Come EFF ha chiaramente dimostrato con il suo progetto Panopticlick , l’identificazione univoca di un netizen può tranquillamente prescindere da informazioni sino a ieri considerate vitali come l’indirizzo IP, e far affidamento esclusivamente alla configurazione del browser usato per la navigazione sul web. I risultati sono garantiti, se serve si può far uso anche dei log dei servizi di terze parti e come ultima, definitiva modalità di tracciamento c’è anche una nuova tecnica in JavaScript che analizza la cadenza della digitazione sulla tastiera .
Il merito per lo sviluppo del nuovo stratagemma va a Scout Analytics , azienda a cui 40 diversi clienti hanno affidato il compito di individuare chi, tra gli utenti registrati ai servizi da essi offerti, approfitta delle credenziali di accesso altrui per fruire gratuitamente di quei servizi e privando le aziende del loro legittimo guadagno.
Per portare a termine il compito Scout ha escogitato un sistema di vera e propria analisi comportamentale dove l’indirizzo IP, lo User Agent , la configurazione di plug-in del browser e i cookie servono soltanto a confermare che dietro la tastiera ci sia esattamente un certo utente e nessun altro.
Piuttosto che affidarsi ai suddetti dati di tracciamento (per così dire) statici, il codice JS di Scout costruisce dei profili partendo dalla modalità di digitazione adottata da chi è attualmente loggato su uno dei servizi interessati. Ogni persona ha un modo di battere sulla tastiera quasi unico, dicono quelli di Scout, dove il ritmo di battitura, il tempo di pressione dei tasti e la distanza temporale fra la pressione di un tasto e quello successivo qualificano una individualità e uno schema ben definiti che si ripetono “solo” per una persona ogni 20mila.
Unito ai dati di tracking statici già citati (cookie, User Agent e via elencando), il modello della digitazione è secondo Scout in grado di restituire una risposta parecchio precisa alla domanda “quali account a pagamento vengono condivisi tra più utenti?”. In un caso gli ingegneri di Scout sono giunti alla conclusione che su 130mila account sottoscritti, i pattern registrati erano 175mila il che equivaleva a 45mila persone che usavano il servizio senza pagare.
Una volta ottenuta l’identificazione certa degli account fedifraghi, naturalmente, Scout si lava le mani della faccenda e sta alla società che ha comminato l’analisi stabilire come comportarsi. Per vendere il proprio servizio, comunque, la società di analisi sostiene che un tale metodo di indagine sarebbe in grado di aumentare i guadagni del 10-15% in proporzione alla strategia di contrasto scelta.
Alfonso Maruccia