WEC, il tool dell’EDPS per la verifica della conformità GDPR dei siti Web: cos’è e come funziona - Cyber Security 360

LA GUIDA PRATICA

WEC, il tool dell’EDPS per la verifica della conformità GDPR dei siti Web: cos’è e come funziona

WEC (Website Evidence Collector) è lo strumento gratuito messo a punto dall’EDPS per analizzare il livello di conformità GDPR di un sito Web circa il trattamento effettuato sui dati personali degli utenti e può tornare utile ai professionisti della privacy e ai titolari del trattamento. Ecco un’utile guida pratica

09 Mar 2021
A
Paolo Antoniani

Certified Ethical Hacker

Diego Padovan

GM @DPOCC, CISM (ISACA), CIPP/E (IAPP) & CDP (TÜV)

Si chiama WEC, acronimo inglese di Website Evidence Collector, lo strumento online per la valutazione dei trattamenti da parte dei siti web disponibile sul sito dell’EDPS, premiato con il Global Privacy and Data Protection Award per l’innovazione, può considerarsi un mezzo di consultazione per analizzare il livello di conformità GDPR di un sito web rispetto agli obblighi vigenti in ambito data protection.

Il tool WEC nasce dall’idea della IT Policy Unit dell’EDPS di fornire uno strumento automatizzato per la verifica delle impostazioni per la conformità GDPR dei siti internet. Ecco perché si caratterizza come strumento utile, in prima battuta, a privacy professional, ma anche per titolari e interessati del trattamento, nonché sviluppatori web.

L’EDPS non si limita a rendere accessibile tale strumento sul proprio sito web e su GitHub, bensì lo diffonde in forma open source (European Union Public Licence), al fine di renderlo adattabile nelle più diverse situazioni.

Inoltre, l’EDPS incoraggia gli utilizzatori a fornire feedback e migliorie attraverso l’invio degli stessi all’indirizzo di posta elettronica della Unit: edps-it-policy@edps.europa.eu, sebbene agli stessi scriventi sia capitato di non ricevere alcuna risposta.

Non solo, come descritto nel seguito, lo strumento ha una certa complessità, ovvero richiede diverse conoscenze informatiche soprattutto laddove l’installazione non dovesse andare a buon fine.

Cosa fa il tool WEC dell’EDPS

Lo strumento raccoglie “prove” circa il trattamento effettuato sui dati personali da parte del sito web o la piattaforma che si sta visitando, come i cookie o eventuali istanze a terzi parti. I parametri di riferimento per il tool devono essere configurati prima dell’ispezione, conseguentemente la raccolta delle evidenze viene eseguita automaticamente. Le prove raccolte saranno disponibili all’utente, sia esso titolare sia interessato del trattamento, in formato YAML e HTML.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Avviato WEC, il tool utilizza Chromium (browser web a sua volta open-source) o Chrome e, mediante la creazione di un nuovo profilo utente, inizia ad operare. Non vi è necessità di altre interazioni con l’utente.

Tra le informazioni più rilevanti raccolte ci sono:

  1. screenshot delle pagine web;
  2. lista con i link HTTP (interni ed esterni, inclusi social) per pagina visitata;
  3. le informazioni conservate in linguaggio HTML5;
  4. i cookie “raccolti”;
  5. il traffico HTTP generato (mediante file HAR);
  6. i messaggi scambiati via Web Sockets.

Come installare WEC

Accedere al tool non è molto semplice, necessita di diversi passaggi che possono risultare macchinosi. Proprio per questo motivo cercheremo di procedere passo-passo e vedremo come provare ad utilizzarlo concretamente.

Ciò premesso, la prima azione da compiere è seguire il link disponibile sulla pagina del Garante europeo della protezione dei dati e procedere con il download dell’ultima versione dell’applicazione.

Quindi estrarre i file in una cartella, ad esempio nominandola WEC EDPS; lì troveremo, tra le altre cose, il file denominato readme che contiene le istruzioni per completare l’installazione e per eseguire il WEC in automatico dal nostro PC.

Essendo il WEC un programma in linguaggio JavaScript necessita del Node.js per essere eseguito (un ambiente di runtime JavaScript open source), quindi il passo successivo è installarlo nel proprio sistema operativo, incluso Node.js package manager (NPM).

Detta attività sarà possibile attraverso qualche ulteriore passaggio: in particolare, se si usa Windows o Mac è necessario seguire il link: https://nodejs.org/en/; nel caso si usasse Linux andrà utilizzato il package manager della propria distribuzione per installare Node.js (ad esempio, zypper in nodejs10 (check version) oppure apt install nodejs).

Seguendo il percorso per Windows, ad avvio installazione del programma sarà indicato dal Node.js Setup Wizard quali feature installare: nel caso non si avessero le conoscenze tecniche per valutare le alternative, si consiglia di lasciare le opzioni presenti di default.

L’installazione richiederà se si vuole installare contemporaneamente il software Chocolately (questo perché alcuni moduli NPM necessitano del linguaggio di programmazione C/C++) oppure se si vuole procedere in autonomia seguendo le istruzioni presenti sul sito GitHub.

Anche in questo caso, consigliamo la prima opzione laddove non si avessero le conoscenze tecniche per procedere alternativamente.

Fatto ciò, lo script installerà Python e Chocolatey Visual Studio sul nostro computer, entrambi necessari per compilare i moduli nativi Node.js.

Al termine dell’istallazione, non dimentichiamo di riavviare il computer.

Al successivo riavvio del sistema, colleghiamoci a questo link GitHub: si aprirà un file compresso. Estraiamo i file in esso contenuti all’interno della cartella WEC EDPS precedentemente creata.

A seguire, come ultimo passaggio, dovremo avviare il prompt del Node.js (che troveremo nella barra dei programmi), meglio se in modalità amministratore, e inserire il seguente codice:

npm install –global https://github.com/EU-EDPS/website-evidence-collector/tarball/latest

Si ricorda che per disinstallare il tool è sufficiente inserire il codice:

npm uninstall –global website-evidence-collector

Come utilizzare il tool WEC dell’EDPS

Una volta installati tutti gli elementi necessari al funzionamento del tool WEC, è possibile utilizzare lo strumento di ispezione selezionando il target di analisi, cioè il link del sito per il quale vogliamo valutare la conformità GDPR.

Si raccomanda di eseguire il prompt in modalità amministratore (clic col pulsante destro del mouse sull’icona Node.js command prompt e poi scegliere Esegui come amministratore nel menu contestuale che appare).

L’istruzione da eseguire è semplice e andrà inserita direttamente nel prompt di Node.js che eseguirà il WEC in automatico:

website-evidence-collector https://www.cybersecurity360.it

Lanciata l’istruzione, dovrebbe essere creata la cartella in cui l’output riporterà quanto trovato all’interno del sito scelto come target.

Come “leggere” la conformità GDPR del sito Web

Il risultato dell’analisi sarà generato nella cartella output, la quale non conterrà file comunemente utilizzati dall’utente medio, bensì, come specificato ad inizio procedura, i formati: YAML (*.yml), JSON (*.json), PNG (*.png) e HAR (*.har).

L’output sarà strutturato come segue:

  • beacons.yml
  • browser-profile (directory)
  • cookies.yml
  • inspection.html
  • inspection.json
  • inspection-log.ndjson
  • inspection.yml
  • local-storage.yml
  • requests.har
  • screenshot-bottom.png
  • screenshot-full.png
  • screenshot-top.png
  • websockets-log.json

Proprio il file inspection (quello con l’estensione html può essere aperto nel browser per stampare un report in PDF) contiene i dati più interessanti, ovvero:

  • i parametri del WEC;
  • i beacons;
  • i cookie e i local storage;
  • i link internal, external, social media;
  • I link hosts.

Nel caso in cui la cartella non dovesse essere generata, alternativamente è possibile visualizzare direttamente nel prompt Node.js il risultato eseguendo il seguente comando:

website-evidence-collector –no-output –quiet –yaml https://www.cybersecurity360.it

Alcuni problemi nell’uso di WEC

Da quanto è stata rilasciata l’ultima versione di WEC, la 0.4.0, i componenti di base, che sono il vero motore del software, sono cambiati molto. Ciò è possibile constatarlo proprio andando a verificare le versioni disponibili.

Questo però può causare dei problemi, in particolare le differenti versioni di node.js e npm, sia in fase di installazione che di esecuzione del programma non rendono la vita facile a chi prova ad utilizzare il WEC. Infatti, nel nostro caso, pur avendo installato l’ultima versione del software, abbiamo visualizzati molti errori (warning) di funzioni c.d. deprecated.

Il fatto che, ad oggi, non siano ancora state aggiornate e, per così dire, sistemate le funzioni incriminate dagli warning, significa a nostro avviso, che il software non è manutenuto adeguatamente ed aggiornato.

Inoltre, quando si utilizza il WEC in ambiente reale, spesso ci sono errori bloccanti che ne impediscono l’utilizzo, come si può vedere nel seguente screenshot, effettuato proprio in fase di utilizzo del software.

Attenzione poi al fatto che il WEC lavorerà esattamente nella pagina specificata (quella inserita nel comando iniziale) e non nei sotto domini. In pratica questo vuol dire che, se inserite l’home page di un sito, avrete informazioni solo su quella pagina. Per ovviare tale problema, l’utente dovrà utilizzare il parametro -l nel comando iniziale.

Invece, per quanto riguarda la cartella di output generata, essa risulta spesso incompleta. Ritentare con l’esecuzione del comando di ispezione del sito web target può generare un errore (“the output folder already exists”). In questo caso è possibile tentare di eseguire il seguente comando per generare una nuova cartella:

website-evidence-collector https://www.your-website.com/ -o newoutput

Inoltre, una specifica doverosa è sulla tempistica. Il prompt Node.js, a seconda della complessità del sito analizzata e dalle prestazioni del terminale dal quale si esegue l’analisi, potrà impiegare molto tempo per concludere l’operazione richiesta.

Non solo, può accadere che, occasionalmente, nell’esplorazione delle pagine web il WEC ritorni con dei certificate errors. Ciò può accadere per diversi motivi, anche a livello di web server, e necessitano di un intervento durante la fase di analisi. Per evitare ciò, è possibile modificare leggermente l’istruzione affinché il WEC ignori tali errori e prosegua nell’analisi:

website-evidence-collector -y -q https://cybersecurity360.it — –ignore-certificate-errors

Conclusioni

Lo strumento del Garante Europeo non è alla portata dell’utente medio.

In estrema sintesi, l’utilità che controbilancia lo sforzo tecnico da parte dell’utilizzatore risiede principalmente nel fatto che è uno strumento prodotto e promosso da un’Istituzione Europea. In ogni caso la valenza probatoria dei risultati dell’analisi del WEC è tutta da dimostrare, e pare logico pensare al software più come strumento integrativo – e non sostitutivo – dell’analisi di conformità del dominio web del titolare del trattamento.

In tale prospettiva, ciò può essere rilevante soprattutto laddove gli spazi web e le piattaforme online sono costruite con l’ausilio della programmazione c.d. a blocchi: Il WEC può essere utile richiamando l’attenzione a “sviste” tecniche con impatti GDPR e concorrere all’individuazione di misure migliorative, proprio grazie ad una verifica più approfondita di ciò che accade durante una sessione di navigazione da parte dell’utente.

Infine, se si vuole tentare nell’utilizzo del tool EDPS, proprio nello spirito del software opensource, si consigliano le FAQ a disposizione sul sito GitHub e di condividere l’esperienza avuta.

WHITEPAPER
Governance, Risk and Compliance - Vuoi salvarti da perdite finanziarie e di reputazione? Scopri come
Finanza/Assicurazioni
Legal
@RIPRODUZIONE RISERVATA

Articolo 1 di 5