Browser Fingerprinting

La notizia è del 17 Maggio 2010 ma riguarda fatti che sono in atto almeno dal 2001. In questi giorni, infatti, è stato pubblicato il risultato del progetto di ricerca Panopticlick di EFF (Electronic Frontier Foundation): https://panopticlick.eff.org/ . Secondo questo studio, grazie ad alcuni strumenti Javascript e server-side, è possibile identificare in maniera univoca l’utente che visita un sito web. Si tratta però di una “vulnerabilità” che esiste, in un modo o nell’altro, almeno da quando si è iniziato ad usare strumenti statistici per analizzare il traffico sui siti web. Stiamo parlando del cosiddetto “browser fingerprinting” (la tecnica speculare della “server fingerprinting” usata dagli hacker per capire con che server hanno a che fare).

La tecnica usata è semplice: nel momento in cui un utente visita un sito web, gli si passa una pagina che contiene uno script Javascript (ECMAScript). Lo script fa uso delle funzionalità interne del browser per esaminare la configurazione del browser stesso e del PC che lo ospita. La combinazione di questi parametri viene usata per creare una “impronta digitale” che identifica in modo univoco l’utente in mezzo ai milioni di utenti che frequentano il sito.

Difendersi da un’analisi di questo tipo è piuttosto difficile. Non si può semplicemente disabilitare Javascript perchè esso è necessario per navigare nel modo corretto su quasi tutti i siti dell’ultima generazione. Non si può nemmeno fare affidamento su un proxy anonimizzante (come anonymizer.com) perchè questo si limita a mascherare l’indirizzo IP e non può fare assolutamente nulla per mascherare i dati del browser dell’utente (dato che sarà comunque quel browser a dover visualizare le pagine e quindi il server deve sapere cosa deve fare). Non ci si può nemmeno incazzare con i costruttori di browser perchè questi dati sono necessari per garantire il corretto funzionamento della coppia sito-web/browser. Insomma, si risulta sostanzialmente indifesi.

C’è da preoccuparsi?

In realtà, no. La ragione è semplice: questa tecnica permette SOLO di identificare in modo univoco la vostra macchina (non VOI) tra le altre che frequentano lo stesso sito web. NON permette di risalire alla vostra identità anagrafica (nome, cognome, indirizzo, lunghezza dell’attrezzo, misura delle coppe, etc.).

Riconoscere il vostro PC tra molti altri, anche senza fare uso dell’indirizzo IP e dei cookies, francamente era già abbastanza facile anche dieci anni fa, senza fare uso di questa tecnica. Quasi tutti i sistemi di analisi del traffico web, infatti, sono sempre stati in grado di registrare almeno i parametri di base del browser e del sistema operativo dell’utente. Usando questi parametri e la “history” di navigazione è abbastanza facile riconoscere un PC dall’altro, almeno all’interno delle comunità più ristrette. Questa nuova tecnica non fa altro che rendere possibile il riconoscimento in comunità più ampie, grazie all’uso di più parametri. La logica resta però la stessa ed ha gli stessi limiti.

L’unico modo di associare l’ID del vostro browser alla vostra identità anagrafica consiste nell’associarlo ad una identità che VOI STESSI abbiate fornito a qualche sito web, ad esempio per farvi inviare un libro a casa. Ovviamente, il sito web a cui avete rivelato la vostra identità anagrafica non ha nessun bisogno di ricorrere a queste tecniche Javascript per scoprirla. Di conseguenza, gli unici che possono avere qualche interesse sono i gestori di altri siti, correlati per qualche motivo al primo. Tuttavia, in Italia ed in gran parte del mondo, è vietato vendere o regalare questo tipo di informazioni ad altre persone senza il permesso esplicito degli utenti interessati per cui questo tipo di commercio non è possibile.

Un’altra possibilità consiste nel correlare l’ID del browser alla vostra identità anagrafica usando l’indirizzo IP (registrato a vostro nome presso il vostro provider internet) ma… se fosse possibile conoscere il vostro indirizzo IP non sarebbe necessario ricorrere a questa tecnica, per cui… vuol dire che state usando un proxy anonimizzante (vedi, ad esempio: https://www.relakks.com/ ).

In realtà, questa tecnica torna utile più che altro in ambito forense dove, in effetti, è già in uso da anni. In pratica funziona nel modo seguente.

  1. Si vuol identificare un certo utente in mezzo a molti altri.
  2. Si installa su uno dei siti che questa persona frequenta l’apposito script e si identifica in modo univoco il suo browser. In realtà, basta molto meno e di solito ci si affida ai log del sistema di analisi del traffico già presente.
  3. Si segue l’utente nella navigazione e si raccolgono le prove a suo carico.
  4. A questo punto, si cerca di risalire alla sua identità anagrafica usando altri mezzi, solitamente un misto di osservazioni on-line ed off-line.
  5. Quando si riesce a mettergli le mani addosso, si usano le informazioni raccolte per dimostrare che ha usato proprio il suo PC per visitare quelle pagine web.

Come ci si difende?

Come ho già detto, non esiste un modo veramente efficace di difendersi da questo tipo di tracciamento. Va però detto che chi ha davvero bisogno di rendersi irrintracciabile solitamente NON naviga su Internet dal proprio PC di casa o dal proprio laptop. Quasi sempre lo fa da un Internet Cafè (sempre diverso), dal PC (poco sorvegliato) di qualche azienda o da altre postazioni non facilmente correlabili alla sua persona. Spesso, queste persone si collegano ad Internet da una rete wi-fi all’insaputa del legittimo proprietario ed usano uno specifico PC per questo scopo, diverso da quello di casa. Risalire alla loro identità è sostanzialmente impossibile.

I supercookies

Una vulnerabilità simile a questa (ma diversa) era già stata denunciata addirittura nel 2002 da questo articolo: http://www.computerbytesman.com/privacy/supercookie.htm . In questo caso, l’identità dell’utente poteva (e può tuttora, temo) essere determinata grazie all’ID univoco associato ad ogni copia di MS Windows Media Player (l’aggeggio usato per vedere i filmati e per ascoltare la musica).

Vulnerabilità simili sono note già da diverso tempo riguardo a Flash ed ai suoi “supercookies” (LSO), al punto tale che esiste un add-on per Firefox per difendersi da questo tipo di “attacco”: “BetterPrivacy”. Vedi: https://addons.mozilla.org/it/firefox/addon/6623/ e http://tinyurl.com/24bwhpd . In questo caso, l’identità dell’utente può essere stabilita grazie ad un cookie invisibile (e non rimovibile) che viene creato e gestito da Adobe Flash.

Anche per queste “vulnerabilità” valgono le stesse considerazioni che ho già fatto. C’è però da sottolineare il fatto che se qualcuno (la Polizia?) riesce a mettere le mani sul vostro PC può usare questi supercookies per dimostrare in modo inconfutabile che avete usato quella macchina per visitare quelle specifiche pagine web. Questo è un metodo un po’ più “sicuro” di dimostrare la correlazione tra il vostro browser e le pagine web, rispetto alla “fingerprint” del browser.

Alessandro Bottoni

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: