martes, 8 de febrero de 2022

Huella de la GPU, otro medio de rastreo



 Lo más probable es que al leer Huella de la GPU, hayas pensado en la huella del navegador, una seria amenaza a la privacidad de la que ya te hablamos hace algún tiempo, y que nos muestra la ingente cantidad de información que podemos llegar a proporcionar a un servidor web cuando establecemos una conexión con el mismo. Y este es un asunto al que debemos prestar mucha atención, puesto que apunta a convertirse en una importante amenaza para la privacidad.

Esto es así porque los medios «clásicos» de rastreo, es decir, las cookies, cuentan con regulaciones cada vez más estrictas, y el hecho de que se almacenen en el ordenador del usuario al que se le hace seguimiento facilita sustancialmente su localización y gestión. Dicho de otra manera, son visibles para el usuario, que sabe qué cookies emplea cada web, y si lo desea puede bloquearlas para evitar el seguimiento, una limitación que protege la privacidad del usuario, pero que va en contra de otros intereses.

Es en este contexto en el que se empieza a valorar el uso de otros sistemas que permitan identificar al usuario, empleando para tal fin la información que éste, o su navegador para ser más exactos, puede proporcionar. Un conjunto de datos que en teoría deberían emplearse exclusivamente para optimizar el contenido que el servidor entrega al cliente, pero que como ya te contamos al hablar de la huella del navegador, puede servir para afinar mucho en la identificación del usuario.

La huella de la GPU ya ha sido probada para este fin por varios investigadores y el resultado de su trabajo, no es nada tranquilizador. Más bien al contrario, visto el éxito de la técnica que han probado, llamada DrawnApart, y que consiste en que, cuando el navegador se conecta al servidor, éste se apoya en WebGL para llevar a cabo una pequeña cantidad de operaciones gráficas intensivas que, eso sí, no se muestran en pantalla. El rendimiento de la GPU es medido por el servidor, y el resultado de dicha medición es, aunque pueda parecer sorprendente, un buen identificador de usuario.

Con la huella de la GPU, de nuevo, nos encontramos con un sistema que puede abusar de WebGL, algo que ya vimos con la huella del navegador. En esta ocasión, eso sí, el grupo Kronos, desarrollador de la API de WebGL, a respondido al estudio de estos investigadores formando un grupo de estudio que analizará en profundidad este método de explotación de la huella de la GPU con el fin de buscar posibles soluciones, en un proceso en el que involucrará a otras partes interesadas.

Huella de la GPU, otro medio de rastreo

Conocedores de esta problemática, los reguladores ya han empezado a trabajar en la creación del marco legal que limite (o que incluso llegue a prohibir) el uso de los medios de seguimiento basados en la identificación del usuario por la información que proporcionan sus dispositivos, como ocurre con la huella de la GPU. Sin embargo, aquí nos encontramos por una parte con la complejidad técnica de dichas técnicas y cómo perseguirlas, sumada a los tiempos que se suelen tomar las partes involucradas para la articulación de normas de este tipo. En consecuencia, no podemos confiar en contar con una regulación efectiva a corto plazo.

La solución a este problema, ya sea la huella de la GPU, del navegador, etcétera, está principalmente en la mano de los desarrolladores de los navegadores. Dado que este es el software que proporciona toda esa información, debería contar con herramientas que permitan, de un modo sencillo, documentado y accesible, establecer limitaciones a la información que proporcionan a los servidores con los que se conectan. La huella de la GPU se obtiene por información que tiene su origen en el navegador, por lo que si éste no llega a entregarla, ahí se acabará el problema.

Esto no sería algo nuevo, en realidad. Como ya te contamos en su momento, Mozilla empezó a bloquear la huella de navegador que se puede obtener mediante los lienzos (canvas) de HTML 5, una señal clara de que los desarrolladores son conscientes de este tipo de amenazas. La reacción frente a la divulgación de este modo de «ataque» basado en la huella de la GPU confirma que todavía se puede hacer mucho en ese sentido.

Fuente: https://www.muyseguridad.net/2022/02/01/huella-de-la-gpu-rastreo/

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...