Mechanizmy bezpieczeństwa takie jak HSTS mogą śledzić internautów

W Internecie nie brakuje osób, które chcą wszystkimi możliwymi sposobami uzyskać informacje na nasz temat i tym samym zagrozić naszej prywatności lub bezpieczeństwu. Ostatnie odkrycia pokazują, że cyberprzestępcy mogą osiągnąć swoje cele nie tylko wykorzystując słabości stron internetowych i przeglądarek, ale także mechanizmy, które w teorii powinny służyć zwiększeniu naszego bezpieczeństwa.

W ostatnich dniach w San Diego miała miejsce konferencja Toorcon poświęcona bezpieczeństwu komputerowemu. Niezależna badaczka Yan Zhu pokazała, że w celu zdobycia dodatkowych informacji o użytkownikach można wykorzystać mechanizm HTTP Strict Transport Security (HSTS), który paradoksalnie, ma służyć poprawie ich bezpieczeństwa. Dzięki HSTS strony internetowe informują przeglądarkę, że ta powinna łączyć się z nimi tylko z użyciem bezpiecznego, szyfrowanego ruchu HTTPS. Zabezpiecza to przed próbami ataku mającymi na celu przejście na nieszyfrowane HTTP i podsłuchiwanie transmisji między witryną a użytkownikiem.

Sam mechanizm jest już szeroko wykorzystywany przez wiele stron internetowych i niestety, stanowi zagrożenie prywatności. Zhu wykorzystała go w ciekawy sposób: wystarczy, że na spreparowanej witrynie przygotujemy np. odnośniki do nieistniejących obrazków umieszczonych na stronach korzystających z HSTS. Później przy pomocy JavaScriptu wystarczy analizować, jak długo zajmie przeglądarce próba ich wczytania i zgłoszenie błędu. Jeżeli odbędzie się to w bardzo krótkim czasie, to oznacza, że użytkownik korzystał już z tej witryny i aktywny jest HSTS. Jeżeli dłużej, to najwyraźniej zapytanie zostało opóźnione właśnie przez ustawienie tego parametru. To pozwala na stwierdzenie, czy użytkownik korzystał już z danej strony.

Kolejny problem stanowi mechanizm przypinania (HTTP Public Key Pinning, HPKP), który ma chronić internautów przed próbami fałszerstwa certyfikatów. Strona może wysyłać do przeglądarki odpowiednie nagłówki, w których informuje ją o zaufanych urzędach certyfikujących. Problem polega na tym, że nieuczciwi administratorzy mogą umieszczać tam dowolny tekst i sprawdzać zachowanie internauty w obrębie witryny – nie są tu potrzebne ciasteczka, do śledzenia wykorzystać można właśnie dane zawarte w HPKP. Co gorsza, standard przewiduje, że jedna strona może wysyłać wiele tego typu nagłówków. Nic tu nie da także wyczyszczenie ciasteczek i pozostałości po odwiedzonej witrynie. Jedynym sposobem jest usunięcie wszystkich danych z przeglądarki, ale to rozwiązanie bardzo radykalne.

Niestety problem polega na tym, że użytkownicy nie mają większej kontroli nad tymi mechanizmem – Yan przygotowała specjalną stronę, która pokazuje, jak działa ten mechanizm i zaznaczyła, że można wykorzystać go w Chrome i Firefoksie (w tej drugiej przeglądarce nie da się wykorzystać HPKP, bo nie obsługuje ona jeszcze rozgłaszania tych danych). W przypadku przeglądarki Google możemy co prawda przejść na stronę chrome://net-internals/#hsts i zablokować wybrane domeny, ale nie uzyskamy pełnej listy tych, które już przesłały na nasz komputer swoje preferowane ustawienia.

Nic nie wskazuje na to, aby sytuacja miała ulec zmianie. Jak na razie nie wszystkie przeglądarki wspierają HSTS i HPKP, ale ze względu na ich zalety na pewno z czasem zaczną to robić. Problem jest natomiast niezwykle trudny do wyeliminowania – odpowiednie zgłoszenie trafiło do programistów pracujących nad projektem Chromium już rok temu, ale zostało odrzucone. Uznano wtedy, że próby zablokowania wycieku tego typu danych są skazane na niepowodzenie.