desde un navegador en
modo anónimo o privado.
Cookies y Privacidad: Cookies, EverCookies & SuperCookies
El objeto de las cookies es guardar información en la sesión de navegación de un cliente. La información que se guarda en una cookie
puede ser utilizada para identificar de forma unívoca a una persona,
creado para ello un identificador único. Ese valor se puede leer desde
el sitio web que lo creó cada vez que se visite la web. Sin embargo, las
cookies se pueden borrar fácilmente y por tanto el sitio
web no podría saber que una persona es la misma que visitó el sitio hace
dos días.
 |
| Figura 2: Funcionamiento de las EverCookies |
Para conseguir ponerle difícil las cosas al usuario se crearon las EverCookies, un sistema que utiliza no solo las cookies
normales para guardar el identificador, sino que utiliza todas las
opciones posibles para almacenar datos, que van desde el almacenamiento
local en HTML5 hasta las cookies de plugins como Adobe Flash. Aún así, estas EverCookies podrían llegar a ser eliminadas todas si un usuario se lo empeña, o si cambia su navegación a modo Privado o Incógnito.
 |
| Figura 3: Identificador único creado en Google Chrome con SuperCookies |
Con las SuperCookies esto es no es tan fácil, y es necesario que las implementaciones de Mozilla Firefox, Google Chrome o MicroSoft Internet Explorer cambien, ya que abusan del funcionamiento de la implementación de HSTS. Con HSTS, una web le puede indicar al navegador que siempre que se conecte a ella debe hacerlo usando HTTPS y no HTTP. Esta es una forma para ayudar a que los usuarios dejen de navegar bajo HTTP y pasen a hacerlo sobre HTTPS. Para ello, el servidor web le contesta al cliente con una serie de flags HTTPS que le hacen recordar al navegador esa configuración y ya siempre irá con HTTTPs el tráfico a esa web.
 |
| Figura 4: Identificador Único leído desde la SuperCookie en una sesión Incógnito |
Entre esos flags, el sitio web puede guardar un Identificador Único utilizando el valor de Max-AGE,
que además podrá ser leído desde cualquier pestaña, y desde cualquier
navegación, incluso si esta navegación se hace desde otra instancia del
navegador en modo Privado o Incógnito.
Doxing y desenmascaramiento
Según el investigador, el equipo de Chromium está viendo cómo puede solucionarlo
pero que no es fácil, ya que hay que gestionar el equilibrio entre
seguridad y usabilidad. Lo cierto es que con esto, se acaba de abrir un
nuevo mundo de posibilidades para el Doxing,
es decir, para el desenmascaramiento de quién está detrás de una
determinada identidad falsa en redes sociales o visitas a la web, ya que
poner este Identificador ayudaría al sitio web a tener
todos los datos de todas las sesiones de navegación que se hagan contra
esa web desde un navegador concreto.
Saludos Malignos!
__________________________________________________
Tomado de: http://www.elladodelmal.com/2015/01/hsts-super-cookies-como-te-pueden.html
Se respetan derechos de autor.
Las opiniones expresadas en este artículo (y sus enlaces) es responsabilidad de su(s) autor(es).