Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Miguitas en el Ordenador - Las cookies y su implicancia

Anuncio 
Miguitas en el Ordenador
Las cookies y su implicancia forense
Lic. Patricia Monica Delbono
Perito Informatico
1
Hay ciertas pistas en la escena de un
crimen que por su naturaleza nadie
puede recoger o examinar ¿cómo se
recoge el Amor, la Ira, el Odio, el
Miedo…? son cosas que hay que
saber buscar”
Dr. James T Reese.
2
Objetivo
•
•
•
•
Qué es una cookie?
GA – Google analytics cookies vs.
Cookies tradicionales
Cómo puedes saber si están trabajando
correctamente?
Cuál es su papel en el seguimiento entre
dominios ?
Cual es la implicancia forense?
3
Que es una cookie?
• Porciones de texto que se
resguardan en nuestro
ordenador.
• No es un virus y no es
ejecutable
• Una cookie no puede robar
información de otro sitio.
• Tamaño de 1 a 4 k y solo
pueden enviarse a un
ordenador un máximo de
20 cookies.
4
Que es una cookie?
• Las cookies almacenan su
información por parejas
nombre-valor como
información relativa a la
fecha, hora y persona
(dominio) que envío la
cookie.
• Las cookies son
bidireccionales: deben
enviarse al navegador como
parte de la pagina y deben
enviarse al servidor como
parte de una solicitud.
5
Que es una cookie?
• Las cookies son colecciones
de objetos request y
response.
• El objeto response es el que
“envia” y el objeto request
es el que “pide”.
6
Google analytics cookies
vs.
HTTP Cookies
HTTP COOKIES
-Archivos de texto plano:
–
Se pueden almacenar en texto plano o en una base de datos
-Tipos de cookie:
–
–
–
cookie de sesión (permiten al sitio hacer un seguimiento de las paginas
que se visitan por el usuario)
carritos de compra
Para autenticación (cookies que resguardan credenciales)
-Información que resguarda la cookie
–
–
–
–
Sitio web visitado
fecha y horario ultima vez visitado
Fecha de caducidad
Numero de hits( visitas ) que ha tenido el sitio
7
Google analytics cookies
vs.
HTTP Cookies
HTTP COOKIES
Cuando caduca una cookie, se elimina por el sistema y es reemplazada
por una nueva cookie en una visita posterior al sitio.
Es importante tener en cuenta que el navegador Web tiene que
en ejecución para eliminar las cookies caducados.
estar
Si no hay una fecha de vencimiento, la cookie se retira al final de la
sesión.
8
Google analytics cookies
vs.
HTTP Cookies
Donde se ubican las
cookies
Internet Explorer
Se almacena en texto plano
(.txt) y se puede recuperar a
traves del archivo index.dat
(*)
Firefox
Se almacena en una base de
datos sqlite database,
cookies.sqlite
Chrome
Se almacena en una base de
datos sqlite database,
cookies
(*) IE 10 y anteriores
9
Google analytics cookies
vs.
HTTP Cookies
Donde se ubican las cookies
10
Google analytics cookies
vs.
HTTP Cookies
Donde se ubican las cookies
11
Google analytics cookies
vs.
HTTP Cookies
Consideraciones sobre las cookies:
Pueden ser restringidas por el usuario y se clasifican:
De origen:
Generadas por el propio sitio web que visita el usuario, es decir la
misma URL visitada.
De terceros:
Generadas por otros dominios, pudiendo considerarse maliciosas y
restringidas por los antivirus por sospecha de Spyware
Utilizadas por empresas de marketing para rastreo de historia y
patrones de navegación de un usuario con el objetivo de
promocionar sus productos.
12
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
- Permiten obtener a los propietarios de sitios web, información sobre las
visitas a los mismos, en forma anonima…
- GA
< a 5.000.000 de paginas vistas, es un sistema gratuito de Google
> a 5.000.000 se requiere una cuenta en Google AdWords.
- Como funciona:
Se inserta un java script de Google en el código del sitio Web en forma de
imagen pequeña al cargarse la pagina.
13
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
Ejemplo codigo Java Script
14
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
Tipos de GA Cookies
– _utma
– _utmb
– _utmc
– _utmz
– _utmv
15
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_UTMA COOKIE> >Cookie de usuario
Caduca 2 años después de ultima actualización
Genera un un ID unico de usuario. Distingue usuarios y sesiones
Fecha primera y ultima vez que visito web
Recuento de cuantas veces visita el sitio un usuario único
Estructura:
(Hash_dominio).(id_visitante).(primera_visita).(visita_previa).
(ultima_visita).(N°_de_sesiones)
Las lineas de tiempo estal almacenadas en Unix expresadas en numero
de segundos desde 00:00:00 hs 1 junio de 1970
16
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_utma Cookie > Cookie de usuario
17
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_utma Cookie > Cookie de usuario
– PJN
32675327.65524891.1400501794.1401222870.1401386056.7
PV: 1400501794: lun, 19 mayo 2014 09:16:34 -0300
VP:1401222870 mar, 27 mayo 2014 17:34:30 -0300
UV:1401386056: jue, 29 mayo 2014 14:54:16 -0300
7: 7 SESIONES (no incrementadas cuando se recarga el sitio)
18
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_utma Cookie > Cookie de usuario
www.digital-detective.co.uk
19
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_UTMB COOKIE >>Cookie de sesion
Caduca a los 30 minutos de la ultima actualización
Se elimina cuando cierra el navegador. Se usa para determinar nuevas
sesiones o visitas
Si pasan más de 30 minutos de inactividad y vuelve a solicitar la pagina,
se inicia una nueva sesion (un usuario unico = dos visitas)
Estructura
(hash dominio).(pages_viewed).10.(ultima_vez
)
20
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
dom, 01 junio 2014 18:18:41
-0300
21
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_UTMC COOKIE >> Estado de la sesión (abierta o cerrada)
Trabaja con la cookie _UTMB
Rastrea sesiones de usuario y se almacena en memoria RAM
Si la cookie esta presente, la sesión esta activa
Se borra cuando expira la sesión.
Se puede ver con extensiones del explorador WEB (Mozilla Firefox)
Resguarda únicamente
Hash de Dominio
22
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_UTMZ COOKIE >> Origen del usuario
Gran cantidad de datos de investigación
Caduca a los 6 meses
Esta cookie indica:
- Origen del visitante
- Camino que siguió para llegar:
*Un acceso directo
*Desde un link de otra Web
*Enlace de correo electrónico
*Usando palabras claves en un motor de búsqueda
23
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA)
_UTMZ COOKIE >> Origen del usuario
Estructura:
<domain hash>.<last time>.<sessions>.<sources>.<variables>
24
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie (GA) –
FORMAS DE ACCEDER A UN SITIO
METODO ORGANICO:
Los visitantes ingresan mediante un motor de búsqueda, por ejemplo Google
METODO REFERENCIA:
Los visitantes ingresan a través de otro enlace dentro de un sitio web
METODO DIRECTO:
Los visitantes escribieron directamente en el navegador la URL
O hicieron enlace a través de:
sus marcadores o favoritos
sus email
algún documento
25
Google analytics cookies
vs.
HTTP Cookies
GOOGLE ANALYTICS Cookie(GA) –
Variables _UTMZ
Utmcsr
Última fuente / sitio utilizado para acceder al sitio de destino
Utmccn
Información de la campaña, “AD” comúnmente utilizado por adwords
google. Este valor es normalmente el mismo que utmcmd
Google AdWords es el programa que utiliza Google para ofrecer publicidad
patrocinada a potenciales anunciantes
.
Utmcmd
Ultimo tipo de acceso
Utmctr
Palabra clave (s) de búsqueda que encuentra el sitio (descrito a
continuación
UTMCCT
La ruta de la página en el sitio de el enlace de referencia
26
Google analytics cookies
vs.
HTTP Cookies
Algunos ejemplos……
27
Google analytics cookies
vs.
HTTP Cookies
EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE
EMAIL
utmscr= de donde vino?
Utmccn= Campaña AD
utmcmd= ultimo tipo acceso
domain hash>.<last time>.<sessions>.<sources>.<variables
28
Google analytics cookies
vs.
HTTP Cookies
EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE
EMAIL>> EMAIL…
domain hash>.<last time>.<sessions>.<sources>.<variables
29
Google analytics cookies
vs.
HTTP Cookies
EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE
UNA PALABRA CLAVE – “PATRICIA DELBONO”
Consigna de búsqueda: “PATRICIA DELBONO”
Buscador: Yahoo!
Primera ocurrencia: Linkedin
30
Google analytics cookies
vs.
HTTP Cookies
EJEMPLO DE UNA VARIABLE _UTMZ QUE INDICA LA LLEGA AL SITIO MEDIANTE
UNA PALABRA CLAVE – “PATRICIA DELBONO”
utmscr= de donde vino? – ar.linkedin.com
Utmccn= (Info AD): (referral) de otro enlace de un Web
site: Ocurrencias de Yahoo!
utmcmd= (ultimo tipo acceso)(referral) de otro enlace
de un Web site: Ocurrencias de yahoo!
utmcct= ruta de la pagina donde esta lo que se busca
31
Donde están las cookies?
FIREFOX
<user_profile>\AppData\Roaming\Mozilla\Firefox\Profiles\<st
ring>.default\cookies.sqlite
-COOKIES.SQLITE tiene todas las cookies asociadas con Firefox.
-Formato Base de Datos.
-Visualizar con: SQLite Manager – Complemento de Mozilla
-Para mostrar solo GA hay que escribir una sentencia de SQL
“select * from moz_cookies where name like '%utm%';”
32
Donde están las cookies?
33
Donde están las cookies?
Para tener en cuenta:
-Tener presente la fecha de ultimo acceso: Columna
LASTACCESSED
-Esta expresada en microsegundos desde el 1 de enero
de 1970 a las 00:00:00 hs
-Usar DCODE para decodificar valor
34
Donde están las cookies?
CHROME
<user_profile>\AppData\Local\Google\chrome\user
_Data\default\cookies>
-El archivo Cookies esta forma Sqlite Format 3.
-Se visualiza con SQLITEManager – Version Beta
-Para mostrar todas las cookies escribir la sentencia SQL
<SELECT * FROM cookies>
35
Donde están las cookies?
36
Donde están las cookies?
• Para tener en cuenta
-Tener presente la fecha de ultimo acceso: Columna
LAST_ACCESS_UTC
-Esta expresada en microsegundos desde el 1 de
enero de 1601 a las 00:00:00 hs
-Usar DCODE para decodificar valor
37
Donde están las cookies?
• Para tener en cuenta II
-Esta expresada en microsegundos desde el 1 de enero de 1601 a las
00:00:00 hs
-Se tiene que ajustar el tiempo sustrayendo 1164447360 (numero de
segundos desde 00:00:00 January 1, 1601 a 00:00:00 January 1, 1970)
antes de convertir microsegundos a segundos .
Select datetime(last_access_utc/1000000 - 11644473600, 'unixepoch'),
host_key, value from cookies where name like '%utm%' order by
last_access_utc
38
Donde están las cookies?
Cookies: CTRL+SHIFT+J
39
Donde están las cookies?
INTERNET EXPLORER –
<user_profile>\AppData\Roaming\Microsoft\Windows\Cookies>
-
Archivo de texto (.txt)
Formato:
<Username @ dominio - . txt<
40
Donde están las cookies?
INTERNET EXPLORER –
<user_profile>\AppData\Roaming\Microsoft\Windows\Cookies>
41
Donde están las cookies?
INTERNET EXPLORER –
Index.dat – WFA (Windows Forensic Analyzer)
42
Donde están las cookies?
INTERNET EXPLORER –
Index.dat – WFA (Windows Forensic Analyzer)
43
Donde están las cookies?
INTERNET EXPLORER – NOTEPAD++
44
Donde están las cookies?
INTERNET EXPLORER – NOTEPAD++
Cookie:
propietario@casamientosonli
ne[2].txt
-Todas las cookies se
separan con un ‘*’
-Se crearán cookies por
cada camino hacia el
mismo site, usando [x]
45
Donde están las cookies?
INTERNET EXPLORER – NOTEPAD++
Cookie:
propietario@casamientosonli
ne[2].txt
-Linea 3: sitio web
-Linea 4, 13 y 22: banderas
de uso reservado
-Lineas 5-8: fechas ultimo
acceso y caducidad de la
cookie.
-Expresada en Windows
64 FILETIME
46
Conclusión
•Tantos las cookies HTTP con las GA, aportan buena información del
navegador Web de un usuario.
•Las GA muestran las diversas maneras que un usuario puede acceder a un
sitio Web como la cantidad de veces que visito dicho sitio.
•Por último, el investigador puede determinar si el usuario tiene una sesión
activa con un sitio Web de destino antes de cerrar su navegador Web .
•Las GA puede determinar las sesiones de un usuario y no cuando se recarga
la pagina.
47
Gracias por participar
Lic. Patricia Mónica Delbono
Sistemas de Información
Perito Judicial Informático
CONSEJERA TITULAR
COPITEC
[email protected]
48
Documentos relacionados
Política de cookies
Política de cookies
http://listas.ldc.usb.ve/mailman/private/usb-ci/attachments/20110322/a0d9aab1/attachment-0001.rtf
http://listas.ldc.usb.ve/mailman/private/usb-ci/attachments/20110322/a0d9aab1/attachment-0001.rtf
POLÍTICA DE COOKIES El sitio atfsoluciones.com puede emplear
POLÍTICA DE COOKIES El sitio atfsoluciones.com puede emplear
aquí.
aquí.
EMPLEO DE COOKIES Igualmente, podrá utilizar cookies para
EMPLEO DE COOKIES Igualmente, podrá utilizar cookies para
El acceso a este sitio web puede implicar la utilización de cookies
El acceso a este sitio web puede implicar la utilización de cookies
• Chrome, desde http://support.google.com/chrome/bin/answer.py?hl
• Chrome, desde http://support.google.com/chrome/bin/answer.py?hl
Descargar
Anuncio
Anuncio