Browsers deixam rasto mesmo sem cookies

Os mais populares browsers cedem informações suficientes aos sites para permitir a obtenção de dados sobre os seus visitantes, em cerca de 94 por cento das ocasiões, segundo a Electronic Frontier Foundation.

Uma investigação da Electronic Frontier Foundation (EFF) vem agora quantificar de forma clara algo que os especialistas em segurança já sabem que acontece há muitos anos, como refere Peter Eckersley, um dos autores do estudo. Este investigador descobriu que algumas importantes informações de configuração – como dados sobre o tipo de browser utilizado, o sistema operativo, os plugins e até mesmo as fontes instaladas – podem ser compiladas pelos websites, permitindo assim transmitir uma imagem clara acerca dos visitantes desses sites.
Isto significa que a generalidades dos utilizadores da Internet estão muito menos protegidos pelo anonimato do que pensam, diz Eckersley. “Mesmo quando desactivamos os cookies e usamos um proxy para ocultar o nosso endereço IP, podemos mesmo assim transmitir informações que não desejamos”, sublinha.
É certo que os dados não identificam concretamente o utilizador, mas cria algo parecido com uma “impressão digital” no browser, que pode ser usada para identificar o utilizador quando este visita outros websites.
Usando o JavaScript, os websites tornam-se capazes de sondar os PC e obter assim dados importantes. Nenhuma dessa informação é suficiente, só por si, para identificar o visitante, mas quando todos os dados são analisados em conjunto – a versão do browser, o idioma, o sistema operativo, o fuso horário – é possível ter uma visão mais clara acerca do utilizador. Alguns desses dados, como qual a combinação de plugins e fontes instalados, por exemplo, são facilmente transmitidos.
E nem sequer adianta usar o modo privado que alguns browsers disponibilizam. “As soluções existentes no mercado dão-nos uma certa protecção contra outras pessoas que podem usar o nosso computador, mas ainda ninguém conseguiu criar uma forma de proteger as pessoas contra as companhias que têm por objectivo criar perfis de utilizadores Web”, sustenta Eckersley.
Com efeito, existe já um número significativo de empresas no mercado a oferecerem este tipo de análise e monitorização Web para ajudar os sites de e-commerce a identificar burlões. Companhias como a 41st Parameter, ThreatMetrix e Iovation são também já muito usadas pela banca, comércio electrónico e redes sociais.
E as soluções que oferecem funcionam. Em Agosto do ano passado, quando criminosos sérvios começaram a testar cartões de crédito roubados através da realização de centenas de transacções no valor de 1,99 dólares no site de venda de filmes iReel.com, os gestores do site viram-se obrigados a recorrer à ThreatMetrix para combater a acção dos burlões. Usando técnicas semelhantes às descritas pela EFF, a ThreatMetrix conseguiu gerar impressões digitais dos visitantes do site, o que ajudou a iReel a perceber sempre que o mesmo utilizador estava a usar centenas de cartões de crédito diferentes, mesmo estando ele a usar endereços IP ocultos por proxy, como conta Adam Altman, COO da iReel. “Graças a esta análise, foi possível eliminarmos centenas de transacções desnecessárias”, refere.
Estes produtos podem vir a massificar-se cada vez mais, à medida que os fabricantes de browsers dão aos utilizadores mais controlo sobre a gestão de ficheiros cookie, de acordo com Avivah Litan, analista do Gartner. Muitos sites de e-commerce já utilizam os chamados Flash cookies para analisar o tipo de utilizador que os visita, mas a Adobe está a começar a dar mais controlo aos utilizadores em relação a estes ficheiros, pelo que as tecnologias de monitorização e criação das tais impressões digitais dos browsers podem vir a ser amplamente utilizadas na Web, considera a analista.

Mas tudo isto são más notícias para as pessoas que pensam estar a navegar de forma anónima na Internet, sublinha o autor da investigação da EFF. “Se alguém consegue ver as páginas que visitamos, é porque também consegue saber mais sobre nós do que o que gostaríamos”, sublinha.

EFF cria site de teste

A EFF criou um website – panopticlick.eff.org –  que testa os seus visitantes para determinar que tipo de rasto deixam e se esses dados os permitem identificar ou não. E a maioria das pessoas acaba por ficar surpreendida por saber até que ponto são monitorizáveis online, diz Peter Eckersley. Existem, contudo, algumas medidas eficazes para combater esta vigilância. Nós próprios fizemos o teste e descobrimos que um dos nossos PC equipado com Windows XP e com o browser Firefox conseguiu escapar a essa análise ao ter a extensão NoScript activada. Peter Eckersley dá uma dica adicional – utilizar o software de anonimato online Tor Internet.
Os browsers móveis que correm no iPhone e nos dispositivos Android também conseguem, na maioria dos casos, não ser identificados. E isto porque normalmente não possuem a variedade de plugins e add-ons de fontes que são comuns aos PC desktop. Não seria, então, possível que os fabricantes de browsers tornassem os seus produtos mais privados? Peter Eckersley acredita que sim. “Existem algumas situações em que se torna útil obter alguma desta informação, mas na maioria dos casos não será necessário recolher tantos dados”, considera.

Browsers deixam rasto mesmo sem cookies

Os mais populares browsers cedem informações suficientes aos sites para permitir a obtenção de dados sobre os seus visitantes, em cerca de 94 por cento das ocasiões, segundo a Electronic Frontier Foundation.

Uma investigação da Electronic Frontier Foundation (EFF) vem agora quantificar de forma clara algo que os especialistas em segurança já sabem que acontece há muitos anos, como refere Peter Eckersley, um dos autores do estudo. Este investigador descobriu que algumas importantes informações de configuração – como dados sobre o tipo de browser utilizado, o sistema operativo, os plugins e até mesmo as fontes instaladas – podem ser compiladas pelos websites, permitindo assim transmitir uma imagem clara acerca dos visitantes desses sites.
Isto significa que a generalidades dos utilizadores da Internet estão muito menos protegidos pelo anonimato do que pensam, diz Eckersley. “Mesmo quando desactivamos os cookies e usamos um proxy para ocultar o nosso endereço IP, podemos mesmo assim transmitir informações que não desejamos”, sublinha.
É certo que os dados não identificam concretamente o utilizador, mas cria algo parecido com uma “impressão digital” no browser, que pode ser usada para identificar o utilizador quando este visita outros websites.
Usando o JavaScript, os websites tornam-se capazes de sondar os PCs e obter assim dados importantes. Nenhuma dessa informação é suficiente, só por si, para identificar o visitante, mas quando todos os dados são analisados em conjunto – a versão do browser, o idioma, o sistema operativo, o fuso horário – é possível ter uma visão mais clara acerca do utilizador. Alguns desses dados, como qual a combinação de plugins e fontes instalados, por exemplo, são facilmente transmitidos.
E nem sequer adianta usar o modo privado que alguns browsers disponibilizam. “As soluções existentes no mercado dão-nos uma certa protecção contra outras pessoas que podem usar o nosso computador, mas ainda ninguém conseguiu criar uma forma de proteger as pessoas contra as companhias que têm por objectivo criar perfis de utilizadores Web”, sustenta Eckersley.
Com efeito, existe já um número significativo de empresas no mercado a oferecerem este tipo de análise e monitorização Web para ajudar os sites de e-commerce a identificar burlões. Companhias como a 41st Parameter, ThreatMetrix e Iovation são também já muito usadas pela banca, comércio electrónico e redes sociais.
E as soluções que oferecem funcionam. Em Agosto do ano passado, quando criminosos sérvios começaram a testar cartões de crédito roubados através da realização de centenas de transacções no valor de 1,99 dólares no site de venda de filmes iReel.com, os gestores do site viram-se obrigados a recorrer à ThreatMetrix para combater a acção dos burlões. Usando técnicas semelhantes às descritas pela EFF, a ThreatMetrix conseguiu gerar impressões digitais dos visitantes do site, o que ajudou a iReel a perceber sempre que o mesmo utilizador estava a usar centenas de cartões de crédito diferentes, mesmo estando ele a usar endereços IP ocultos por proxy, como conta Adam Altman, COO da iReel. “Graças a esta análise, foi possível eliminarmos centenas de transacções desnecessárias”, refere.
Estes produtos podem vir a massificar-se cada vez mais, à medida que os fabricantes de browsers dão aos utilizadores mais controlo sobre a gestão de ficheiros cookie, de acordo com Avivah Litan, analista do Gartner. Muitos sites de e-commerce já utilizam os chamados Flash cookies para analisar o tipo de utilizador que os visita, mas a Adobe está a começar a dar mais controlo aos utilizadores em relação a estes ficheiros, pelo que as tecnologias de monitorização e criação das tais impressões digitais dos browsers podem vir a ser amplamente utilizadas na Web, considera a analista.
Mas tudo isto são más notícias para as pessoas que pensam estar a navegar de forma anónima na Internet, sublinha o autor da investigação da EFF. “Se alguém consegue ver as páginas que visitamos, é porque também consegue saber mais sobre nós do que o que gostaríamos”, sublinha.

EFF cria site de teste

A EFF criou um website que testa os seus visitantes para determinar que tipo de rasto deixam e se esses dados os permitem identificar ou não. E a maioria das pessoas acaba por ficar surpreendida por saber até que ponto são monitorizáveis online, diz Peter Eckersley. Existem, contudo, algumas medidas eficazes para combater esta vigilância. Nós próprios fizemos o teste e descobrimos que um dos nossos PC equipado com Windows XP e com o browser Firefox conseguiu escapar a essa análise ao ter a extensão NoScript activada. Peter Eckersley dá uma dica adicional – utilizar o software de anonimato online Tor Internet.
Os browsers móveis que correm no iPhone e nos dispositivos Android também conseguem, na maioria dos casos, não ser identificados. E isto porque normalmente não possuem a variedade de plugins e add-ons de fontes que são comuns aos PC desktop. Não seria, então, possível que os fabricantes de browsers tornassem os seus produtos mais privados? Peter Eckersley acredita que sim. “Existem algumas situações em que se torna útil obter alguma desta informação, mas na maioria dos casos não será necessário recolher tantos dados”, considera.




Deixe um comentário

O seu email não será publicado