Firefox y los metados sin cifrar

por:

Dentro del cada día más gigantesco universo de la Seguridad y el Hacking, tendemos a considerar (incluso quienes nos dedicamos a esto de manera más profesional que amateur) que determinados sectores, productos e industrias son más seguras y protegen nuestra intimidad, datos personales y anonimato, mejor que otros.

Es general entonar el mantra de que Windows NO es seguro (cosa que es cierta) y que, además, existen pruebas de que atenta contra nuestros datos personales, los expone o los extrae de manera inmisericorde con la excusa de la telemetría y, esperamos, que la cosa quede ahí.

Y, a partir de ello, se nos llena la boca afirmando que el software privativo está diseñado para traficar con los metadatos de documentos, prácticas de navegación y rastros de la experiencia del usuario, lo que no debería ocurrir, ni ser permitido. Estoy plenamente de acuerdo con todo lo anterior y soy el primero en denunciarlo desde esta sección con bastante regularidad.

Pero el software libre no está libre de pecado en esta materia, por más que añada capas (a veces más publicitarias y promocionales que reales) en defensa de nuestra intimidad personal, la protección de nuestros datos o la invulnerabilidad de una ética informática que, sinceramente, cada día veo menos.

Firefox y los metadatos sin cifrar disponibles

ubuntu y firefox metadatos sin cifrar

Firefox es un gran navegador. Eso no se puede poner en duda. Es, además, un modelo de gestión de un gran producto basado y desarrollado en software libre que no para de actualizarse y añadir mejoras. Hasta ahí, nada que objetar.

Ubuntu es un gigantesco esfuerzo sostenido en pro del desarrollo de un excelente Sistema Operativo capaz de transformar un viejo ordenador casi para el desguace, en una máquina de rendimiento más que decente. (Como prueba, ahora mismo escribo este artículo en un viejo y destartalado Pentium 4 que adquirí en Ebay por 25 euros, y que no podía ni arrancar con un Windows XP que traía, y al que sólo la instalación de Lubuntu le ha permitido, cual Lázaro, levantarse y volver a andar en el mundo de los resucitados).

Por tanto, soy el primero en comprender las bondades del software libre, los sistemas operativos y los programas de código abierto, tanto desde su prisma técnico como desde el punto de vista filosófico (compartir el conocimiento, no tratar al software como una “commodity” sino como energía intelectual al servicio de cuanta más gente mejor, capacidad de trabajo en equipo para la detección y solución de “bugs”, etc…)

Pero, una vez reconocido (nuevamente) todo lo anterior, sigo sin comprender por qué ese abuso de la telemetría. Por qué esa torticera necesidad de que los programas capten y custodien en copia permanente nuestros hábitos de navegación, las páginas que consultamos, los servicios que contratamos o las tendencias que tenemos a la hora de usar Internet. Y, sobre todo ¿Por qué todavía en pleno 2016 y con toneladas de escándalos y peligros puestos de manifiestos cada día en los medios de comunicación en relación a nuestra seguridad online y a la vulnerabilidad de nuestra información personal, se continúa sin encriptar los archivos que contienen nuestros metadatos y el rastro que se nos obliga a dejar cuando navegamos?.

No piense que hacen falta programas de gestión de metadatos para tener acceso a este tipo de archivos guardados por nuestros navegadores. Tampoco se crea que este tipo de capturas y datos almacenados, se protegen contra terceros indiscretos, con capas de cifrado. Nada de eso, todo está cada día más expuesto y disponible de lo que se podría pensar. No poca de esta información personal e íntima del usuario queda almacenada, además, en texto plano y en un insultante archivo .txt (es decir, accesible con cualquier procesador de textos).

Metadatos inseguros: caso práctico

Usamos, como he dicho más arriba, una distribución Lubuntu, es decir, más normalita no la hay si usas Linux. Como no nos termina de gustar (ni nos fiamos mucho) del simplón navegador que esta distro trae “de serie”, nos hemos bajado los correspondientes paquetes para la instalación y uso de un buen y ¿seguro? Navegador: Mozilla Firefox.

Tras instalarlo, nos aseguramos de actualizarlo. Y ya lo tenemos al día y en perfectas condiciones.

Pero Frefox nos decepciona (también en Linux). Su voracidad a la hora de almacenar metadatos no termina de gustarnos, así que echamos un vistazo a ver qué capacidad tendría un tercero con malas intenciones, si decidiera echar un vistazo a ciertas carpetas de nuestro navegador para hacerse un perfil mental de cómo somos, cuáles son nuestras preferencias como internautas o qué rastros deja nuestro navegador a disposición de cualquiera que desee fisgonear.

Uno se tranquiliza antes de empezar, porque se autoconvence de que estos metadatos no serán de fácil acceso, o que las carpetas que los contienen estarán cifradas y que, como mínimo, será necesario hacerse con un buen software de gestión de metadatos para acceder a los mismos, por no hablar de necesitarse un software tipo John The Ripper para descifrar las capas de encriptación que protegerán mis hábitos de navegación o por dónde he pasado la última semana de conexión a Internet…

Pues no señores, todo esto queda abiertamente almacenado y expuesto en una carpeta que contiene un simple archivo de texto plano y perfectamente visible.

Veamos la siguiente captura de pantalla, de la carpeta Old Firefox Data.

Carpeta de metadatos no cifrados de Firefox

A continuación accedemos a esa extraña carpeta con nombre de tipo jeroglífico…

carpeta del perfil del usuario de firefox

Ahí empezamos ya a poder acceder a datos medio interesantes, aunque aún útiles desde un punto de vista técnico, para la resolución de errores (como la carpeta “Crashes” que almacenará los puntos de cuelgue del sistema, o la carpeta “Extensions” que nos dará cuenta de qué añadidos hemos implementado en nuestro navegador Firefox para personalizarlo y adaptarlo a nuestras preferencias). Repito, hasta aquí todo normal.

Todos los datos del usuario de firefox

 

Pero aparece el archivo SiteSecurityServiceState.txt y, sinceramente, al comprobar que se trata de un simple archivo de texto plano ya empiezo a mosquearme. Todo lo que se almacene ahí quedará expuesto con cualquier procesador de textos sencillo y gratuito. Mala cosa si de ese archivo se puede extraer algo que afecte a mi privacidad, forma de navegar, servicios que consulto en la Red, mi banca online, redes sociales que frecuento o en las que tengo cuenta, sistemas de email que podría usar en mi día a día, o tendencias de investigación, conocimiento o consulta

Pues ¡bingo! porque todo eso es justamente lo que queda almacenado y expuesto en ese simpático archivo de texto plano y abierto, a disposición de quien quiera hacerse una radiografía mía y de mis gustos, preferencias y hábitos en internet.»

Veámoslo más detenidamente…

Hemos destacado en rojo los servicios que podrían radiografiar a cualquier usuario, tan sólo, con los hábitos de navegación que se incluyen en esta carpeta de texto, sin encriptar y a plena disposición de terceros en mi navegador o PC:

datos del usuario importantes

datos del usuario de firefox importantes

Sólo con los metadatos de estas primeras capturas de pantalla podemos deducir:

  • Que el usuario es cliente de determinada banca online (La Caixa) y que se conecta a la misma a través de su plataforma en España, dado que se reiteran los subdominios .es entre los datos consignados.
  • Que el usuario es habitual de la Red Social Facebook, donde probablemente tendrá cuenta activa, por el número de veces que se recogen metadatos de la misma en esta carpeta.
  • Que el usuario cuenta con un disco duro en la nube basado en el servicio de MEGA.
  • Que el usuario descarga con asiduidad contenido de THE PIRATE BAY, dado que, no conforme con el hecho de que a veces el dominio principal de esta plataforma se muestre tumbado por las autoridades pertienentes, consulta y accede a la misma, desde una lista proxy de webs espejo de The Pirate Bay.
  • Que el usuario también es habitual de la Red Social Twitter, por idénticos patrones al anteriormente mencionado.
  • Que el usuario utiliza o consulta GITHUB lo que puede colocarlo claramente entre un público profesional dedicado a la programación o, cuanto menos, a la creación de software, tomando este repositorio de código como referente.
  • Que el usuario, no contento con el contenido que se descargará de The Pirate Bay, también accede a otras webs de descargas de contenido (legales, desde luego) como EPUBLIBRE, lo que deja claro su interés por hacerse con libros digitales gratuitamente, así como que descarga desde España y lee en castellano.

¿De verdad es necesario que un navegador guarde este tipo de información sobre cada uno de nosotros y nuestras preferencias personales, intelectuales, profesionales o datos personales?… ¿De verdad tiene esto algo que ver con telemetría encaminada a “mejorar el producto Mozilla Firefox”?…

Y, sobre todo, ¿De verdad tiene esto que estar disponible en un archivo de texto plano y abierto, para cuyo acceso no he precisado software de extracción de metadatos, ni desencriptación de ningún tipo?.

En fin, que cada cual saque sus propias conclusiones…

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

2 comentarios en “Firefox y los metados sin cifrar”

  1. Fran

    Hasta ahora, Octubre del 2018, me he encontrado con «verborrea» y «sandeces mercantiles» en este Internet…Hay que releer a George Orwell (1984) una y otra vez.
    Es de agradecer tan sensata exposición de los «Hechos».
    La «Mierda» por la que nos dejamos que, ni siquiera con nuestra «pareja» somos ni debemos ser «considerados», nos «desnuden» se hace insoportable.
    No hay nada o bien poco de honesto en lo que se expone en muchas páginas de este mundo virtual, como bien relata Orwell. Cada vez más me aburre Internet, me cansa mejor dicho. Todo es puro mercantilismo, estafa y timo por ende. Así que, guardo la dirección de este «sitio»… Elijo con libertad individual… y no «borreguil»….
    Agradecido, Alquimista. . . . A pesar de haber sido capturada la «matrícula» de este soporte desde donde escribo…

    Responder
  2. Gonzalo

    Incomprensible para un proyecto como Mozilla que hagan asi de mal las cosas

    Responder

Deja una Respuesta