La grande bufala del web sicuro
Un ricercatore statunitense scopre come un metodo in difesa della privacy possa trasformarsi in un potente strumento di monitoraggio
Da qualche anno alcuni dei browser più utilizzati come Chrome e Firefox permettono agli utenti di navigare sul web in modo più sicuro, senza lasciare tracce evidenti del loro passaggio sui siti internet visitati. Le funzioni per gli ansiolitici da spionaggio sono diverse: dalla disattivazione dei cookie, che memorizzano alcune informazioni prodotte da ogni navigatore, all’avvio di sessioni anonime (anche su mobile) che di default non salvano la cronologia, nomi utente e password inseriti durante la sessione.
Tali misure protettive non sono ben viste dai gestori dei portali, soprattutto di quelli più grandi, che contano molto sulla ricezione di informazioni preziose per il loro business. Per quale motivo? Se non avete disattivato i cookie oppure non navigate in privato con i vostri browser basterà cercare un qualsiasi aspirapolvere su Amazon o Google per ritrovarvi simili o identiche inserzioni anche su Facebook o altri siti che visualizzano box con annunci pubblicitari. Semplice fortuna o premonizione? No, è il potere dei cookie.
Capirete allora che se ho speso qualche minuto della mia giornata per capire quale aspirapolvere comprare, Facebook e altri migliaia di portali hanno tutto l’interesse nel continuare a mostrarmi annunci rilevanti con la speranza che io compri il prodotto cliccando sui loro link, così da permettere che guadagnino una percentuale sul mio acquisto. Ma questo è solo un esempio.
La scoperta
A quanto pare il metodo anti-tracciamento non è così sicuro. Sam Greenhalgh, un consulente informatico che lavora per RadicalResearch ha scoperto una possibile minaccia di sicurezza all’interno di un nuovo strumento per la privacy. L’analisi ha rilevato l’esistenza degli HSTS Super Cookies, ovvero dei cookie di livello superiore capaci di valicare le barriere elevate dai browser moderni. Come indica l’acronimo iniziale, tutto dipende dall’introduzione dell’ HTTP Strict Transport Security (HSTS), un meccanismo che permette la visita dei siti web solo quando viene utilizzata una connessione sicura “HTTPS”. Nel momento in cui vedete un lucchetto verde al fianco della barra degli indirizzi siete certi di navigare su un portale protetto ed è grazie all’HSTS che il prosieguo della visita su link interni avviene in sicurezza.
Super biscotti
Il problema è che per permettere una funzione del genere, che riconosce i click successivi all’interno del sito, il sistema utilizza dei cookie speciali. Il carattere di “super” è dato da due fattori: il primo è che una volta impostato per uno specifico browser e sistema operativo, il cookie continua a lavorare anche se si sceglie la modalità in incognito; il secondo è che i cookie possono essere letti anche da siti web con domini multipli. È il caso in cui un portale voglia fare proprio non solo il sito www.nome.it ma anche il .com .biz .quellochevipare. In questo modo il gestore potrà recepire non solo i cookie riferiti ad un certo indirizzo ma quelli delle persone che hanno cliccato anche sugli altri domini connessi.
Il risultato
Una procedura di sicurezza, che rende possibile viaggiare attraverso il protocollo “HTTPS”, si trasforma in un pericolo per la privacy visto che i super cookie possono tracciare le persone spiando i siti visitati e le ricerche effettuate. La scoperta di Greenhalgh è un ottimo esempio di come le nuove tecnologie per la protezione digitale possano essere facilmente capovolte e utilizzate per fini diversi da quelli per cui sono state realizzate.
È un concetto simile a quello che per anni ha permesso alla NSA di spiare le conversazioni e le mosse online di americani e stranieri. Google, Yahoo, Microsoft e company sviluppavano strumenti per la privacy e gli agenti federali usavano gli stessi metodi di crittografia dei big per tradurre le informazioni recepite di nascosto.
Note
Secondo i test di Sam Greenhalgh, l’esecuzione degli HSTS Super Cookies è possibile sull’attuale versione di Chrome e su Firefox fino alla release 34.0.4. Il problema riguarda anche iPhone e iPad con Safari e Chrome pienamente compatibili con la tecnica-spia. Internet Explorer, per ironia della sorte, non supporta ancora il metodo HTTP Strict Transport Security (HSTS) e non è quindi abilitato ai super cookie.
