Miguitas en el Ordenador Las cookies y su implicancia forense Lic. Patricia Monica Delbono Perito Informatico 1 Hay ciertas pistas en la escena de un crimen que por su naturaleza nadie puede recoger o examinar ¿cómo se recoge el Amor, la Ira, el Odio, el Miedo…? son cosas que hay que saber buscar” Dr. James T Reese. 2 Objetivo • • • • Qué es una cookie? GA – Google analytics cookies vs. Cookies tradicionales Cómo puedes saber si están trabajando correctamente? Cuál es su papel en el seguimiento entre dominios ? Cual es la implicancia forense? 3 Que es una cookie? • Porciones de texto que se resguardan en nuestro ordenador. • No es un virus y no es ejecutable • Una cookie no puede robar información de otro sitio. • Tamaño de 1 a 4 k y solo pueden enviarse a un ordenador un máximo de 20 cookies. 4 Que es una cookie? • Las cookies almacenan su información por parejas nombre-valor como información relativa a la fecha, hora y persona (dominio) que envío la cookie. • Las cookies son bidireccionales: deben enviarse al navegador como parte de la pagina y deben enviarse al servidor como parte de una solicitud. 5 Que es una cookie? • Las cookies son colecciones de objetos request y response. • El objeto response es el que “envia” y el objeto request es el que “pide”. 6 Google analytics cookies vs. HTTP Cookies HTTP COOKIES -Archivos de texto plano: – Se pueden almacenar en texto plano o en una base de datos -Tipos de cookie: – – – cookie de sesión (permiten al sitio hacer un seguimiento de las paginas que se visitan por el usuario) carritos de compra Para autenticación (cookies que resguardan credenciales) -Información que resguarda la cookie – – – – Sitio web visitado fecha y horario ultima vez visitado Fecha de caducidad Numero de hits( visitas ) que ha tenido el sitio 7 Google analytics cookies vs. HTTP Cookies HTTP COOKIES Cuando caduca una cookie, se elimina por el sistema y es reemplazada por una nueva cookie en una visita posterior al sitio. Es importante tener en cuenta que el navegador Web tiene que en ejecución para eliminar las cookies caducados. estar Si no hay una fecha de vencimiento, la cookie se retira al final de la sesión. 8 Google analytics cookies vs. HTTP Cookies Donde se ubican las cookies Internet Explorer Se almacena en texto plano (.txt) y se puede recuperar a traves del archivo index.dat (*) Firefox Se almacena en una base de datos sqlite database, cookies.sqlite Chrome Se almacena en una base de datos sqlite database, cookies (*) IE 10 y anteriores 9 Google analytics cookies vs. HTTP Cookies Donde se ubican las cookies 10 Google analytics cookies vs. HTTP Cookies Donde se ubican las cookies 11 Google analytics cookies vs. HTTP Cookies Consideraciones sobre las cookies: Pueden ser restringidas por el usuario y se clasifican: De origen: Generadas por el propio sitio web que visita el usuario, es decir la misma URL visitada. De terceros: Generadas por otros dominios, pudiendo considerarse maliciosas y restringidas por los antivirus por sospecha de Spyware Utilizadas por empresas de marketing para rastreo de historia y patrones de navegación de un usuario con el objetivo de promocionar sus productos. 12 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) - Permiten obtener a los propietarios de sitios web, información sobre las visitas a los mismos, en forma anonima… - GA < a 5.000.000 de paginas vistas, es un sistema gratuito de Google > a 5.000.000 se requiere una cuenta en Google AdWords. - Como funciona: Se inserta un java script de Google en el código del sitio Web en forma de imagen pequeña al cargarse la pagina. 13 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) Ejemplo codigo Java Script 14 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) Tipos de GA Cookies – _utma – _utmb – _utmc – _utmz – _utmv 15 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _UTMA COOKIE> >Cookie de usuario Caduca 2 años después de ultima actualización Genera un un ID unico de usuario. Distingue usuarios y sesiones Fecha primera y ultima vez que visito web Recuento de cuantas veces visita el sitio un usuario único Estructura: (Hash_dominio).(id_visitante).(primera_visita).(visita_previa). (ultima_visita).(N°_de_sesiones) Las lineas de tiempo estal almacenadas en Unix expresadas en numero de segundos desde 00:00:00 hs 1 junio de 1970 16 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _utma Cookie > Cookie de usuario 17 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _utma Cookie > Cookie de usuario – PJN 32675327.65524891.1400501794.1401222870.1401386056.7 PV: 1400501794: lun, 19 mayo 2014 09:16:34 -0300 VP:1401222870 mar, 27 mayo 2014 17:34:30 -0300 UV:1401386056: jue, 29 mayo 2014 14:54:16 -0300 7: 7 SESIONES (no incrementadas cuando se recarga el sitio) 18 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _utma Cookie > Cookie de usuario www.digital-detective.co.uk 19 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _UTMB COOKIE >>Cookie de sesion Caduca a los 30 minutos de la ultima actualización Se elimina cuando cierra el navegador. Se usa para determinar nuevas sesiones o visitas Si pasan más de 30 minutos de inactividad y vuelve a solicitar la pagina, se inicia una nueva sesion (un usuario unico = dos visitas) Estructura (hash dominio).(pages_viewed).10.(ultima_vez ) 20 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) dom, 01 junio 2014 18:18:41 -0300 21 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _UTMC COOKIE >> Estado de la sesión (abierta o cerrada) Trabaja con la cookie _UTMB Rastrea sesiones de usuario y se almacena en memoria RAM Si la cookie esta presente, la sesión esta activa Se borra cuando expira la sesión. Se puede ver con extensiones del explorador WEB (Mozilla Firefox) Resguarda únicamente Hash de Dominio 22 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _UTMZ COOKIE >> Origen del usuario Gran cantidad de datos de investigación Caduca a los 6 meses Esta cookie indica: - Origen del visitante - Camino que siguió para llegar: *Un acceso directo *Desde un link de otra Web *Enlace de correo electrónico *Usando palabras claves en un motor de búsqueda 23 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) _UTMZ COOKIE >> Origen del usuario Estructura: <domain hash>.<last time>.<sessions>.<sources>.<variables> 24 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie (GA) – FORMAS DE ACCEDER A UN SITIO METODO ORGANICO: Los visitantes ingresan mediante un motor de búsqueda, por ejemplo Google METODO REFERENCIA: Los visitantes ingresan a través de otro enlace dentro de un sitio web METODO DIRECTO: Los visitantes escribieron directamente en el navegador la URL O hicieron enlace a través de: sus marcadores o favoritos sus email algún documento 25 Google analytics cookies vs. HTTP Cookies GOOGLE ANALYTICS Cookie(GA) – Variables _UTMZ Utmcsr Última fuente / sitio utilizado para acceder al sitio de destino Utmccn Información de la campaña, “AD” comúnmente utilizado por adwords google. Este valor es normalmente el mismo que utmcmd Google AdWords es el programa que utiliza Google para ofrecer publicidad patrocinada a potenciales anunciantes . Utmcmd Ultimo tipo de acceso Utmctr Palabra clave (s) de búsqueda que encuentra el sitio (descrito a continuación UTMCCT La ruta de la página en el sitio de el enlace de referencia 26 Google analytics cookies vs. HTTP Cookies Algunos ejemplos…… 27 Google analytics cookies vs. HTTP Cookies EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE EMAIL utmscr= de donde vino? Utmccn= Campaña AD utmcmd= ultimo tipo acceso domain hash>.<last time>.<sessions>.<sources>.<variables 28 Google analytics cookies vs. HTTP Cookies EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE EMAIL>> EMAIL… domain hash>.<last time>.<sessions>.<sources>.<variables 29 Google analytics cookies vs. HTTP Cookies EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE UNA PALABRA CLAVE – “PATRICIA DELBONO” Consigna de búsqueda: “PATRICIA DELBONO” Buscador: Yahoo! Primera ocurrencia: Linkedin 30 Google analytics cookies vs. HTTP Cookies EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE UNA PALABRA CLAVE – “PATRICIA DELBONO” utmscr= de donde vino? – ar.linkedin.com Utmccn= (Info AD): (referral) de otro enlace de un Web site: Ocurrencias de Yahoo! utmcmd= (ultimo tipo acceso)(referral) de otro enlace de un Web site: Ocurrencias de yahoo! utmcct= ruta de la pagina donde esta lo que se busca 31 Donde están las cookies? FIREFOX <user_profile>\AppData\Roaming\Mozilla\Firefox\Profiles\<st ring>.default\cookies.sqlite -COOKIES.SQLITE tiene todas las cookies asociadas con Firefox. -Formato Base de Datos. -Visualizar con: SQLite Manager – Complemento de Mozilla -Para mostrar solo GA hay que escribir una sentencia de SQL “select * from moz_cookies where name like '%utm%';” 32 Donde están las cookies? 33 Donde están las cookies? Para tener en cuenta: -Tener presente la fecha de ultimo acceso: Columna LASTACCESSED -Esta expresada en microsegundos desde el 1 de enero de 1970 a las 00:00:00 hs -Usar DCODE para decodificar valor 34 Donde están las cookies? CHROME <user_profile>\AppData\Local\Google\chrome\user _Data\default\cookies> -El archivo Cookies esta forma Sqlite Format 3. -Se visualiza con SQLITEManager – Version Beta -Para mostrar todas las cookies escribir la sentencia SQL <SELECT * FROM cookies> 35 Donde están las cookies? 36 Donde están las cookies? • Para tener en cuenta -Tener presente la fecha de ultimo acceso: Columna LAST_ACCESS_UTC -Esta expresada en microsegundos desde el 1 de enero de 1601 a las 00:00:00 hs -Usar DCODE para decodificar valor 37 Donde están las cookies? • Para tener en cuenta II -Esta expresada en microsegundos desde el 1 de enero de 1601 a las 00:00:00 hs -Se tiene que ajustar el tiempo sustrayendo 1164447360 (numero de segundos desde 00:00:00 January 1, 1601 a 00:00:00 January 1, 1970) antes de convertir microsegundos a segundos . Select datetime(last_access_utc/1000000 - 11644473600, 'unixepoch'), host_key, value from cookies where name like '%utm%' order by last_access_utc 38 Donde están las cookies? Cookies: CTRL+SHIFT+J 39 Donde están las cookies? INTERNET EXPLORER – <user_profile>\AppData\Roaming\Microsoft\Windows\Cookies> - Archivo de texto (.txt) Formato: <Username @ dominio - . txt< 40 Donde están las cookies? INTERNET EXPLORER – <user_profile>\AppData\Roaming\Microsoft\Windows\Cookies> 41 Donde están las cookies? INTERNET EXPLORER – Index.dat – WFA (Windows Forensic Analyzer) 42 Donde están las cookies? INTERNET EXPLORER – Index.dat – WFA (Windows Forensic Analyzer) 43 Donde están las cookies? INTERNET EXPLORER – NOTEPAD++ 44 Donde están las cookies? INTERNET EXPLORER – NOTEPAD++ Cookie: propietario@casamientosonli ne[2].txt -Todas las cookies se separan con un ‘*’ -Se crearán cookies por cada camino hacia el mismo site, usando [x] 45 Donde están las cookies? INTERNET EXPLORER – NOTEPAD++ Cookie: propietario@casamientosonli ne[2].txt -Linea 3: sitio web -Linea 4, 13 y 22: banderas de uso reservado -Lineas 5-8: fechas ultimo acceso y caducidad de la cookie. -Expresada en Windows 64 FILETIME 46 Conclusión •Tantos las cookies HTTP con las GA, aportan buena información del navegador Web de un usuario. •Las GA muestran las diversas maneras que un usuario puede acceder a un sitio Web como la cantidad de veces que visito dicho sitio. •Por último, el investigador puede determinar si el usuario tiene una sesión activa con un sitio Web de destino antes de cerrar su navegador Web . •Las GA puede determinar las sesiones de un usuario y no cuando se recarga la pagina. 47 Gracias por participar Lic. Patricia Mónica Delbono Sistemas de Información Perito Judicial Informático CONSEJERA TITULAR COPITEC [email protected] 48