Le scorciatoie pericolose

cybersecurity

La comodità di una indicazione sintetica può avere qualche controindicazione

Per raggiungere una destinazione occorre conoscerne l’indirizzo. Se quest’ultimo è disagevole da ricordare, ciascuno di noi adopera piccoli trucchi per rammentare qualcosa di facile che possa supportare la memoria. Non capita soltanto nella vita reale. Anche su Internet ci sono soluzioni per trasformare gli “Uniform Resource Locator” (quelli comunemente chiamati URL), impossibili da digitare o troppo lunghi per essere utilizzati, in brevi sequenze alfanumeriche di ridotto ingombro e di adeguata efficacia. Basta pensare a quel che accade ai “twittaroli” incalliti, quelli che alle prese con la moderna messaggistica sono costretti a fare i conti con l’esiguità di caratteri a disposizione ogni volta che desiderano lanciare un proprio tweet. Quasi per magia i link inseriti nella propria sintetica comunicazione riescono – a dispetto delle reali dimensioni dell’indirizzo – a rientrare nello spazio previsto dal social network.

I meccanismi, abitualmente indicati come “URL shorteners” e che “accorciano” gli indirizzi sul web, sono recentemente finiti sotto osservazione e hanno finito con il destare qualche seria preoccupazione. Vitaly Shmatikov e Martin Georgiev, due ricercatori della Cornell Tech, hanno rilevato che questi “sintetizzatori” sono costruiti con una sintassi prevedibile e di facile interpretazione: in pratica, la loro trasparenza può essere sfruttata agevolmente da chi voglia violare la privacy di un potenziale bersaglio. Un esame approfondito delle tecniche utilizzate da Google, Bit.ly e Microsoft ha evidenziato la tutt’altro che remota possibilità che un malintenzionato possa sfruttarle – per esempio – per rintracciare facilmente documenti privati e piazzare malware o, chissà, per devastare la riservatezza di una determinata persona.

La ricerca ha preso avvio un anno e mezzo fa e l’innesco è stato la constatazione che i servizi Microsoft OneDrive e Google Maps comprimevano indirizzi web in soli sei caratteri numerici apparentemente casuali. Quel che dovrebbe servire a facilitare la comunicazione in una ristretta cerchia di amici o collaboratori si è rivelato come un pericoloso strumento di violazione della privacy. Shmatikov e Georgiev hanno, infatti, ricostruito la dinamica di creazione delle “abbreviazioni” telematiche dopo aver generato 71 milioni di combinazioni di indirizzi OneDrive. Operazione semplice, basata sul cosiddetto “number guessing” e consistente nel digitare una qualsiasi sequenza di 6 numeri in sostituzione di quelli di un qualunque indirizzo esistente. Niente ricerca o download, nessuna intrusione: solo ripetuti tentativi di compilazione di semplici stringhe di numeri che ogni volta portava a una destinazione web diversa. Compresa la logica di “compressione” degli URL, i due ricercatori hanno capito che una analisi approfondita dell’indirizzo “ridotto” portava a scoprire chi ne aveva determinato la generazione. Il risultato è facilmente immaginabile: così facendo si scopre se un certo tizio identificabile, per esempio, si è trovato in un luogo poco raccomandabile o ha interessi particolari sul web…

Leggi anche:  Allarme Doxing, ovvero imparare dagli errori

Molto banalmente tentare la sorte “inventando” un indirizzo breve (poco importa se legato a Google, Bit.ly o Microsoft) si può spalancare una finestra su un mondo tutto da esplorare. Se i curiosi sanno come impiegare il proprio tempo d’ora in poi, tutti gli altri dovrebbero cominciare a riflettere sull’opportunità di ricorrere il meno possibile a certe comodità. Molto sovente ci si dimentica che ogni medaglia ha un suo, non sempre gradevole, rovescio e che il prezzo di un vantaggio può vanificare il beneficio acquisito. La raccomandazione è fin troppo scontata. Se proprio non si può fare a meno di “restringere” i propri link, almeno lo si faccia facendo ricorso a “risolutori” di proprietà ed evitando l’utilizzo di chi offre gratuitamente certe sintesi sintattiche che potrebbero riservare qualche spiacevole sorpresa.