SICUREZZA INFORMATICA

Fingerprinting come veicolo di attacchi alla supply chain: di cosa si tratta e come difendersi

Il tracciamento online mediante web tracker utilizza tecniche di fingerprinting che migliorano l’esperienza di navigazione senza salvare nulla sui PC degli utenti come fanno i cookie. Ma può essere sfruttato anche da attori malintenzionati per aumentare le probabilità di successo degli attacchi. Ecco come difendersi

13 Ago 2021
M
Andrea Filippo Marini

Chief Business Officer di Ermes - Intelligent Web Protection

I web tracker sono l’evoluzione dei cookie e sono la base del tracciamento di Internet. Il cookie è un file di dimensioni ridotte inviato da un sito al browser ed è salvato sul dispositivo; i web tracker, invece, per funzionare non hanno bisogno di salvare nulla sul device, dato che seguono l’utente utilizzando tecniche di fingerprinting.

Il tracciamento ha molteplici obiettivi e rappresenta il revenue model di Internet: purtroppo, però, può anche essere utilizzato da attori malintenzionati che lo sfruttano per aumentare le probabilità di successo degli attacchi, in particolar modo quelli verso la supply chain.

Web tracker: cosa sono e come proteggere la nostra privacy online

Come funziona il tracciamento convenzionale

Gli strumenti di tracciamento convenzionali (cookie HTTP, memorizzazione locale, IndexedDB ecc.) consentono ai tracker di memorizzare identificatori unici nei browser per identificare nuovamente gli utenti quando navigano.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Poiché le preoccupazioni sulla privacy sono cresciute tra gli utenti, i più esperti di tecnologia hanno iniziato ad adottare strumenti per impedire ai tracker di installare tali identificatori.

Come conseguenza, i tracker si sono evoluti per aggirare questi blocchi e hanno sviluppato una nuova tecnica per identificare con precisione gli utenti in moltitudine senza fare affidamento sui cookie o altri tipi di memorizzazione lato client: è il caso del browser fingerprinting.

Cos’è il browser fingerprinting

Il browser fingerprinting, similmente alle tecniche di tracciamento convenzionali, permette ai tracker di assegnare degli identificatori ai browser degli utenti e di tracciarli mentre vengono utilizzati per navigare sul web. La differenza con le vecchie tecniche di tracciamento sta nel modo in cui questi identificatori sono generati e gestiti.

Mentre le tecniche di tracciamento convenzionali generano casualmente gli identificatori sul lato server e li memorizzano nei cookie o nella memoria del browser, il fingerprinting sfrutta il browser per eseguire pezzi di codice JavaScript in esecuzione silenziosa in background, creando e installando gli identificatori direttamente sul dispositivo monitorato.

Questi identificatori sono generati sulla base di informazioni come il sistema operativo della macchina, la lingua, il fuso orario, la dimensione e la risoluzione dello schermo, i font e i plugin installati, le caratteristiche dello stack grafico e audio, lo stato e la capacità della batteria, il tipo di browser, la configurazione del browser, la versione del browser, il numero di core della CPU, il supporto dell’input touch-based e molto altro.

Raccogliendo questa impressionante quantità di informazioni, i tracker possono così creare un ID univoco del browser e riconoscerlo così tra milioni.

Panopticlick e AmIUnique, ad esempio, forniscono strumenti online per mostrare come il browser dell’utente possa essere facilmente identificato grazie all’unicità della sua impronta digitale. Testando entrambi gli strumenti con le versioni di Mozilla Firefox 82.0.3 e Google Chrome 86.0.4240.183, si vede come il proprio browser risulta unico tra le rispettive basi di utenti.

Una tecnica avanzata: l’audio fingerprinting

Un esempio di come funziona il browser fingerprinting può essere dato mostrando una delle tecniche più avanzate: l’audio fingerprinting.

L’audio fingerprinting è una recente tecnica che sfrutta la Web Audio API per aggiungere entropia all’impronta digitale finale del dispositivo, che è tipicamente creata combinando più tecniche e che si basa sulle proprietà dello stack audio del dispositivo.

Nella maggior parte dei casi, il codice JavaScript che implementa il fingerprinting audio crea una forma d’onda periodica le cui proprietà variano da dispositivo a dispositivo in base all’elaborazione del segnale audio eseguita dallo specifico hardware e software del dispositivo.

Il Web Transparency and Accountability Project del Princeton CITP ha creato un apposito sito web per testare come l’impronta audio differisce da un campione pre-generato. L’immagine seguente mostra il risultato ottenuto dalla demo.

Come mostrato, le differenze locali nei dati dei canali della forma d’onda sono significative e facili da notare in questo caso. Tuttavia, anche minuscole differenze tra le forme d’onda sono sufficienti per costruire identificatori unici.

Perché il fingerprinting è così pervasivo?

Poiché un dispositivo produce sempre la stessa impronta digitale nel tempo, i tracker non sono più tenuti a memorizzare gli identificatori sul browser degli utenti: possono semplicemente rieseguire il codice JavaScript e rigenerarli.

Questo impedisce agli utenti di verificare e controllare gli identificatori generati dai tracker: cancellare i cookie o svuotare la memoria locale è diventato inutile con l’avvento del fingerprinting.

Il fingerprinting è progettato per essere silente ed impedisce all’utente di controllare la sua esposizione al tracciamento: proprio per questo rappresenta una vera minaccia per la privacy e la sicurezza.

Malvertising: il supply chain attack che sfrutta il fingerprinting

I tracker registrano tutti quelli che sono gli interessi di un utente su cui far leva e con i dati collezionati dagli script che fanno fingerprinting gli attaccanti risalgono anche alle vulnerabilità ed abitudini degli utenti, entrando in possesso di tuti gli ingredienti necessari per scaricare a terra un attacco di malvertising con alte probabilità di successo: ovvero chi attaccare, come attaccarlo e quando attaccarlo.

Un veloce esempio: dato un interesse da sfruttare, sapendo che l’utente utilizza un browser non aggiornato e che il venerdì sera solitamente utilizza il PC di lavoro da casa senza utilizzare la VPN, un attaccante il venerdì sera potrà utilizzare il meccanismo delle micro aste online per mostrare un falso annuncio di un’offerta falsa sull’interesse esposto, cliccando sulla quale si aprirà una pagina; la pagina aperta sfrutterà le vulnerabilità del browser per installare un ransomware sul PC.

La tecnica del malvertising, di cosa si tratta e come difendersi

Cosa fare per inibire il fingerprinting

Un approccio per bloccare il fingerprinting del browser è disabilitare del tutto JavaScript. Tuttavia, il web moderno si basa profondamente su JavaScript per fornire un gran numero di funzionalità e servizi “buoni”, che contribuiscono a migliorare la qualità della navigazione. Quindi, per la maggior parte degli utenti questa non è una soluzione.

Un’alternativa comune è quella di “inquinare” le impronte digitali randomizzando, modificando o falsificando le risposte alle API JavaScript che raccolgono informazioni sul dispositivo e sul browser.

Anche questo approccio presenta molti difetti: in primo luogo, la maggior parte dei siti web utilizza le API interessate per scopi funzionali e benigni, quindi restituire valori che non corrispondono alle reali caratteristiche del dispositivo o del browser potrebbe rendere la pagina non fruibile. In secondo luogo, può essere controproducente: inquinare le informazioni può portare a generare ancora più informazioni identificative. Infatti, i tracker sono ben consapevoli dell’esistenza di strumenti che adottano questo approccio, bypassandoli tranquillamente.

L’efficacia vera si ottiene solo evitando che i servizi che fanno fingerprinting atterrino sulla macchina e per far tutto ciò serve o utilizzare un browser come Brave, soluzione accettabile per il consumatore finale ma che può presentare difficoltà in ambito professionale, oppure una soluzione come Ermes Intelligent Web Protection, che a livello di dispositivo PC è un’estensione del browser che, tra le altre cose, blocca i tracker mentre per i dispositivi mobili è un’app che funziona come una VPN locale, dato che la maggior parte della navigazione online avviene via app e non via browser.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr