Aparte de identificarme por IP, ¿de qué otra forma una página me detecta?

Iniciado por captainhook, 2 Agosto 2018, 21:35 PM

0 Miembros y 1 Visitante están viendo este tema.

AXCESS

De manera simplificada:

Lo que le sucede es típico de los programas shareware.

El programa al instalarlo (y darle privilegios elevados), en su diseño y funcionalidad está el comunicarse de manera cifrada con el server matriz.  Establece una ID (única en su equipo, y de manera particular por parte del software).

Esto le proporciona la información al contador.

Se ve mucho en programas con privilegios elevados en el sistema, obtenido al instalarse: ej. malware, los propios antivirus, etc.

Al pasar por Tor, pudo haber perdido el tunelado directo. Vino a ser como un firewall de bloqueo.

Si bloqueara al software con un firewall, impidiéndole el acceso a internet, este no se comunicaría con los servidores, y no le brindaría la información. Por eso se recomienda al parchear un programa, bloquearlo de esta manera.

No obstante, el fabricante del software, pudiera emplear el uso de información interna del sistema, para llevar la cuenta del shareware a modo de ID: Ej. reloj, etc. Recuerde que tiene privilegios concedidos.
Un modo eficiente de controlar estas situaciones, son precisamente, el uso de un buen firewall, bien configurado.

captainhook

Gracias AXCESS por responder, algunas preguntas quisiera hacerle

Cita de: AXCESS en  4 Agosto 2018, 03:41 AM
El programa al instalarlo (y darle privilegios elevados), en su diseño y funcionalidad está el comunicarse de manera cifrada con el server matriz.  Establece una ID (única en su equipo, y de manera particular por parte del software).

¿El rastro de esta ID original que creó en mi primera conexión podría haberse perdido al usar una máquina virtual con un sistema operativo diferente y con una conexión diferente (TOR) y por eso volvió a resetear el contador?

Cita de: AXCESS en  4 Agosto 2018, 03:41 AMAl pasar por Tor, pudo haber perdido el tunelado directo. Vino a ser como un firewall de bloqueo.

Si TOR, en la maquina virtual sirvió para bloquearle el acceso directo a mi router y perdió la pista, ¿por qué luego los contadores fuera de la máquina virtual se habían sincronizado con este nuevo contador y volvían a marcar los 7 días restante de prueba?

Cómo que igual inquieta el hecho que si la página me dió una ID nueva en TOR, luego fuera de TOR, y más aún, fuera de la máquina virtual, haya sido capaz de seguir identificándome con el mismo nuevo ID y dándome el mismo contador, tanto dentro como fuera de la maquina y de TOR. Cómo que esa sería una vulnerabilidad preocupante de TOR que fuera de este se siga reconociendo el mismo PC. No sé si me explico...

Serapis

Vale... está usando la tecnica del canvas fingerprinting, aunque queda claro que valdría para tu equipo, no para el resto de equipos de la casa, así que asumo que además usan alguna técnica alternativa...
Y como ha señalado Simorg varias veces, el único factor común de todos ellos es el router...

Haz lo siguiente, yo lo he probado con una página que utiliza canvas fingerprinting y me ha funcionado bien...
0 - Si tienes firefox, ábrelo... (en otro navegador no será muy distinto). Abre una página vacía, cualquiera que no sea la 'página objetico'.
1 - No sobra borrar todo el historial de navegación (completo, no solo parcial).
2 - Sobre el menú vete a 'ver' ---> 'codificación de caracteres' ---> elige Japonés.
3 - Recuerda antes cual tenías activo (tipicamente centroeuropeo(windows), Unicode, occidental)
4 - Ahora accede a la página, de interés...
Generará una nueva imagen, pero ahora usando como fuente de codificación el Japonés, me temo que será una imagen muy distinta, luego su hash variará si o si... y como no va a coincidir con la que tengas almacenada, la cuenta se pondrá a 0, y 'registrará' esa como la suya...
5 - Luego que dejes la página, vuelve a poner la codificación que tenías.
6 - Cuando esté próximo a caducar (no esperes al último momento), vuelve a hacer lo mismo (pasos 1 a 5), pero ahora no elijas japonés, elige por ejemplo hebreo, coreano, etc... Nuevamente la imagen canvas creada no coincidirá con la almacenada así que, tampoco coincidirá el hash y lo tomará como tu primera visita al site, la cuenta (se supone que se pondrá a 0, si no usan técnicas adicionales).

Y 7 - Por favor, si te sirvió, señálalo, para utilidad de futuros visitantes con el mismo 'problema'...

No obstante: El hecho de que detecte desde diferentes equipos, implica que hace uso de alguna técnica adicional. ...debiera dejar 1 programa de prueba por equipo, no por 'router' que es lo que parece hacer... esto implica que la técnica descrita, podría no funcionar porque solo hemos averiguado la mitad de su 'tarea'...



p.d.: Aquí no importa TOR, ni máqina virtual... la técnica no tiene que ver con IP, aunque tampoco descarto que use varios factores y dé válido si 8 de 10 factores (por ejemplo), siguen inalterados...

captainhook

NEBIRE, no funcionó lo que recomendaste...

Intenté en TOR y en Firefox los pasos que indicaste. Lo que me di cuenta es que al modificar la codificación de texto en una página, tiene efecto sólo en esa página y en esa pestaña... luego al entrar a la página objetivo esta se vuelve a la codificación que tenía de antes y bueno, al cambiarla estando ya en ella no tiene gracia, no? de todas formas lo intenté y el contador no se reinició.

Por cierto, quiero clarificar que el contador en si no está conectado al periodo de prueba real que se inicia al instalar el software, ya qué aunque reinicie el contador el periodo de prueba sigue su curso.

Lo que me deja inquieto es que una vez reiniciado el contador desde una máquina virtual recién creada y usando TOR, fuera de la máquina los navegadores sincronicen el contador con ese que se inicio dentro de la máquina virtual y dentro de tor. En otras palabras veo que esta página y cualquier otra que utilice este sistema de html5 canvas image data, puede seguirte la pista más allá de TOR (y su circuito de maquinas intermediarias) y fuera de la maquina virtual. Para los que le preocupa la privacidad cuando navegan, esto debería alarmarles...

Para quienes no le apareció el contador deben permitir el javescript en la página...

Cuando TOR me mostraba la advertencia que el sitio intentaba extraer los datos de la imagen canvas html5 siempre le puse que "not now", así que aunque le respondas que no, el seguimiento va igual.... ¿es válida mi conclusión?, de verdad que hasta que me pasó esto era ajeno a muchos de estos términos, no soy un hacker, ni me dedico a la informática, así que puedo estar pasando por alto muchas cosas. Así que si pueden seguir dando más pistas sobre esto en base a su conocimiento y aclarar cosas que pueda estar mal interpretado, bienvenido sea y se agradece mucho...

Serapis

Vale, sí...
Olvidaba que la codificación es individual a cada pestaña (que veas un enlace en japonés en una pestaña, no debería alterar otras pestañas que tienen enlaces de otros lados, obviamente)...


Cambiemos los pasos de la siguiente manera:
...
2a - Accede a la página
2B - Cambia la codificación
...
4 - Recarga la página....
...


(los que están en puntos suspensivos, son los mismos que antes).

Olvida TOR, y máquinas virtuales... aquí no tienen nada que hacer, TOR a lo sumo podrá detectar que se está creando una imagen oculta y quizás hasta evite su envío... peor en tal caso, no te dejaría descargar el softwarte, supongo que si está bien programado será requisito indispensable haber obtenido de regreso dicha imagen y que no sea en blanco...

Se crea una imagen oculta en la que típicamente se escribe un texto (con la codificación actual) a la que se calcula el hash... es ese hash el que ellos se guardan y recrean cada vez que les visitas, y por lo tanto contra el que se verifica si lo tienen ya guardado y el contador por tanto pueden mantenerlos ellos asociados al hash. El proceso es algo más complejo, peor a grandes rasgos ese es su funcionamiento...
Cambiando la codificación, cambia significativamente el dibujo de la imagen y con ello el hash, queda por saber que hace al darle a recargar la página. De hecho puede que antes de darle a recargar (tras el cambio de codificación), sea el momento adecuado de borrar archivos temporales.
No te ha funcionado, primero porque la codificación la cambiaste en la pestaña que tenías abiertas, no en esa página, y segundo, porque es probable que no sea un sistema único de detección... que sea más complejo que solo ese sistema.

Lo he descargado otra vez y a mi sigue sin aparecerme el contador. Y por supuiesto con javascript habilitado, de hecho si repito el proceso pero con javascript deshabilitado, lo exige  tener javascript habilitado, para poder hacer la descarga...

Inténtalo nuevamente con los cambios sugeridos... es bastante probable que hayan ignorado el asunto de la codificación... en materia de software siempre hay olvidos...

captainhook

Lo que sugieres ya lo había hecho como dije arriba, y no reinició el contador. Sobre lo que sugieres de limpiar temporales luego de cambiar la codificación, no resulta ya que al cambiar la codificación, automáticamente se recarga la página, y sigue mostrando la misma cuenta en el contador.

En todo caso hice un intento más, esta vez cargando la página y una vez dentro de la página borré temporales, y seguido cambié la codificación con la consecuente recarga automática de la página, y tampoco funcionó.

En todo caso, pienso que si tuviera que ver con limpiar archivos temporales, no se hubieran sincronizado los contadores dentro de la maquina virtual con los de fuera de la maquina virtual en su momento, ya que los archivos temporales que almacenan cada uno son independientes, cierto?

Dices que TOR y la maquina virtual no tienen nada que hacer, pero a ver, ordenémosnos, que hasta yo me perdí xD...
¿para que estamos tratando de reiniciar el contador? Si yo ya lo había hecho entrando a la página desde TOR en una maquina virtual con SO recién instalado y ahí se reinició el contador. Ya mencioné que el periodo de prueba sigue su curso aunque se reinicie el contador que se muestra en los navegadores.

El sentido del post es conocer más sobre los métodos de seguimiento que tienen la páginas y en particular esta.

Recapitulando, se dice que el seguimiento comienza una vez instalado el software y a través de la instalación toma privilegios para saber hasta la MAC del router. Y por eso cualquier computador con la misma conexión mantenía la misma cuenta del contador.

Entonces creé la maquina virtual, donde no instalé el software, con sistema operativo recién instalado y entré a la página usando TOR. Resultado, ahí me perdió el rastro, porque me mandó un contador reiniciado. Cómo sugirió AXCESS, el circuito de TOR puede haber servido para que la página perdiera el tuneleado directo y entonces ya no vio mi MAC, cierto?. Entonces, la nueva interrogante que surge para mi es, porqué fuera de TOR y fuera de la máquina virtual, todos los demás navegadores en la máquina real se sincronizaron con esta nueva cuenta que se inició en TOR.

A ver si me hago entender mejor.
Si el circuito de TOR sirvió de firewall y perdió la huella de mi mac, y me dio un nuevo contador, porque aún fuera de TOR, al abrir la página en los navegadores de la maquina real, estos se habían sincronizado con el contador que se inició en TOR? ¿Se debe a la identificación que crea con esa imagen canvas html o como sea que se llame?

Todo lo que aporte a conocer más sobre su forma de seguimiento ayudaría a todo a quién le preocupe este tema de como nos rastrean y así ir tomando precauciones al respecto. Disculpen la insistencia...

PD: NEBIRE, No sé por qué no te sale el contador desde el momento que entras en la zona de descarga de la página, a mi me salió desde el primer momento y antes de instalar, y en la máquina virtual (donde no estaba instalada la aplicación), también apareció apenas al entrar a la página de descarga. Y aunque le haya puesto a TOR que no descargara la imagen canvas, la descarga del software se me permitió de todas formas. Yo creo que aunque le pongas a TOR que no descargue la imagen, ya encontraron la forma de burlar eso, y así es como te siguen, quizás me equivoque, ustedes seguro entienden más de esto y ayudarán a entenderlo mejor... muchas gracias :D

EdePC


Serapis

...en esete punto, queda bastante claro la situación...

La imagen creada, por vez primera es enviada a su servidor (puede que deleguen en los servicios de otra web, para nosotros esto es 'su servidor' sin importar si está en su dominio o es fuera). Siempre que impidas el envío al servidor, no podrá comparar la imagen recién creada con la imagen que ellos tengan almacenada (en realidad ellos crean un registro con tu email y alias al solicitar la descarga, luego... aunque explícitamente tu no crees una cuenta, existe una entrada que mantiene en alguna base de datos... un campo Hash que derive hacia email, alias y fecha y hora (mientras no te registres y ofrezcas más datos). Es decir les basta una base de datos donde almacenan ese hash creado (ni siquiera la imagen) y por ello puedan ir a otra tabla donde mantengan email, alias y crono...

Si tu impides la conexión, aunque cree la imagen oculta (TOR simplemente si se lo dices devolverá una imagen en blanco (en realidad en negro, es una forma de hablar, para decir 'vacía', con el color por defecto al crear el canvas)), no les llegará o si les llega ese hash correspondiente a una imagen vacía ellos ya la habrán catalogado de forma especial como 'hash' por defecto cuando la imagen esta vacía... con lo que ellos saben que algo impidió su creación.

Que a mi no me aparezca el contador puede ser debido simplemente a que yo uso un firewall y un bloqueador de IPs... básicamente está bloqueado más de medio mundo... y cada programa que intenta conectarse a la red, debo aprobarlo... (o denegarlo). Como no he instalado el programa, el programa no puede enviar nada, y el navegador si está autorizado, pero todavía queda el filtrado de IPs... puede que por ahí se detenga... De todos modos es más probable (ya razonable) que el período de prueba se asocie con la instalación del programa y no con la mera visita y descarga del programa).

De todos modos, la tecnología es como te he señalado. Se crea una imagen oculta (en memoria) con un texto, de la que se genera un hash, ellos entregan el hash generado y buscan si consta YA en su base de datos, si consta verifican el crono que allí está y el navegador muestra y actualiza el tiempo restante. Si no consta para ellos es un indicador de que su sistema fue burlado, lo que hagan en ese caso es incierto, podrían hacer lo mismo que cuando el contador llegue a 0, es decir que el programa deje de funcionar.

...por si no te enteras... da igual si tu haces que el contador llegue a 0 o no... envíes o no el hashs, si no consta en su base de datos, seguramente el programa se bloquee. El programa cuando se inicie lo primero que hará es ver de generar la imagen y obtener el hash y transmitirlo a la web, consensuando con la web lo que debe hacer... si resta período, seguirá funcionando, si no resta período o la conexión falla o el servidor dice "ese hash no consta en nuestra base de datos", pués el programa dará por finalizado el período de prueba o puede que algún aviso o una extensión de gracia en el período... en fin lo que se les haya ocurrido a los programadores...
Además una vez el programa fue instalado, el control es mucho más complejo, ya que el propio programa puede disponer de recursos propios para mantener el crono... en algún fichero externo (cifrado o no), en el registro, incluso dentro de la configuración propia del programa y pasar desapercibido... porque no lo van a poner a las claras: CronoPeriodoDePrueba: 112.000 segundos (que restan). etc...

En resumen la solución que yo te he dado, no te valdrá para burlar al crono, sino para poder volver a descargar el programa como si fueras otro usuario distinto... úsalo cuando el período llegue a 0, te reclame pagar o desinstalar, o lo desintales e intentes descargar de nuevo y te 'reconozca'...

Cambiando la codificación, el resultado cierto es que la imagen oculta creada es distinta, pero lo que haga el programa-web con una imagen cuyo hash resultante no conste en su BD, no podemos saberlo, solo aventurarlo e indicar opciones probables...


Es decir... cuando el período de prueba acabe, lo más probable es que el programa arranque y sin terminar de hacerlo te señale que se acabó el período de prueba y que debes comprar el producto o desinstalarlo. ...bien, lo desinstalas y tal como te he sugerido cambiando la codificación puedes volver a descargar otra vez el programa y volver a usarlo... si no cambias la codificación, te reconocerá como un usuario que ya tuvo periódo de prueba (incluso aunque hayas desinstalado el programa), y por tanto te reclamará que lo compres, o puede que ofrezcan un período alternativo... quien sabe...

captainhook

Lo que sigo sin entender es

1.- ¿Por qué la imagen fue enviada aún cuando le dije a TOR que no lo hiciera? ¿Vulnerabilidad de este?

2.- ¿por qué el hash era el mismo en tor dentro de la maquina, como en la maquina real con la consecuente sincronización de todos los contadores dentro y fuera de la máquina virtual?

Cita de: EdePC en  5 Agosto 2018, 14:56 PM
Saludos,- Envíame el link a mi también XD.

Enviado ;)

EdePC

- Ya veo, sucede de que la Página Web del dichoso Plugin utiliza un servicio de terceros llamado: Deadline Funnel (https://deadlinefunnel.com/) y esta es la que se encarga del contador, expirar el enlace, el trackeo, etc. Mejor verlo en su vídeo promocional en su página web, al parecer es bastante conocido.