Un grupo de investigadores ha comprobado que es posible conocer los datos de navegación de una persona aun cuando se utiliza el protocolo HTTPS. Los investigadores de UC Berkley e Intel Labs descubrieron que si una persona puede leer, grabar y analizar las capturas de red podría identificar con el 89% de precisión qué tipo de página visita un usuario junto a la información personal compartida. En este sentido, consiguieron capturar el tráfico de páginas como YouTube y Netflix.
Para llevar a cabo la prueba, aplicaron técnicas de agrupamiento para identificar patrones en el tráfico y luego una distribución de Gauss, para determinar la similitud entre las muestras de tráfico en una representación de ancho fijo compatible con una amplia gama de técnicas de aprendizaje automático. Debido a la similitud con el enfoque de Bag-de-palabras, para documentar la clasificación bautizaron a esta técnica como Bolsa de Gaussianas (BOG), como lo explicaron en un documento sobre la prueba.
Afortunadamente, los empleadores de vigilancia de la actividad en línea y las agencias de inteligencia han pensado varias técnicas de defensa que, de aplicarse, pueden reducir drásticamente la precisión de un ataque de ese tipo. También han afirmado que habría otros factores que pueden influir en el alcance de este tipo de ataques como, por ejemplo, que la víctima acceda desde una única pestaña del navegador, en lugar de usar múltiples pestañas a la vez. En este caso, se debería investigar cuánto tráfico generarían estas pestañas por usuario una vez que carga la página web, para luego evaluar el alcance del ataque.
Por otro lado, cabe destacar que en la conferencia Black Hat 2013 realizada en Las Vegas se demostró en 30 segundos cómo podía recolectarse información sensible de usuarios que utilizaban protocolos HTTPS. La técnica presentada se conoce como BREACH por su sigla en inglés “Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext” (Reconocimiento y Ex filtración del navegador a través de compresión adaptativa del hipertexto).
El atacante, entonces, tendría que hacer peticiones estratégicamente construidas al sitio atacado para recuperar algún secreto concreto en el cuerpo de una respuesta HTTPS (como son Id de usuarios, direcciones de correo o inclusive tokens de autenticación). Para conseguir un token de 32 caracteres, el atacante necesitará aproximadamente mil peticiones para no tener que usar otros mecanismos. Asimismo, en la práctica se comprobó que es posible recuperar tokens CSRF (Cross-site Request Forgery) con menos de cuatro mil peticiones.
Existen distintas contramedidas para poder estar seguros en estos casos; algunas de éstas protegen aplicaciones completas, mientras que otras solo son útiles en páginas concretas. Dentro de las buenas prácticas que existen para estas ocasiones, podemos destacar la desactivación de la compresión http, la protección de la página web de ataques CSRF y la ofuscación de la longitud de respuestas web añadiendo cantidades aleatorias de bytes arbitrarios.
Para evitar ser víctima de este tipo de ataques, desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos contar siempre con una solución antivirus instalada y actualizada, y tener las últimas versiones de los programas que se utilizan de modo que estemos seguros de que todas las fallas y vulnerabilidades de seguridad se hayan corregido.
