Mechanizmy bezpieczeństwa takie jak HSTS mogą śledzić internautów

Mechanizmy bezpieczeństwa takie jak HSTS mogą śledzić internautów28.10.2015 12:25
Redakcja

W Internecie nie brakuje osób, które chcą wszystkimi możliwymi sposobami uzyskać informacje na nasz temat i tym samym zagrozić naszej prywatności lub bezpieczeństwu. Ostatnie odkrycia pokazują, że cyberprzestępcy mogą osiągnąć swoje cele nie tylko wykorzystując słabości stron internetowych i przeglądarek, ale także mechanizmy, które w teorii powinny służyć zwiększeniu naszego bezpieczeństwa.

W ostatnich dniach w San Diego miała miejsce konferencja Toorcon poświęcona bezpieczeństwu komputerowemu. Niezależna badaczka Yan Zhu pokazała, że w celu zdobycia dodatkowych informacji o użytkownikach można wykorzystać mechanizm HTTP Strict Transport Security (HSTS), który paradoksalnie, ma służyć poprawie ich bezpieczeństwa. Dzięki HSTS strony internetowe informują przeglądarkę, że ta powinna łączyć się z nimi tylko z użyciem bezpiecznego, szyfrowanego ruchu HTTPS. Zabezpiecza to przed próbami ataku mającymi na celu przejście na nieszyfrowane HTTP i podsłuchiwanie transmisji między witryną a użytkownikiem.

Sam mechanizm jest już szeroko wykorzystywany przez wiele stron internetowych i niestety, stanowi zagrożenie prywatności. Zhu wykorzystała go w ciekawy sposób: wystarczy, że na spreparowanej witrynie przygotujemy np. odnośniki do nieistniejących obrazków umieszczonych na stronach korzystających z HSTS. Później przy pomocy JavaScriptu wystarczy analizować, jak długo zajmie przeglądarce próba ich wczytania i zgłoszenie błędu. Jeżeli odbędzie się to w bardzo krótkim czasie, to oznacza, że użytkownik korzystał już z tej witryny i aktywny jest HSTS. Jeżeli dłużej, to najwyraźniej zapytanie zostało opóźnione właśnie przez ustawienie tego parametru. To pozwala na stwierdzenie, czy użytkownik korzystał już z danej strony.

@bcrypt - Advanced Browser Fingerprinting - Toorcon 2015

Kolejny problem stanowi mechanizm przypinania (HTTP Public Key Pinning, HPKP), który ma chronić internautów przed próbami fałszerstwa certyfikatów. Strona może wysyłać do przeglądarki odpowiednie nagłówki, w których informuje ją o zaufanych urzędach certyfikujących. Problem polega na tym, że nieuczciwi administratorzy mogą umieszczać tam dowolny tekst i sprawdzać zachowanie internauty w obrębie witryny – nie są tu potrzebne ciasteczka, do śledzenia wykorzystać można właśnie dane zawarte w HPKP. Co gorsza, standard przewiduje, że jedna strona może wysyłać wiele tego typu nagłówków. Nic tu nie da także wyczyszczenie ciasteczek i pozostałości po odwiedzonej witrynie. Jedynym sposobem jest usunięcie wszystkich danych z przeglądarki, ale to rozwiązanie bardzo radykalne.

Niestety problem polega na tym, że użytkownicy nie mają większej kontroli nad tymi mechanizmem – Yan przygotowała specjalną stronę, która pokazuje, jak działa ten mechanizm i zaznaczyła, że można wykorzystać go w Chrome i Firefoksie (w tej drugiej przeglądarce nie da się wykorzystać HPKP, bo nie obsługuje ona jeszcze rozgłaszania tych danych). W przypadku przeglądarki Google możemy co prawda przejść na stronę chrome://net-internals/#hsts i zablokować wybrane domeny, ale nie uzyskamy pełnej listy tych, które już przesłały na nasz komputer swoje preferowane ustawienia.

Nic nie wskazuje na to, aby sytuacja miała ulec zmianie. Jak na razie nie wszystkie przeglądarki wspierają HSTS i HPKP, ale ze względu na ich zalety na pewno z czasem zaczną to robić. Problem jest natomiast niezwykle trudny do wyeliminowania – odpowiednie zgłoszenie trafiło do programistów pracujących nad projektem Chromium już rok temu, ale zostało odrzucone. Uznano wtedy, że próby zablokowania wycieku tego typu danych są skazane na niepowodzenie.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na