Session replay script: cosa sono, a cosa servono e come difendersi dai web keylogger - Cyber Security 360

LA GUIDA PRATICA

Session replay script: cosa sono, a cosa servono e come difendersi dai web keylogger

I session replay script sono una particolare categoria di web tracker e sono presenti in molti siti che visitiamo quotidianamente: vengono usati dagli uffici marketing per migliorare l’efficienza dei servizi offerti dalle aziende, ma se mal configurati possono aumentare la superficie di attacco

15 Giu 2021
M
Andrea Filippo Marini

Chief Business Officer Ermes Cyber Security

I web tracker, evoluzione dei cookie, rappresentano il revenue model di Internet: cediamo a terze parti (a volte inconsapevolmente) informazioni per poter usufruire liberamente dei contenuti.

Per molti è un grosso problema di privacy, ma in realtà la privacy è solo la punta dell’iceberg, visto che il vero problema è sommerso ed è di sicurezza informatica. Una categoria particolare di tracker è rappresentata dai session replay script o web keylogger, presenti in moltissimi siti che quotidianamente visitiamo.

Finalità e ambito di azione dei session replay script

Questi servizi vengono inseriti dagli uffici marketing di molte grandi aziende nelle pagine dei loro siti con l’obiettivo di migliorarne l’efficacia, ma il risultato finale sia per gli utenti che per le aziende per cui questi lavorano, è un aumento inconsapevole e indesiderato della superficie di attacco: infatti, da un’analisi effettuata da Ermes Research Lab nel 2020 su quasi 31mila dipendenti aziendali, mediamente ciascun utente ha esposto a web keylogger sedici password in un anno.

I session replay script vengono commercializzati come Software as a Service (SaaS) e sono generalmente degli script inseriti nel codice di un dato sito web per catturare informazioni specifiche relative alle interazioni di un consumatore con una pagina.

Lo script cattura le sequenze di tasti digitati e i movimenti del mouse come clic, gli scorrimenti e via dicendo. In alcuni casi viene catturata l’intera pagina incluse le informazioni inserite dal visitatore nei form o nei questionari.

In pratica, tutte le interazioni con la pagina web effettuate dal visitatore sono registrate per fornire informazioni molto dettagliate utili a misurare quanto la pagina sia efficace dal punto di vista funzionale e della presentazione dei contenuti.

Tutte queste informazioni vengono poi inviate ai server del fornitore dello script che le collezionano e conservano per presentare al web master (ovvero chi sviluppa o mantiene il sito) i risultati dell’analisi dei dati.

Web tracker: cosa sono e come proteggere la nostra privacy online

Come funzionano i session replay script

A differenza di molti servizi di analisi che forniscono statistiche aggregate, i web keylogger funzionano come delle vere e proprie spie dietro le nostre spalle dato che registrano e riproducono a mo’ di video ciascuna sessione di navigazione, collegandola alla singola persona.

Per questo, tutto quello che si digita su una pagina web, potenzialmente anche i campi dei form di autenticazione e i dati possono essere raccolti ancor prima che l’utente invii il modulo.

Per cui, se ci si è imbattuti in un sito web che utilizza tali software, è statisticamente alta la probabilità che le nostre credenziali o i dati delle nostre carte di credito, codici CVV/CVC inclusi, saranno salvati (magari in chiaro) nei server dei fornitori di questi session replay script.

Teoricamente, i servizi di replay offrono una serie di strumenti di gestione per lasciar decidere al proprio cliente quale sia l’invasività che lo strumento deve e può avere.

Per poter gestire e configurare tale strumento sono però richieste competenze elevate oltre ad un grosso investimento di tempo per la manutenzione: serve verificare costantemente che le informazioni non raccolte siano effettivamente quelle attese e solo quelle, e qualora ciò non avvenga, correggere la configurazione in modo opportuno per evitare la raccolta dei dati sensibili.

In pratica, per la natura stessa dei servizi tutto ciò raramente accade, dato che i servizi di replay vengono commercializzati come “plug&play” e vengono purtroppo caricati dai web master senza assicurarsi che la privacy degli utenti sia effettivamente preservata.

Session replay script: grave rischio di sicurezza informatica

Una ricerca del Ponemon Institute sponsorizzata da IBM (Cost of a Data Breach Report 2019) ha pubblicato numeri decisamente allarmanti: nel 2019 il 29,6% delle aziende digitai subisce un data breach ogni due anni e questo perché gli attaccanti cercano la strada più veloce ed economica: per la legge del minor sforzo, anziché attaccare le difese perimetrali di un’azienda per recuperare dati personali, la cosa più semplice da fare è un attacco che recuperi in un sol colpo informazioni su centinaia di migliaia, se non milioni di utenze ricche di tante informazioni sensibili. Si tratta di identità digitali complete che includono, oltre agli interesse personali, condizioni mediche, dati finanziari, carta di credito e credenziali varie, indirizzi email, utenze telefoniche e codice fiscale.

Anche nei casi in cui si sia gestito e configurato correttamente lo strumento, la modalità plug&play di installazione prevede che nelle pagine vengano inseriti script ospitati su servizi esterni, che apre la possibilità di subire un cosiddetto “supply chain attack”, per cui se lo script viene modificato dal fornitore (o da un attaccante esterno) con intenti malevoli, cambia immediatamente il comportamento dello strumento senza che il webmaster abbia modo di rendersene conto.

I session replay script sono presenti su siti esterni a quelli aziendali, però il pericolo è sia per le singole persone che per le aziende.

Nella tabella sotto riportata, estratta da un articolo di Princeton, c’è un esempio di data leaks riscontrato:

Per le persone, i rischi a cui sono maggiormente esposti sono quelli di frodi e truffe, mentre per le aziende la superficie di rischio si allarga parecchio: infatti le informazioni sui dipendenti che fuoriescono possono essere utilizzate per attacchi di social engineering di facile successo oppure per accedere nella rete aziendale.

Ad esempio, da un sondaggio condotto da Google/Harris Poll nel 2019, il 65% degli utenti utilizza le stesse password per diversi servizi o addirittura la stessa password per tutti gli account utilizzati: se un attaccante entra in possesso dei dati di cui sopra, facilmente accederà alla rete ed ai servizi aziendali.

Il browser più esposto di tutti verso questo fenomeno è Internet Explorer, che non ha alcuna soluzione di protezione più attiva essendo concepito con vecchia tecnologia. Per quanto Microsoft abbia annunciato il suo funerale a giugno 2022, sono ancora molte le aziende che consentono l’utilizzo di questo browser, spesso per permettere agli applicativi aziendali di funzionare in attesa che vengano migrati.

Segue a ruota Chrome che tra i browser commerciali è l’unico obbligato dal modello di business del suo produttore a non fornire alcuna protezione dal tracciamento, ma nessun altro browser con quote di mercato significative, Safari incluso, riesce a garantire una soglia sufficiente di prevenzione anche se le funzioni di tracking protection sono attivate.

Navigare in incognito non protegge in alcun modo, dato che la modalità non prevede l’inibizione di alcun tipo di web tracker.

Le soluzioni per proteggersi

Per proteggersi dai session replay script è sufficiente adottare alcuni semplici accorgimenti:

  1. utilizzare browser già configurati tipo Brave, ma questa è una soluzione utile solo agli utenti consumer data la difficoltà di poter utilizzare in ambito aziendale uno strumento di questo tipo, che può però presentare difficoltà di integrazione con gli applicativi aziendali Intranet utilizzati, oltre a dover completamente rivedere le policy di utilizzo dei browser;
  2. per i computer, la soluzione migliore ed efficace è l’utilizzo di estensioni del browser per il blocco dei tracker;
  3. per i dispositivi mobili, dato che la maggior parte del traffico di navigazione avviene tramite app, è necessario dotarsi di un tracker blocker non a livello di browser, ma a livello di dispositivo che si comporti come VPN locale filtrando tutto il traffico in uscita.

Come le big company potrebbero operare virtuosamente

Infine, in un mondo competitivo come quello in cui viviamo, esiste pur sempre un’etica e sarebbe un bel segnale da parte delle aziende adottare delle best practice anche su questo specifico ambito: vediamo molte big company impegnate lato CSR (Corporate Social Responsibility o responsabilità sociale d’impresa), ma sarebbe cosa buona e giusta che iniziassero anche campagne di informazione trasparenti e di semplice comprensione per il consumatore sull’ambiente digital.

Quando un’azienda decide di dotarsi di uno strumento di session replay script sarebbe una buona prassi che si ponesse alcune domande a monte, come peraltro previsto dal legislatore Europeo con il GDPR:

  1. Quali informazioni sta catturando a livello di utente?
  2. Quali di queste sono necessarie per lo scopo aziendale?
  3. Lo strumento cattura ulteriori dati a livello di utente che non sono condivisi con l’azienda di prima parte, ma che potrebbero essere rivisti od utilizzati dal fornitore?
  4. In che modo vengono affrontano proprietà e permessi (ed eventuali restrizioni) di trattamento dei dati a livello di utente raccolti tramite il software?
  5. Vengono catturati i contenuti delle comunicazioni?
  6. Quali singoli pezzi specifici di dati a livello di consumatore/utente vengono catturati?
  7. Come fa lo strumento a garantire di evitare di raccogliere informazioni che non devono essere catturate?
  8. Quali informazioni vengono fornite ai consumatori riguardo all’uso dello strumento di replay delle sessioni (e altri programmi simili)?
  9. Come e dove viene presentata l’informativa al consumatore?
  10. Indipendentemente dal fatto che sia richiesto dal legislatore, stiamo ottenendo il consenso per l’uso dello strumento, e se sì, in maniera chiara e trasparente?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4