BIOHAZARD SIDE

Mensajes

|☣|☣|☣|☣|☣| El ultimo mundo libre muere ..... Internet agoniza , si no puedes hacer algo , siéntate y velo morir |☣|☣|☣|☣|☣| En la vida tendrás siempre dos opciones , ser cambiado por el mundo o cambiar el mundo |☣|☣|☣|☣|☣| Una gran idea esta hecha de muchas ideas pequeñas |☣|☣|☣|☣|☣| Leer por leer es malo , escribir por rellenar no es bueno , ver para creer no esta nada mal , ver todos los puntos de vista es esencial |☣|☣|☣|☣|☣| La vida es una batalla , depende de ti escoger tu bando |☣|☣|☣|☣|☣| Compartir conocimiento es obligación |☣|☣|☣|☣|☣| La humanidad es inteligente , pero la masa es tonta y temerosa |☣|☣|☣|☣|☣||☣|☣|☣|☣|☣| 6 de cada 10 personas ve las cosas a su manera , 3 de cada 10 personas logra ver la perspectiva de otras personas y tan solo 1 de cada 10 personas ve el panorama completo |☣|☣|☣|☣|☣| Se libre , piensa libre , vive libre , siéntete libre

miércoles, 23 de noviembre de 2011

Analizando la privacidad real de las fotos de Facebook

Analizando la privacidad real de las fotos de Facebook:

La semana pasada se publicó en El Mundo una noticia en la que se hablaba de que la privacidad que Facebook aplica a las fotos que subimos a la red social, de la que @mkpositivo se hizo eco a través del twitter.


En la noticia se indica que, cualquier usuario, sin necesidad de estar registrado en Facebook, puede acceder a cualquier foto hospedada en la red social, previo conocimiento de su URL.


Veámoslo mejor con un ejemplo. A continuación se puede ver una foto subida por mí a Facebook. Se puede ver como en la configuración de visibilidad aparece compartida únicamente con mis amigos.



Si pulsamos con el botón derecho encima de la foto y seleccionamos la opción “Propiedades” en Internet Explorer, “Ver información de la imagen” en Firefox, o “Copiar URL de imagen” en Chrome, podemos obtener la URL de la foto. Luego solo es necesario pegarla en otro navegador distinto, o acceder tras hacer cerrado la sesión.


Podéis hacer la prueba con la foto que aparece en la captura anterior, cuya URL es: http://a1.sphotos.ak.fbcdn.net/hphotos-ak-ash4/227889_1039700604242_1577350655_1313941_1002_n.jpg


Comprobado que tenemos acceso sin problemas al servidor de fotos, solo nos falta saber los nombres de los ficheros para obtener todas las fotos de amigos y no tan amigos.


Un pequeño análisis


He realizado un pequeño análisis sobre las fotos que he subido a la red social, que no pretende ser exhaustivo ni completo, y estos son mis hallazgos:



  • Existen al menos dos granjas de 8 dominios que contienen fotos, siendo todos ellos réplicas. Según he podido comprobar, la misma foto se abre igualmente si cambiamos desde a1.sphotos.ak.fbcdn.net a a8.sphotos.ak.fbcdn.net, así como desde photos-a.ak.fbcdn.net hasta photos-h.ak.fbcdn.net, sin mayores problemas.

  • La carpeta donde residen los ficheros es constante, excepto los cuatro últimos caracteres, que pueden tomar cualquier valor alfanumérico. En el ejemplo, la carpeta donde están hospedadas las fotos es hphotos-ak-ash4, pero cambiando estos caracteres por otros cualquiera también se consigue acceso.

  • El tercer número que aparece en el nombre del fichero es el ID (número) de usuario. Si os habéis generado un nombre de usuario de Facebook, para saber vuestro número de usuario debéis acceder a la URL http://graph.facebook.com/, y en el resultado aparecerá vuestro número de usuario. Si no os habéis creado un nombre de usuario, el número aparecerá en la barra de direcciones al seleccionar vuestro perfil.

  • También he verificado que, de los cuatro grupos de números restantes que forman el nombre del fichero, hay dos que se incrementan de forma constante, y otros dos cuyo patrón no he podido averiguar.

  • Por último, la letra antes de la extensión cambia entre las siguientes letras, dependiendo del tamaño en que se visualice la imagen: [o,n,b,q,a,s,t]


Con todos estos datos, queda confirmado que, a pesar de que extraer el nombre de una foto de Facebook no es trivial, un ligero análisis ha demostrado que existen partes comunes que pueden reducir significativamente la complejidad de un ataque que busque extraer fotografías de alguien importante, como por ejemplo, el que parece ser el perfil personal de Mariano Rajoy.


Tras esto, y a petición del editor del blog, he hecho algunas comprobaciones más mediante una mínima prueba de fuerza bruta. El resultado en la parte positiva (o negativa, depende de la perspectiva de cada uno) es que no he podido dar con ninguna otra foto a partir de la primera, pero no he apreciado ningún tipo de descenso del rendimiento ni bloqueo de peticiones, a pesar de haber hecho algunos miles de peticiones en pocos minutos, por lo que entiendo que no estarán ejerciendo ningún control. Si el control de volumen es realmente así de “relajado”, cabría analizar hasta qué punto un ataque de fuerza bruta distribuido, cuyo objetivo fuese la obtención de fotografías y no inhabilitar el servicio, podría ser viable. En cualquier caso, dejamos eso para el lector aventurado, con mucho tiempo libre y potenciales ganas de problemas.


¿Por qué ocurre esto? Entiendo que, dadas las ingentes cantidades de información que procesa Facebook cada segundo, sus desarrolladores han tenido que llegar a un compromiso entre privacidad y experiencia de usuario, haciendo que el peso del control de acceso recaiga sobre la página principal de la red social, dejando a los servidores de fotos como meros repositorios y centros de procesamiento multimedia, sobre los que no se ejerce ningún control de acceso. ¿Qué os parece esta medida? ¿Estamos siendo demasiado paranoicos? ¿Piensan que “lo mismo da” ya que se tiene acceso a la foto y por tanto se puede copiar?


P.D: Acabo de comprobar que en Tuenti y Google+ el comportamiento es el mismo, aunque en este caso los nombres que se asignan a las fotos tienen, a priori, mayor complejidad.


Se ha producido un error en este gadget.