Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Agujeros en los sistemas de navegación anónima

Agujeros en los sistemas de navegación anónima

Por Leave a Comment

Se han detectado importantes fallos en los sistemas que ofrecen a los
usuarios navegar de forma anónima. Estos agujeros permiten a un sitio
web obtener información acerca de los usuarios que utilizan dichos
servicios, con lo que su función queda anulada.
El estudio se ha concentrado en cuatro servicios: Anonymizer, Aixs,
Bell Labs y Naval Research Laboratory. A grandes rasgos todos
trabajan de la misma forma, intentan ocultar a los servidores web
información acerca de los visitantes. Previenen de que sea accesible
la dirección IP del usuario, el nombre de la máquina y el uso de
cookies. Están basados en el uso de servidores proxys que hacen de
intermediarios entre el web visitado y el usuario.

Richard M. Smith, presidente de Phar Lap Software, ha encontrado la
forma de saltarse estos servicios. El sistema que utiliza está basado
en JavaScript, y se ha podido confirmar utilizando Netscape 4.5. En
el caso de Anonymizer y Aixs, una pequeña porción de código en una
página web permite redirigir la navegación de forma directa al
servidor web original, de esta manera se salta y anula al servidor
intermediario que facilitaba el anonimato.

En los sistemas Bell Labs y Naval Research se ha detectado un fallo
diferente. En esta ocasión, basta una simple función JavaScript para
obtener la dirección IP y el nombre de la máquina del usuario. Esto
puede lograrse a través de una llamada a la clase Java InetAddress
utilizando LiveConnect en Netscape Navigator.

El uso de la expresión java.net.InetAddress.getLocalHost().getHostAddress(),
y java.net.InetAddress.getLocalHost().getHostName(), podría suministrar
dirección IP y nombre de la máquina del usuario de una forma directa
en Netscape. El navegador de Microsoft, Internet Explorer, no posee
la característica LiveConnect, lo que impide que se puedan realizar
llamadas directa a clases Java desde Javascript.

Aunque en principio pudiera parecer que los usuarios de Internet Explorer
están a salvo de este agujero, a través de applets de Java o controles
Active-X se podrían hacer uso del fallo salvando la falta de LiveConnect.

La solución para los usuarios que utilicen estos servicios pasa por
desactivar JavaScript, Java y Active-X en sus navegadores. De esta forma
previenen ambos fallos y podrán disfrutar de una navegación anónima.

Más información:
Bugtraq
CNet
Anonymizer
Bell-Labs
Naval Research Laboratory
Aixs

Bernardo Quintero

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.