Navigare anonimi: nessun browser o programma è sicuro

I dati anonimizzati raccolti nei log in fase di navigazione di navigazione web minacciano la privacy degli utenti di Internet. Lo rivela uno studio di Microsoft. I consigli dei ricercatori.

I dati raccolti di routine nei log in fase di navigazione web, ovvero indirizzo IP, cookie ID, sistema operativo, tipo di browser e stringa user-agent, possono costituire un rischio per la privacy online. Perché si tratta di informazioni che possono essere impiegate per identificare le attività di singole macchine. A renderlo noto un gruppo di ricercatori di Microsoft, che ha analizzato i dati inviati in forma anonima dagli utenti di Hotmail e Bing. Lo studio è stato condotto sulle informazioni ottenute da Microsoft nell’agosto del 2010. Scopo della ricerca: scoprire se singole unità di dati di log consentano di rivelare in un modo univoco un determinato host. L’analisi dei dati raccolti in forma anonima permette di rivelare altresì attività sospette e migliorare quindi la sicurezza complessiva su Internet.

Nel 62% dei casi, l’informazione correlata alla stringa HTTP user-agent può risultare sufficiente per individuare in maniera accurata il computer host. Se si combina la medesima informazione con l’indirizzo IP, la percentuale sale all’80,6%. Se l’informazione user-agent viene invece combinata con il solo prefisso IP, l’individuazione della macchina host risulta accurata nel 79,3% dei casi. La percentuale di accuratezza più elevata si ottiene quando una medesima macchina host viene impiegata da più utenti, per esempio nel caso di una famiglia che condivide lo stesso computer. La percentuale, infatti, si attesta al 92,8%.

I ricercatori Microsoft hanno analizzato i dati forniti dai cosiddetti eventi application-layer diretti verso i server impiegati per i network di Hotmail e Bing. Attraverso il servizio di posta elettronica web-based di Microsoft i ricercatori sono riusciti a ricavare dati riguardanti il tipo di browser e di sistema operativo in uso nella macchina host, l’indirizzo IP di origine, l’ora di login e lo user ID. Da Bing, invece, sono stati estrapolati dati in forma anonima relativi alle stringhe HTTP user-agent, gli indirizzi IP correlati alle query di ricerca, il timing delle medesime query, i cookie ID e la data di creazione dei cookie. I ricercatori hanno precisato che la raccolta e l’uso di tali dati rientrano nell’ambito delle politiche sulla privacy predisposte da Microsoft e che, pertanto, le informazioni non vengono rese disponibile a ricercatori esterni. I fornitori di servizi veicolati attraverso Internet sono in grado di identificare l’88% dei dispositivi che ricevono un cookie e che, dopo aver cancellato il medesimo, tornano sul sito web. È sufficiente, infatti, esaminare altri fattori di identificazione prodotti durante la connessione iniziale. Persino se gli utenti di Internet impiegano le funzioni di navigazione anonima offerte dai browser.

Cancellare i cookie, quindi, non permette agli utenti di mettersi al riparto dai tracker Internet. Anzi, in alcune circostanze proprio la cancellazione dei cookie consente di identificare un determinato host, hanno evidenziato i ricercatori Microsoft. Cosa fare, dunque, per tutelare la propria privacy e il proprio anonimato? Utilizzare un browser la cui stringa user-agent è popolare, perché in questo modo è più difficile identificare un determinato host. I ricercatori Microsoft consigliano inoltre di usare un software di anonimato, per esempio TOR (The Onion Router), ma di abbinarvi anche strumenti quali Torbutton per la gestione delle informazioni di identità. Terzo consiglio: utilizzare server proxy.