Fingerprinting e cryptomining, cosa sono? Ultima puntata della serie sulla situazione della privacy in Italia. Dopo aver visto cosa è un tracker ed aver capito quanto sia grande il mercato dei dati degli utenti, vediamo in questa ultima puntata come possiamo proteggerci da possibili attacchi o in generale da usi non appropriati dei nostri dati.
Nel caso fossi atterrato direttamente su questa pagina, ti segnalo che qui trovi l’elenco degli 8 episodi e che il video di questa puntata è, come al solito, in fondo a questo articolo.
Indice
Attenzione poi che il video associato a questo video è diviso in due parti e questa in particolare è la seconda delle due parti. Nell’episodio precedente (il settimo della serie) ti ho parlato delle opzioni Do Not Track e Antitracking dei browser.
Ti ho detto che per ora Chrome non ha un blocco dei cookie integrato e che – a detta del suo capo ingegnere – il blocco dei cookie sarebbe addirittura controproducente.
Tuttavia, volendo esiste un modo per portare un sistema antitracciamento anche su Google e questo sistema di chiama Ghostery. Quindi, partiamo con Ghostery e poi più sotto trovi la parte su Cryptomining e Fingerprinting, rispettando così quella che è anche la scaletta del video.
Ghostery
Ghostery è un’estensione esterna dei browser che agisce in maniera analoga al sistema antitracciamento di Firefox e Microsoft Edge, utilizzando però un proprio database.
Io lo trovo utile (come forse hai visto se hai guardato tutta la serie di video) perché quantomeno ti permette di conoscere quali sono i tracker presenti su ogni pagina, evidenziando questa informazione con un numero già nell’icona, come nella figura qui sotto.
Si tratta di un’estensione gratuita che opera anch’essa con diversi livelli perchè, come evidenzio anche nel video, il blocco dei tracker può avere anche degli impatti sul funzionamento del sito… pertanto esistono livelli più aggressivi e livelli che tendono a preservare maggiormente la funzionalità del sito.
AGGIORNAMENTO: rispetto a quanto riportato nel video, il motore di ricerca clicqz.com non è più disponibile. Ho approfondito questo aspetto in questo articolo dove parlo anche di quello che Cliqz mette invece ancora a disposizione e di come sia utile.
Cosa è il Cryptomining?
Analizzando i sistemi di protezione integrata dei browser, abbiamo incontrato nel video precedente due termini “un po’ strani”. Si tratta di Cryptomining e Fingerprinting.
Premesso che Ghostery protegge sia dal cryptomining (puoi verificarlo qui) che dal fingerprinting (puoi verificarlo qui) e che lo fanno anche le protezioni integrate dei browser, vediamo di che si tratta, partendo dal cryptomining.
Il cryptomining (per la precisione, è meglio parlare di “cryptomining abusivo“) è quella pratica volta a sfruttare la potenza di calcolo di un computer per produrre valuta digitale, all’insaputa dell’utente.
La cosa potrebbe anche sorprenderti se non conosci la materia, ma parlando di criptovaluta è possibile e perfettamente legittimo per alcune di esse creare “moneta” (con i Bitcoin ad esempio).
L’azione che con i soldi di carta viene detta stampa, con le valute digitali viene detta mining, ossia estrazione, come se stessimo estraendo oro da una miniera. E infatti chi produce moneta viene definito in gergo, un miner.
Mining ed energia elettrica
Bene, ma dove sta il problema?
Il punto è che il mining è un’operazione basata fondamentalmente su calcoli matematici che devono essere effettuati da microprocessori alimentati da energia elettrica.
Energia elettrica che ha un costo. Ed eccolo il problema. Se l’energia elettrica utilizzata per “estrarre” un bitcoin (o una criptovaluta in generale), mi costa di più del valore della criptovaluta stessa, allora il gioco non vale la candela.
Quindi abbandono il gioco? No, cerco di ridurre il costo dell’energia elettrica in tutti i modi possibili… fino ad ottenerla gratis, rubandola!
Il cryptomining è quella tecnica, realizzata tramite un pezzo di codice inserito sul dispositivo dell’utente, che permette di utilizzare quel dispositivo per effettuare calcoli… il tutto all’insaputa dell’utente stesso il quale al più potrebbe accorgersi di un rallentamento del suo dispositivo (poichè il processore è impegnato ad elaborare per conto del miner).
In questo modo il miner ha elettricità gratuita. Distribuisce i calcoli su centinaia di migliaia di computer che eseguono i calcoli per lui e così riesce a guadagnare.
Nota peraltro che il cryptomining è uno dei motivi per i quali anche i computer degli utenti privati o i server dei siti web più piccoli sono oggetto di tentativi di attacco da parte degli hacker. Un hacker non attacca quindi solo i grandi siti web… tutti i computer – per motivi diversi – sono interessanti per gli hacker e pertanto è bene proteggersi.
Fingeprinting
Ed eccoci infine a parlare di fingerprinting. Di che si tratta e perchè esiste?
Partiamo dai tracker. Abbiamo detto che grazie ai tracker le piattaforme di pubblicità riescono a identificarci e a costruire un profilo del nostro comportamento online, al fine di poter ottimizzare la pubblicità che ci viene proposta.
È importante riuscire a identificarci, perchè solo sapendo che siamo sempre noi a visitare il sito A, B, H, ed F si può costruire quel profilo.
(che poi l’utilizzo purtroppo non è solo per ottimizzare la pubblicità, ma anche di questo te ne ho già parlato).
Che succede se i tracker vengono bloccati? Come puoi intuire succede che i dispositivi non possono più essere identificati e di conseguenza i profili non possono più essere costruiti. Questo a sua volta implica che le aziende che su quei profili hanno costruito il loro business ci rimettono perché gli viene a mancare la materia prima: il dato.
Ecco che allora si trovano soluzioni alternative per identificare i dispositivi.
Ogni dispositivo connesso al web è (quasi) unico
Il fingerprinting si basa su un fatto molto semplice. Per diversi motivi, quando un browser si collega ad un sito web, comunica a quest’ultimo tutta una serie di informazioni relative a sè stesso e al dispositivo sul quale è in funzione.
Informazioni come la versione del browser, il sistema operativo, il tipo di dispositivo o la risoluzione dello schermo. In realtà possono anche essere diverse decine le informazioni che vengono scambiate e che sono utili a chi gestisce il sito web per fini statistici e – soprattutto – per ottimizzare il sito stesso e migliorare l’esperienza dell’utente.
Il problema è che con una quantità così elevata di parametri, le combinazioni possibili sono tantissime ed è molto difficile che due dispositivi abbiano gli stessi valori.
Ed ecco il punto, è possibile utilizzare l’insieme di questi valori come se fosse un codice fiscale o, meglio, come se fosse un’impronta digitale del dispositivo, che ne permette l’identificazione.
Impronta digitale (fingerprint in inglese).
Così, anche senza installare alcun tracker, semplicemente analizzando i dati che vengono naturalmente passati al sito web, è possibile riconoscere (e tracciare) il dispositivo. La tecnica non è così precisa come l’uso dei tracker, ma offre comunque un’ottima approssimazione.
Sono identificabile?
A questo punto, tu che stai leggendo questo articolo potresti voler capire se il tuo dispositivo sia identificabile o meno. Premesso che non devi allarmarti perché di fatto in questo momento avrai con tutta probabilità già molti tracker attivi, resta comunque un’informazione interessante e che aiuta a comprendere la questione.
A tal proposito ti segnalo il sito amiunique.org che permette proprio di conoscere la risposta. Apri il sito e clicca sul pulsante evidenziato in figura et voilà.
Provando con il mio browser ecco l’esito. Sono unico! E in quanto unico, sono identificabile (quantomeno rispetto agli oltre 2,8 milioni di dispositivi che il sito ha analizzato). Unico su 2,8 milioni di dispositivi!
È pur vero che rispetto ai 4,66 miliardi di utenti connessi ad internet 2,8 milioni sia decisamente poco, ma nota che amiunique.org ha semplicemente un proprio archivio. Non è un sistema diffuso come lo è Chrome e non riesce ad acquisire così tanti dati.
Ma ne ha acquisiti comunque tanti, non c’è dubbio. E considera che una ricerca ha evidenziato come nel caso migliore (o peggiore a seconda dei punti di vista) solo un browser su 286.777 possa condividere la stessa impronta con un altro utente.
Cioè, potrebbero verificarsi situazioni nelle quali questo rapporto si alzerà a 1 a 500.000 o 1 a 1.000.000, ma non si prevede possa scendere sotto quella soglia.
E infatti amiunique.org mi sta dicendo addirittura che l’impronta del mio dispositivo è unica rispetto a 2.876.574 dispositivi!
Il video della puntata
Ecco il video dell’ultima puntata della serie. Nel video, oltre a raccontarti con altri dettagli quello che ho descritto in questo articolo, trovi anche le mie considerazioni finali.
Alcune riflessioni sul problema – complesso – del tracciamento dei dati, della pubblicità e del giusto equilibrio tra tutti gli interessi in gioco.
Buona visione.
