RC3
L’utilizzo di un’impronta digitale è un modo estremamente accurato per identificare qualcuno, sia che si tratti delle creste e dei solchi di una vera e propria o delle informazioni uniche di un browser. È molto più difficile ottenere l’impronta digitale di una persona a sua insaputa; tramite il cosiddetto “fingerprinting” del browser, invece, è possibile risalire a tutti i tipi di servizi che formano una sorta di carta di identità Internet dell’utente, senza tener conto del suo punto di vista a riguardo.
Un team della Universität der Bundeswehr München ha sviluppato un’estensione del browser che consente di monitorare quali siti rilevano le impronte digitali del browser e come. Il team ha anche analizzato 10 mila siti web noti per capire quali tipologie di informazioni raccolgono. Ne ha parlato Julian Fiektau, che fa parte del team, durante il suo intervento al Remote Chaos Communication Congress (RC3) spiegando la metodologia impiegata per creare questa estensione.
Impronta digitale del browser: cos’è?
Una browser fingerprint è un insieme di dati che un sito web può ottenere su richiesta riguardo il vostro computer e il vostro browser quando viene caricata una pagina. L’impronta digitale comprende decine di informazioni, dalla lingua utilizzata al fuso orario in cui ci si trova, fino alle estensioni installate e alla versione del browser. Può anche includere dati sul sistema operativo, la RAM, la risoluzione dello schermo, le impostazioni del font e molto altro ancora.
I siti web raccolgono quantità e tipi diversi di informazioni, utilizzandole per generare un identificatore univoco che vi riguarda. Un’impronta digitale del browser non è un cookie, anche se può essere utilizzata in modo simile. E, sebbene per l’utilizzo dei cookie dobbiate dare un esplicito consenso (probabilmente siete già stanchi di chiudere tutte le notifiche al riguardo), per il rilevamento delle impronte digitali del browser non è necessario richiederlo.
Inoltre, anche utilizzando la modalità di navigazione in incognito, non viene impedito il rilevamento dell’impronta del browser: quasi tutti i parametri del browser e del dispositivo rimangono gli stessi e possono essere utilizzati per determinare chi sta navigando, ovvero voi.
Impronte digitali del browser: uso e abuso
Il primo scopo della browser fingerprint è quello di confermare l’identità di un utente senza alcuno sforzo. Ad esempio, se una banca è in grado di riconoscere dall’impronta digitale del vostro browser che state effettuando una transazione, non deve preoccuparsi di inviare un codice di sicurezza al vostro telefono e deve attivarsi, invece, se qualcuno (anche voi), accede al vostro conto con un’altra impronta digitale del browser. Da questo punto di vista, le browser fingerprint migliorano la vostra esperienza d’uso.
Il secondo scopo è quello di mostrare annunci mirati. Mettiamo l’ipotesi che su un sito state leggendo una guida sulla scelta di un ferro da stiro, poi andate su un altro sito che utilizza la stessa rete pubblicitaria e visualizzate annunci di ferri da stiro. Fondamentalmente, si tratta di tracking senza il vostro consenso, e l’odio e il sospetto degli utenti nei confronti di questa pratica è abbastanza comprensibile.
Detto questo, molti siti web con componenti integrati di varie reti pubblicitarie e servizi di analytics raccolgono e analizzano le vostre impronte digitali.
Come capire se un sito sta utilizzando la vostra impronta digitale del browser
Per ottenere le informazioni per creare una browser fingerprint, un sito web invia al browser diverse richieste attraverso il codice JavaScript incorporato. L’insieme delle risposte del browser crea l’impronta digitale.
Fietkau e i suoi colleghi hanno analizzato le librerie più popolari con questo tipo di codice JavaScript, compilando un elenco di 115 tecniche distinte utilizzate più di frequente per lavorare con le impronte digitali del browser. Hanno poi creato un’estensione del browser chiamata FPMON, che analizza le pagine web alla ricerca di queste tecniche; l’estensione indica all’utente quali dati il sito sta cercando di raccogliere esattamente per elaborare un’impronta digitale del browser.
Gli utenti che hanno installato FPMON riceveranno una notifica quando un sito richiederà tali informazioni dal browser. Inoltre, il team ha diviso i tipi di informazioni in due categorie: sensibili e aggressive.
La prima categoria comprende le informazioni che un sito web può richiedere per motivi legittimi. Ad esempio, conoscere la lingua del browser consente a un sito di essere visualizzato dall’utente nella lingua preferita e le informazioni sul fuso orario sono necessarie per indicare l’ora corretta. Tuttavia, queste informazioni potrebbero comunque dire qualcosa su di voi.
Le informazioni aggressive sono irrilevanti per il sito, molto probabilmente utilizzate per il solo scopo di creare una browser fingerprint. Potrebbero includere la quantità di memoria del dispositivo o un elenco di plugin installati nel browser, ad esempio.
Ma quanto è forte l’interesse dei siti nei confronti dell’impronta digitale del browser?
FPMON è in grado di rilevare le richieste di 40 tipi di informazioni. Quasi tutti i siti richiedono qualche informazione sul browser o sul dispositivo. Fino a che punto dobbiamo dare per scontato che un sito stia effettivamente cercando di ottenere un’impronta digitale? Quando dobbiamo preoccuparci?
I ricercatori hanno utilizzato siti esistenti come Panopticlick (alias Cover Your Tracks) progetto della EFF, creato dal gruppo di difesa della privacy per dimostrare come funziona il rilevamento delle impronte digitali del browser. Per il funzionamento, Panopticlick richiede 23 parametri e può identificare un utente con un’affidabilità superiore al 90%. Fietkau e il suo team hanno considerato i 23 parametri come valore minimo; a partire da questo valore, possiamo supporre che un sito web stia tracciando gli utenti.
I ricercatori hanno esaminato i primi 10.000 siti web (secondo la classifica di Alexa) e hanno scoperto che la maggior parte di essi, quasi il 57%, richiede dai 7 ai 15 parametri, con una media di 11 parametri per l’intero campione. Circa il 5% dei siti web non ha raccolto alcun parametro, e il numero massimo raccolto è stato di 38 su 40 possibili. Tuttavia, solo 3 su 10.000 ne hanno richiesti così tanti.
I siti web del campione hanno utilizzato più di un centinaio di script per raccogliere i dati, e anche se pochissimi script hanno raccolto molte informazioni appartenenti alla categoria più aggressiva, sono utilizzati su alcuni siti web molto popolari.
Come difendersi
Esistono due alternative per impedire che gli script del sito web prendano le impronte digitali del vostro browser: bloccarli e fornire loro informazioni incomplete o errate. Un software per la privacy utilizza un metodo o l’altro. Per quanto riguarda il browser, Safari ha recentemente iniziato a fornire solo informazioni di base e impersonali, proteggendo così gli utenti dal rilevamento delle impronte digitali del browser.
Alcune organizzazioni sono intervenute anche con estensioni del browser. Ad esempio, Privacy Badger, un plugin per la privacy sviluppato dalla EFF, cerca di bloccare gli script, anche se non tutti. Ad esempio, il plugin non influisce sugli script che richiedono dati che possono essere necessari per la corretta visualizzazione di una pagina o per il funzionamento di alcune delle opzioni (ma che possono anche contribuire a creare un’impronta digitale).
È lo stesso metodo che utilizziamo per l’estensione del browser Kaspersky Protection, evitando che i siti web raccolgano troppe informazioni sugli utenti e, di conseguenza, elaborino un’impronta digitale. Kaspersky Protection fa parte delle nostre principali soluzioni di sicurezza per utenti privati. Non dimenticate di attivarla.
