I dati biometrici per creare profili “permanenti” degli utenti sono a prova di anonimato, sostengono due ricercatori di sicurezza, soprattutto nel caso in cui il codice JavaScript viene impiegato sul Web per tracciare un profilo “comportamentale” dell’utente durante le digitazioni sulla tastiera.
L’ultima tendenza nell’ambito del profiling biometrico consiste infatti nel tenere conto del modo in cui si digita qualcosa, analizzando parametri quali il tempo di pressione di ogni singolo tasto, l’intervallo temporale che intercorre tra il passaggio da un tasto al successivo e altro ancora.
Questo genere di profilazione viene già oggi offerta sotto forma di prodotto commerciale da società specializzate come BehavioSec e KeyTrac, e può essere ad esempio adoperata dai siti “istituzionali” di banche e istituti finanziari per migliorare sensibilmente il livello di sicurezza in fase di autenticazione.
Se però si applica il profiling biometrico a siti Web dedicati a tutt’altro genere di business, avverte il ricercatore Paul Moore, l’intero presupposto della privacy e dell’anonimato va a farsi benedire: Tor, VPN o proxy non servono assolutamente a niente, sostiene, basta avere abilitato l’interpretazione del codice JavaScript per trovarsi tracciati e “identificati” per sempre.
Diversamente da una comune password, infatti, il comportamento durante la digitazione sulla tastiera è una caratteristica individuale molto difficile da modificare o da “simulare”; il peggio si verificherebbe poi con l’eventuale “furto” o accesso non autorizzato ai profili così costruiti, con danni alla privacy e alla sicurezza incalcolabili rispetto alla compromissione di banali credenziali di accesso testuali.
Per meglio illustrare i rischi del profiling da tastiera e fornire una prima soluzione in grado di salvaguardare la riservatezza, Moore e Per Thorsheim hanno sviluppato Keyboard Privacy, un’ estensione per il browser Chrome, un componente “proof-of-concept” in grado di interferire con l’immissione di un testo nel browser e quindi, in teoria, di rendere la profilazione inefficace.
Alfonso Maruccia