¿Anónimo? Tus expresiones te delatan

O eso decían en Linguistics identifies anonymous users:

Up to 80 percent of certain anonymous underground forum users can be identified using linguistics, researchers say.

Lectura interesante.

Anuncios

Saber en qué sitios estás identificado

Nuestra privacidad cotiza a la baja. De tantas formas que casi es hasta difícil explicárselas a alquien que no esté un poco al día en estas cosas.

En I Know What Websites You Are Logged-In To (Login-Detection via CSRF) utilizaban CSRF (Cross Site Request Forgery) a través de varios mecanismos:

Detección mediante:

  1. imágenes
  2. código en javascript (manejo de eventos, detección de objetos)
  3. hojas de estilo
  4. iframes (tamaño, opciones de X-Frame)

Siempre que seamos capaces de identificar código que sólo se muestra a usuarios autentificados.
Interesante.

Políticas de borrado de datos

En muchas empresas ya es bastante habitual disponer de políticas de seguridad sobre los datos (se cumplan o no) pero en las universidades parece que no lo es tanto. Supongo que tiene que ver con la naturaleza de su trabajo (avanzar el conocimiento, experimentar, …). En Cornell se han preocupado por el tema y han creado la University Data Cleanup and Inventory Initiative:

Overview
The University Data Cleanup and Inventory is a campus-wide initiative, undertaken at the behest of President Skorton, that requires units to:
– Establish business practices for handling confidential data.
– Discover where confidential data is being stored electronically.
– Remove confidential data that is no longer needed.
– Secure any confidential data that must be retained.
– Maintain awareness of where confidential data continues to be held.

Y pistas como: Sources of Confidential Data.

Interesante.

Borrar las cookies, caché e historial de navegación

Una de las entradas de esta bitácora que recibe visitas casi todos los días es la de En internet es cada vez más difícil esconderse. En la línea de dar consejos para ser un poco más cuidadosos con nuestr intimidad, me parece interesante How to delete cookies, cache and history in all major browsers. También para recordarlo, cuando haga falta.

Básicamente, porque utilizar las facilidades que proporcionan los propios navegadores no siempre es suficiente. La lista es para Windows, pero se puede traducir de manera sencilla a otros sistemas.

La intimidad y los dispositivos inalámbricos

No termina de quedarme claro el tipo de sensores que comentan en el artículo (creo que por estos lares no son tan frecuentes) pero me pareció interesante el artículo [PDF] Protecting your Daily In-Home Activity Information from a. Wireless Snooping Attack: se trata de analizar el tráfico de los sensores de presencia y de otros tipos que podemos tener instalados en los hogares para espiar y averiguar patrones de conducta de los habitantes desde el exterior: cuándo duermen, cuándo están en determinadas habitaciones, cuántos son, dónde está cada tipo de habitación (cocina, dormitorio, …) …
El método se basa en escuchar a los sensores (cuya información puede estar cifrada, pero que no están contínuamente transmitiendo) y determinar, en función de su actividad, la actividad de las personas que viven en la casa. Los interesados, puede que encuentren más cómoda la presentación en [PPT] Protecting your Daily In-Home Activity Information from a. Wireless Snooping Attack porque hay más gráficos y va más directamente a los resultados.

Seguiríamos en la línea de los ataques a tecnología doméstica, para la que todavía no se está prestando suficiente atención por parte de los que la intalan en los hogares (ver algo más en Más ataques a coches y en sus enlaces).

En internet cada vez es más difícil esconderse

Arvind Narayanan ha estado publicando una serie de entradas a modo de divulgación de una revisión de la literatura existente muy interesantes sobre anonimato y cómo las empresas (y otros) pueden conocernos mejor de lo que nos gustaría, a veces.

En Cookies, Supercookies and Ubercookies: Stealing the Identity of Web Visitors empieza hablando de las viejas cookies, pero termina hablando de los sistemas de ‘desanonimización’ utilizando el historial de navegación (Día Internacional de la Privacidad) para tratar de averiguar quiénes somos.

En Ubercookies Part 2: History Stealing meets the Social Web profundizaba en estas cuestiones, con más detalles y diversas aproximaciones posibles.

En How Google Docs Leaks Your Identity comentaba un fallo de Google Docs ya solucionado (aunque luego lanzaron Buzz para terminar de desanonimizarnos).

En realidad, el mensaje está claro: deberíamos navegar por los sitios ‘sensibles’ (por supuesto, bancos, sitios de compras, …) en un navegador ‘sin historia’ (probablemente con un usuario diferente) para que nadie pueda saber cuál es nuestro banco, ni tratar de sacar partido de la información que nuestro navegador almacena y no nos imaginamos cómo alguien puede usar contra nosotros.

Sobre la desanonimización de la gente en internet

En la red no somos tan anónimos como nos gusta pensar. Y cada vez lo somos menos, a la luz de lo que vamos viendo. En Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization (pdf) habla de esos conjuntos de datos que se ‘liberan’ para favorecer el desarrollo de estudios y cómo han sido utilizados en el pasado para ‘desanonimizar’ (o sea, reconocer) a gente que presuntamente era anónima. Tiene mucho que ver con la actualidad porque se trataba de datos ‘anonimizados’ de los que se puede extraer información mezclándolos con otros datos públicos.

En realidad, por el simple hecho de conectarnos a una página web podemos estar ya dando suficientes pistas como probaba la entrada de Identificación cruzada u otros experimentos como el Panopticlick o el experimento en Social network deanonymization.

Más sobre los datos que se pueden conseguir en la red

Ya habíamos hablado de lo que pasa cuando se usan datos personales como clave y de las posibilidades que nos brinda internet como ayuda en Recogiendo información en la web.

Una variante de los datos personales como clave son las claves secundarias: las típicas preguntas del estilo del ‘nombre de la madre’ como ayuda para recuperar (o recordar) una clave con problemas. Encontré Messin’ with Texas: Deriving Mother’s Maiden Names from Public Records (pdf) donde se avisa de lo fácil que es conseguir en muchos casos el nombre de la madre (casi un estándar en muchos casos) de un texano cualquiera.

Opera. Cuidado con las ‘ventajas’

No me termina de convencer Opera mini (para el móvil) porque una de las cosas que creo que hace es cargar las páginas a través de sus servidores y adaptarlas al móvil: tiene la ventaja de que las páginas se ven mejor y cargan más rápido pero el inconveniente obvio de que el tráfico pasa por sus servidores, que no siempre es lo que a uno le apetece más.

Relacionado con eso leía el otro día Opera 10 Beta “Turbo Experience”… no, gracias donde Manuel Benet nos cuenta como Opera ‘grande’ también tiene la posibilidad de ofrecer esa ‘ventaja’:

No entro a valorar el beneficio de la tecnología; si funciona bien, mal, es útil o no. Lo que de verdad me molesta (quizá sea demasiado quisquilloso, no lo sé) es que no se indique, de manera clara y cristalina como el agua, que cuando utilizas esta tecnología Opera dispone de acceso a todo el tráfico que intercambies con el servidor web; lo considero casi un atentado contra mi privacidad y la de cualquier persona que decida utilizar el navegador; ¿a qué viene tanto secretismo? Me inclinaría a pensar que indicarlo claramente haría que muchos usuarios no utilizasen dicha “ventaja” de Opera, pero tampoco quiero ser mal pensado, y sin embargo…

De cualquier modo, a estas alturas mi recomendación debería estar clara… ¿no?

Extensiones de Firefox que cuidan nuestra seguridad e intimidad

Lucho día a día contra las ‘cookies’: no entiendo por qué un sitio web tiene que enviarme una de estas ‘cosas’ sólo por el hecho de conectarme para leer su información. Otra cosa es si, con la cookie va a darme algún tipo de servicio (identificación, …). Buscando el otro día una herramienta para gestionarlas mejor que con lo que firefox nos proporciona, encontré este artículo, The top Firefox security and privacy add-ons que recomendaba algunas que ya utilizo (esencialmente NoSript) y recomendaba CookieSafe que creo que no es exactamente lo que buscaba (yo querría algo que bloquee las cookies siempre y que sea fácil desbloquearlas, si lo necesito; por supuesto, que tenga en cuenta las que ya tengo aceptadas).

Voy a seguir probándola una temporada y si alguien sabe alguna mejor …