Possono identificarti mentre guardi dei porno? – ovvero: guida base alla conoscenza dei fingerprint

Possono identificarti mentre guardi dei porno? – ovvero: guida base alla conoscenza dei fingerprint

L’utenza di internet è da sempre orientata, almeno in buona parte, sul mercato a luci rosse: almeno 30 milioni di utenti (solo negli Stati Uniti secondo The Wall Street Journal) visitano abitualmente un sito di questo tipo, e ci sono statistiche pronte a giurare che solo uno su dieci in media sembra disposto ad ammetterlo (vedi l’articolo su time.com 12 Percent of Americans Admit to Watching Porn Online, the Other 88 Percent Must Not Have Internet). Insomma, esiste un mercato davvero molto florido in questo settore e capace di portare guadagni miliardari ai proprietari dei siti di questo tipo. Il motivo per cui si possono raccogliere i dati personali dei visitatori è molteplice: da un lato motivi di marketing, dall’altro c’è anche la tendenza (almeno un minimo preoccupante) di molte aziende ad incamerare più dati possibile per destinarli a scopi ed analisi future quanto più possibile redditizie.

C’è da chiedersi, a questo punto, come sia la situazione della tracciabilità (intesa come possibilità di identificare l’utente dai suoi dati di navigazione) dei vari clienti di servizi di questo tipo: il campione è molto numeroso, ed è impossibile che qualcuno non abbia pensato ad un modo per raccogliere o quantomeno analizzare tali dati.

Non che sia sempre agevole identificare da un solo indirizzo IP (il cosiddetto “identificatore globale“) la persona che si trovava dietro il computer in quel momento: tuttavia i dati che lasciamo in giro durante una navigazione sono numerosi, e a tal proposito sono da conoscere i cosiddetti fingerprint o “impronte digitali”.

Come è possibile identificare l’utente di un sito? Mediante un fingerprint univoco

Un fingerprint, per intenderci, rappresenta un’informazione aggregata su di noi che potrebbe essere utilizzata per identificarci: identificarci non per forza con nome, cognome ed indirizzo, ma anche solo come utente univoco della rete, ed incrociando quei dati con altre informazioni terze. Perchè ciò possa avvenire, questo dato – l’impronta digitale della nostra connessione, del nostro browser e così via – deve essere unica. Per capire quanto sia concreto questo problema, provate a calcolare il vostro fingerprint mediante software gratuiti quali Fingerprintjs2 (free e open source) oppure Panopticlick, e vi accorgerete che l’hash che ne esce fuori verrà segnalato molto spesso, dalle prove che ho fatto, come univoco.

Un indirizzo IP xxx.yyy.zzz.kkk può essere associato a due utenti diversi nel tempo, quindi non è considerabile un fingerprint; un IP con l’aggiunta del browser in uso e del sistema operativo che adottiamo diventa già un dato più preciso. Un fingerprint sintetizza un dato multi-dimensionale su di noi, e questo è inevitabile che si possa fare per come funziona internet da sempre: questi aggregati di dati possono concorrere facilmente ad identificarci, specie se ci colleghiamo sempre dalla stessa postazione con il medesimo computer (esempio: in ufficio con IP statico e con PC preassegnato). In parte, si può limitare la raccolta fingerprint utilizzando delle accortezze in fase di navigazione oppure ricorrendo a browser anonimizzanti.

Tutto questo, per inciso, non richiede per forza la presenza di cookie o supercookie per poter funzionare, in quanto si possono sfruttare molte altre informazioni navigazionali per tentare di identificare l’utente. Che possa fare tutto questo un sito per adulti, come minimo allo scopo di fornire contenuti sempre più “mirati” per l’utente finale, appare a questo punto quasi ovvio, anche se non sempre agevole da provare.

Il portale browserspy.dk ha editato un elenco di possibili componenti del fingerprint tra cui, ad esempio:

  • tipi di file accettati dal browser;
  • supporto a plugin come ActiveX;
  • supporto AJAX;
  • velocità di connessione ad internet;
  • browser in uso con varie proprietà annesse;
  • presenza/assenza di Do Not Track;
  • header HTTP;
  • user agent.

C’è anche un problema legato al come le aziende dietro i siti a luci rosse conservano i dati navigazionali degli utenti: ad esempio secondo l’ingegnere del software Brett Thomas (la traduzione è mia) “se una terza parte malevola potesse avere accesso ai log del server anche solo per uno dei siti per adulti che possiedono dati su di noi, e vedesse nel contempo (ad esempio per via di una falla irrisolta, ndt) i dati di accesso sui video che hai guardato, avrebbe la possibilità di inferire informazioni aggiuntive su ciò che ti piace guardare“: Thomas fa anche la lista dei dati sensibili di maggiore interesse per i malintenzionati che potrebbero essere usati a nostro svantaggio, tra cui il footprint del browser, gli identificatori globali come indirizzo IP e del tuo provider.

Del resto basta visitare un sito per adulti con un browser più restrittivo e sicuro della media (ad esempio TOR) per rendersi conto dell’impressionante numero di operazioni che vengono eseguite dal server che visitiamo al momento della visita stessa: tracciamento dell’utente, memorizzazione del nostro footprint, in alcuni casi addirittura pratiche prossime all’XSS per mostrare banner pubblicitari. Il vero pericolo deriva da una globale sottovalutazione del problema da parte degli utenti: il fappening del 2014, qualora molti utenti hanno pensato “a me non succederà mai perchè non sono una celebrità“, sarebbe potuto succedere e potrebbe ancora capitare anche a persone comuni, indifferentemente.

Tophost
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.