Pretendemos explicar alguns métodos que podem ser utilizados por terceiros para rastrear a atividade de um utilizador, como o rastreio de cookies ou a partir da impressão digital do seu browser.
Ouvimos com frequência falar da necessidade de utilizar browsers como o Tor com o objetivo de preservar a privacidade on-line ou evitar a censura em certas regiões do planeta. No entanto, nem sempre é evidente a importância que tem uma adequada gestão da nossa privacidade on-line. Como tal, pretendemos neste post explicar alguns conceitos básicos que podem ser úteis no momento de gerir melhor a nossa privacidade na Internet, sobretudo como terceiros podem obter informação dos nossos dispositivos mesmo navegando em modo privado ou utilizando uma VPN, e falaremos também sobre o conceito de fingerprinting do browser, assim como do rastreio de cookies.
Existem várias respostas válidas para a pergunta sobre porque nos devemos importar com a privacidade on-line e uma das razões mais importantes é que a privacidade e a segurança andam de mãos dadas.
O conceito de privacidade on-line consiste em conservar fora do alcance de terceiros a nossa informação pessoal ou qualquer tipo de informação que permita a identificação e o registo das nossas atividades. Esta informação pode ser útil para os mais distintos fins. Os hackers, por exemplo costumam usar a informação reunida de uma vítima e utilizá-la das mais diferentes formas.
Dito isto, o foco desta publicação estará na informação sobre as nossas atividades e interesses na Internet, que permitem a um terceiro ter uma aproximação mais ou menos precisa da pessoa que está detrás de um computador, a qual pode ser utilizada tanto para determinar quais os anúncios publicitários a mostrar a essa pessoa, como para realizar práticas de espionagem.
Neste sentido um ator malicioso poderia chegar a utilizar a pegada do nosso browser para averiguar quais os plugins que temos instalados e explorar possíveis vulnerabilidades que se apresentem. Não é demais aproveitar a ocasião para recordar que utilizar plugins desatualizados ou de fontes pouco fiáveis aumenta significativamente a nossa superfície de ataque; para além de fazer com que a nossa pegada digital seja mais específica e, consequentemente, melhor rastreada.
Métodos que podem ser utilizados para rastrear um utilizador
Browser fingerprinting: a pegada digital deixada pelo browser
Quando acedemos a uma página web, aqueles que a desenvolvem podem (e por norma fazem-no) agregar scripts para obter informação do nosso sistema operativo, adaptador gráfico, formatos de áudio suportados, resolução do ecrã, entre outros dados.
A principal finalidade desta informação é de otimizar o conteúdo do site para o nosso dispositivo.
O problema surge quando nos ligamos a sites pouco fiáveis, ou até, sites fiáveis cujos servidores foram comprometidos por algum hacker, já que pode ser utilizado como um método para recolher informação da atividade por ator mal-intencionado. Na imagem que se segue é possível ver um exemplo da informação que pode ser recolhida pelo servidor web.
Como é possível ver, apenas seis browsers têm exatamente o mesmo fingerprint que o que foi utilizado para realizar esta demonstração, ente aproximadamente 1,3 milhões de configurações armazenadas na base de dados. Isto permite uma identificação com uma precisão superior a 99.99%.
Outra forma de obter a pegada digital do nosso browser é a utilização de Canvas, que é uma API incluída por defeito no HTML5 (linguagem utilizada pela maioria das páginas web) que permite utilizar Javascript para indicar ao nosso browser como deve criar um objeto gráfico e mostrá-lo no ecrã. O truque é que, dependendo das caraterísticas do nosso sistema, essa renderização será ligeiramente diferente à da maioria dos outros dispositivos, seja por utilizar diferente hardware, software ou por possuir diferentes configurações. A partir daí pode gerar um hash com base no nosso sistema que será relativamente único e permitirá também a identificação com uma certa precisão, como se vê na imagem seguinte.
Este método é eficaz para rastrear utilizadores on-line mesmo quando o uso de cookies está desativado, por exemplo, quando navegamos em “modo privado”. Não adianta o uso de uma VPN contra estas práticas.
Outros mecanismos mais específicos que podem ser utilizados passam pela verificação dos sites em que o utilizador efetuou login e quais as bibliotecas ou fontes específicas que são suportadas pelo cliente.
As Cookies e as Tracking Cookies
Uma cookie é um ficheiro de texto guardado localmente no nosso computador ao visitar uma página web. Idealmente, a sua utilização limita-se a manter a sessão do utilizador com o servidor (já que o protocolo HTTP não possui essa funcionalidade) e a guardar certas configurações, personalizações e preferências. São fundamentais para o uso da Internet como o conhecemos e podem ajudar a melhorar a segurança das nossas credenciais.
Dito isto, há que referir que existem diferentes tipos de cookies e cada uma pode cumprir fins distintos. Para além disso, é algo que muitas vezes somos forçados a aceitar sem consentimento ou informação a respeito, na maioria dos países (se entraram recentemente em algum site europeu devem ter notado na solicitação para aceitar a política de cookies, conforme está regulamentado). Hoje vamos concentramo-nos nas Tracking Cookies, também conhecidas como cookies de rastreio, uma dor de cabeça para quem zela pela sua privacidade on-line.
O uso de cookies é limitado ao domínio que as emite sob as regras da Same Origin Policy que rege a Internet, ou seja, uma cookie emitida pela abc.com apenas pode ser lida e utilizada pela abc.com. Sob essa estrita teoria, deveria ser impossível que uma cookie “nos persiga” na Internet. No entanto, o que acontece é que, pelos mais variados motivos, muitos sites decidem alojar cookies de terceiros nos seus sites, seja pela criação de estatísticas de tráfego web que recebem ou para agregar uma certa funcionalidade no seu site, como a possibilidade de usar o perfil de uma rede social para comentar num fórum.
Para tal, alojam um script desenvolvido em Javascript (se a ação se realiza pelo lado do cliente) ou ainda, utilizando iframes HTML ou um “Tracking Pixel” (se se realiza a partir do próprio servidor), que efetivamente envia a nossa cookie emitida pelo servidor e que site acabamos de visitar.
As cookies podem ser de sessão, ou seja, que serão eliminadas ao fechar o browser, ou alternativamente podem ser persistentes se o servidor especificar uma data de caducidade.
Mas nem tudo são más notícias. Alguns browsers começaram este ano a desativar o uso de cookies de terceiros por defeito, como é o caso do Mozilla.
Exemplo dos scripts e cookies que são descarregados ao visitar, por exemplo, a página web de um conhecido diário.
WebRTC
Outra forma que pode ser utilizada por um terceiro para obter informação do utilizador a partir do browser é mediante WebRTC, uma API suportada e ativada por defeito em todos os browsers em massa. Permite ao browser interagir de forma dinâmica com o hardware do nosso equipamento, como o microfone ou câmara web, para além de alguns benefícios como a transferência de ficheiros sem a necessidade de instalar plugins como o Flash ou Silverlight. Apesar de estar pensada para gerar páginas com maiores funcionalidades, também permite obter o endereço IP público e privado do equipamento (mesmo quando se utiliza uma VPN), obter acesso ao hardware e aos ficheiros no nosso sistema.
Mesmo tratando-se de uma tecnologia prometedora, pode ser, ao mesmo tempo, uma preocupação mais para os utilizadores, já que foram detetadas numerosas vulnerabilidades graves, como a CVE-2016-10600.
Se não utilizarmos este serviço, talvez seja uma boa ideia desativá-lo.
O que pode um terceiro fazer com a informação que deixamos nos sites?
Uma empresa pode: otimizar o conteúdo do site para que funcione corretamente, personalizar o conteúdo da página de acordo com as nossas preferências, oferecer publicidade ou ofertas de acordo com os nossos interesses, vender ou partilhar informação com terceiros ou aceder a qualquer coisa, cujos termos e condições possamos ter aceite. Tudo isto pode ser utilizado para a obtenção de vantagens competitivas.
Um hacker pode: obter informação da configuração do nosso sistema e utilizá-la para realizar algum tipo de ataque, vender a informação recolhida na Deep Web, em sites como a Genesis Store, talvez em conjunto com outras informações recolhidas (eventualmente públicas). Podem também utilizar a informação como um complemento para outro tipo de ataque.
Um investigador pode: vincular uma pessoa a um equipamento físico a partir do qual foi cometido um crime para conseguir uma evidência utilizável em tribunal.
Recomendações
Se depois de ler este artigo está interessado em melhorar a sua privacidade e segurança para as suas atividades on-line, algumas das recomendações (ordenadas segundo o grau de paranoia do utilizador) podem ser:
- Não entrar em sites potencialmente perigosos ou que possam estar comprometidos. Neste sentido, é recomendável a utilização de software antivírus que bloqueie as páginas web que realizem atividades maliciosas;
- Manter o browser e as suas extensões atualizadas;
- Não instalar complementos desnecessários ou pouco fiáveis;
- Configurar o browser para não aceitar cookies de terceiros, eliminar as que já se encontrem guardadas;
- Utilizar complementos que bloqueiem o uso de Javascript por defeito, ativar apenas scripts nos quais confie. O NoScript é uma opção;
- Utilizar um Proxy fiável para as ligações ou mesmo um browser como o Tor;
- Utilizar o sistema operativo Tails, que obriga a que todas as ligações à Internet se realizem através do Tor.
Uma das funcionalidades do Tor é o facto de permitir isolar as cookies de cada site web de forma a que a nossa atividade não possa ser rastreada. Para além disso, gera uma “impressão digital” falsa do nosso browser de forma a que todos aqueles que utilizam o Tor tenham impressões digitais quase idênticas de forma a evitar a identificação. Para mais informação, recomendamos a leitura do seguinte artigo: 3 opções para navegar de forma anónima na Internet.
Conclusão
O conhecimento é poder, tanto para quem tem más intenções como para quem pretende proteger-se. A conscientização sobre estas temáticas permite, pelo menos, um maior controlo sobre o que podemos partilhar e o que não devemos.
Há que relembrar que nem a privacidade nem a segurança total existe, a menos que vivamos debaixo de uma rocha. Todos estes conselhos podem tornar-se inúteis se um site legítimo, no qual confiamos é comprometido por um hacker e filtram os seus dados. Lamentavelmente, isto já não está sob o nosso controlo.
