Identificare e tracciare gli utenti sul web è diventata una pratica oramai sempre più diffusa ed adottata da una pletora di entità, cominciando dai gruppi hacker passando per governi e multinazionali. Ed è proprio tenendo presente questa realtà che i ricercatori del New Jersey Institute of Technology (NJIT) hanno divulgato, questa settimana, una nuova tecnica che gli aggressori potrebbero utilizzare per de-anonimizzare i visitatori dei siti web e, potenzialmente, collegare differenti data point della vita digitale degli utenti. I risultati, che i ricercatori del NJIT presenteranno più ufficialmente all’Usenix Security Symposium di Boston il mese prossimo, dimostrano come un aggressore che inganni qualcuno nel caricare un sito web dannoso possa determinare se quel visitatore controlli un particolare identificatore pubblico, quale un indirizzo e-mail o un account di social media, collegando così il visitatore a dati potenzialmente identificativi e personali.

Quando visitate un sito web, la pagina può catturare il vostro indirizzo IP, ma questo non fornisce necessariamente al proprietario del sito informazioni sufficienti per identificarvi individualmente. La tecnica invece utilizzata dai cyber criminali analizza le sottili caratteristiche dell’attività del browser di un bersaglio target per determinare se sia anche connesso ad un account per tutta una serie di servizi, da YouTube e Dropbox a Twitter, Facebook, TikTok ed altri ancora. Ed un dato preoccupante e che dovrebbe far riflettere è che gli attacchi sembrano funzionare contro tutti i principali browser, compreso quello, virtualmente anonimo, utilizzato con Tor. “Se siete un utente medio di Internet, potreste non pensare troppo alla vostra privacy quando visitate un sito web a caso”, ha affermato Reza Curtmola, uno degli autori dello studio e professore di informatica al NJIT. “Ma ci sono alcune categorie -prosegue Curtmola- di utenti internet che potrebbero invece subire un impatto più significativo, come ad esempio le persone che organizzano e partecipano a proteste politiche, i giornalisti od individui facenti parte, e che si relazionano con altri membri, di un gruppo minoritario. E ciò che rende pericolosi questi tipi di attacchi è che sono estremamente furtivi. Basta visitare un sito web e non ci si accorge di essere stati esposti”. Il rischio, dunque, che hacker e trafficanti di armi informatiche sostenuti dai governi tentino di de-anonimizzare gli utenti del web non è solo teorico. I ricercatori hanno documentato una serie di tecniche già utilizzate e hanno assistito a situazioni in cui gli aggressori hanno identificato singoli utenti.

In precedenza, altre ricerche avevano già esaminato un attacco simile a quello ipotizzato e testato dai ricercatori del NJIT, ma gran parte degli accenti erano stati posti sulla cattura dei dati rivelatori che trapelano tra i siti web quando un servizio invia una richiesta a un altro. Ma grazie a tali ricerche antesignane, browser e sviluppatori di siti web hanno lavorato duramente per migliorare il modo in cui i dati vengono isolati e limitati durante il caricamento dei contenuti, rendendo così i potenziali percorsi di attacco meno praticabili. Ma i tempi cambiano, e le sfide diventano sempre più sofisticate, come invita a riflettere Curtmola: “Prendiamo in esame un forum per estremisti o attivisti clandestini, e supponiamo che un’agenzia di polizia ne abbia preso segretamente il controllo al fine di identificare gli utenti di questo forum, ma l’operazione non può essere condotta direttamente perché gli utenti usano degli pseudonimi. Ma supponiamo che l’agenzia sia riuscita a raccogliere anche un elenco di account Facebook sospettati di essere utenti e fruitoti di questo forum: gli investigatori sarebbero ora in grado di mettere in relazione chi visita il forum con una specifica identità Facebook”. Ma come funziona, in soldoni, questo attacco che sembra difficile da spiegare, ma è invece relativamente facile da capire una volta che se ne sia compreso il meccanismo? Il cyber criminale, o più genericamente chi esegue l’attacco, ha bisogno di basi per iniziare: un sito web di cui si abbia pieno controllo, un elenco di account legati alle persone che vuole identificare come fruitori di quel sito e, infine, un contenuto pubblicato sulle piattaforme degli account del suo elenco di bersagli che permetta agli account target di visualizzare quel contenuto o ne blocchi la visualizzazione – l’attacco funziona in entrambi i modi.

Una volta poste le basi, l’aggressore immette il contenuto di cui sopra nel sito web compromesso; quindi controlla chi vi acceda e, se qualcuno dell’elenco visita il sito, l’aggressore riuscirà ad identificare gli utenti analizzando quali possano (o non possano) visualizzare il contenuto immesso truffaldinamente. L’attacco sfrutta dunque una serie di fattori che la maggior parte delle persone dà, solitamente, per scontati: molti dei principali servizi, da YouTube a Dropbox, consentono infatti agli utenti di ospitare contenuti multimediali e di incorporarli in un sito web di terzi e, purtroppo, spesso accade che gli utenti rimangano costantemente connessi alle piattaforme dai propri telefoni o computer. Ma questi servizi consentono anche agli utenti di limitare l’accesso ai contenuti caricati, impostando ad esempio il proprio account Dropbox per condividere file multimediali, privatamente, con uno o pochi altri utenti, o restringendone e bloccandone la fruizione a determinati account.

E sono proprio queste relazioni di “blocco” o “permesso” ad essere il punto cruciale che ha consentito ai ricercatori di individuare le diverse metodologie impiegate per rivelare le identità degli utenti. Sfruttando la modalità “consentita” durante l’attacco, ad esempio, i cyber criminali potrebbero condividere silenziosamente una foto su Google Drive con un indirizzo Gmail di potenziale interesse. La foto viene poi incorporata nella pagina web compromessa ed attirare cosí il target. Quando i browser dei visitatori tentano di caricare la foto tramite Google Drive, gli aggressori possono quindi dedurre con precisione se il visitatore è autorizzato ad accedere al contenuto, ovvero se hanno il controllo dell’indirizzo e-mail in questione.

Tuttavia, grazie alle attuali protezioni della privacy adottate dalle principali piattaforme, il cyber criminale non può verificare direttamente se il visitatore del sito sia stato in grado di caricare il contenuto. Ma i ricercatori del NJIT si sono resi conto di poter analizzare le informazioni accessibili sul browser dell’obiettivo e il comportamento del suo processore durante la richiesta per fare un’inferenza sul fatto che la richiesta di contenuto sia stata consentita o negata. La tecnica è nota come “attacco al canale laterale” perché i ricercatori hanno scoperto di poter effettuare questa determinazione in modo accurato e affidabile tramite algoritmi di apprendimento automatico per analizzare dati apparentemente non correlati sul modo in cui il browser ed il dispositivo della vittima elaborano la richiesta. Ossia, una volta che l’aggressore abbia certezza che l’utente a cui ha permesso di visualizzare il contenuto l’abbia fatto (o che l’utente che ha bloccato sia effettivamente stato bloccato) si riesce facilmente a de-anonimizzare il visitatore del sito.

E, per quanto lungo possa sembrare, i ricercatori del NJIT fanno sapere che basterebbero appena un paio di secondi per individuare potenzialmente ogni visitatore del sito compromesso e sarebbe praticamente impossibile, ad un utente ignaro, immaginare o realizzare cosa sia successo dietro le quinte.

Come al solito, è dunque tutto irrimediabilmente perso? Niente paura: i ricercatori fanno sapere di aver sviluppato un’estensione del browser in grado di contrastare tali attacchi, disponibile per ora solo per Chrome e Firefox e con potenziali impatti sulle prestazioni del browser.

Ma, attraverso un importante processo di divulgazione a numerosi servizi web, browser ed organismi di standard web, i ricercatori affermano anche di aver avviato una discussione più ampia per poter affrontare il problema in modo completo. Al momento, Chrome e Firefox non hanno rilasciato commenti ma, come aggiunge Curtmola: “I fornitori stanno cercando di capire se valga la pena di impegnarsi per risolvere questo problema, ma bisogna essere convinti che si tratti di un problema abbastanza serio da investire per risolverlo”.