I Web Bugs sono delle immagini invisibili, solitamente delle dimensioni di un pixel che vengono inserite all'interno di una pagina web per reperire informazioni sulle vostre abitudini di navigazione e sui vostri acquisti on line senza che voi nemmengo ve ne accorgiate. Ma come può un'immagine di un pixel vi chiederete voi reperire delle informazioni su di me?
La risposta è molto semplice, il web bug usa la stessa tecnologia che è alla base d'internet, ovvero l'architettura client-server del web. Quando richiedete una pagina web tramite il vostro browser (il client), il web server (il server) a cui fate la richiesta risponderà fornendovi le risorse che avete richiesto, ovvero pagine HTML, immagini e file, per potervi rispondere però deve conoscere a chi mandare questa risposta, ed il vostro indirizzo non è altro che l'IP del vostro computer.
Quindi partendo dal presupposto che il server conosce delle informazioni su di noi per poter fornire al nostro browser la pagina html richiesta, questa tecnica può essere sfruttata per reperire informazioni. Basta inserire all'interno del codice di una pagina un web bug (un'immagine invisibile) risiedente possibilmente su un server diverso da quello della pagina, per poter avere informazioni quali: l'inidirizzo IP del vostro computer, la pagina web contenente il web bug, il tipo di browser utilizzato e molto altro ancora.
E cosa se ne fanno di queste informazioni vi chiederete a questo punto. Nella migliore delle ipotesi Spam, spam a go go, conoscendo le vostre abitudini di navigazione ed il vostro indirizzo, sarà molto più facile per gli spammer bombardarvi con messaggi di posta elettronica mirata.
Il Web è pieno zeppo di web bugs, molto più di quanto possiate immaginare, e le pagine web non sono il solo canale con cui si diffondono. Individuarli è molto difficile ed evitarli ancora di più.
Andiamo a scoprirne di più su questi "insetti del web", apprendiamo i canali su cui girano, impariamo esattamente quali informazioni riescono a recepire su di noi e come evitare che questo accada.
Come funzionano i Web Bugs
Non importa quale browser stiate utilizzando, internet explorer, firefox, opera, quando visitate una pagina web, state comunque facendo una richiesta al server, questo per potervi rispondere recepisce delle informazioni sulla vostra macchina. Una semplice immagine quindi, per essere caricata nella pagina a voi restituita può diventare una spia per raccogliere informazioni sulle vostre attività online.
Supponiamo quindi che all'interno della mia pagina web, io carichi un'immagine gif trasparente, o anche talmente piccola da non essere notata, come questo codice html ad esempio:
<img src="http://www.mioserver.com/images/dot.gif" width="1px" height="1px" />
Se notate il sorgente di questo tag img, punta a www.mioserver.com, in parole povere carico l'immagine nella pagina da un'altro server, a questo punto quando il navigatore aprirà la pagina web, assieme a tutte le altre informazioni caricherà anche l'immagine (difficilmente notabile viste le dimensioni), il quel preciso momento le informazioni riguardanti la vostra macchina saranno disponibili anche al server sorgente del Web Bugs.
Quali informazioni recepiscono i Web Bugs
Con questo semplice trucco, i web bugs riescono ad inviare al loro server, informazioni preziose sulla nostra macchina e sul nostro modo di navigare, oltre a violare palesemente la nostra privacy poichè in alcuni casi leggono anche i nostri cookie. Più precisamente i bug del web inviano ai loro server le seguenti informazioni sul navigatore:
- l'indirizzo IP del computer;
- l'URL della pagina html in cui è presente il web bug;
- la data e l'ora in cui è stata richiesta la pagina e quindi il web bug;
- il browser (client) utilizzato per la richiesta;
- il cookie dell'utente per quel sito web (se riesce a leggerlo)
L'uso combinato di queste informazioni, permette alle società di pubblicità online ed agli spammer (spesso la stessa cosa) di prenderci di mira, bombardandoci di messaggi pubblicitari indesiderati.
NOTA: i cookie sono dei file di testo creati dai siti web per permettere di riconoscere l'utente che sta navigando, loggarlo e mantenere delle informazioni su di esso (il web è stateless). Detti file possono essere letti solo dal sito che li ha creati (tipo eBay crea i suoi cookie), e non dagli altri. Purtroppo però molti siti web caricano dei web bug all'interno delle loro pagine da server di società specializzate nella raccolta d'informazioni online, e quindi in questo caso saranno in grado di leggere anche i nostri cookie, raccogliendo non solo informazioni preziosissime sulla nostra navigazione, ma anche gli identificativi di sessione della nostra navigazione web su quel sito.
Dove si trovano i Web Bugs
I web bug sono un pò dappertutto, non solo nelle normali pagine web, ma anche all'interno dei banner pubblicitari, dei messaggi popup e popunder, nei forum e nei newsgroup ed infine anche nei messaggi di posta elettronica. Proprio così i web bugs possono trovarsi anche nelle e-mail e nelle newsletter, non c'è da stupirsi, il concetto è del tutto identico, quando aprite un messaggio di posta elettronica fatto in html (e non puro testo) questo può contenere immagini, link e quant'altro, quindi potenzialmente anche un web bugs.
Non appena col vosto programma di posta elettronica scaricate il messaggio, scaricherete anche il web bug, il server di orgine riceverà in quel momento informazioni sul vostro IP, il vostro sistema operativo e la data e l'ora in cui avete letto il messaggio. I web bugs presenti nelle e-mail hanno un duplice effetto negativo, non solo forniscono informazioni sul vostro conto, ma danno conferma a chi vi ha inviato il messaggio che il vostro indirizzo di posta è sicuramente valido, altrimenti non avrebbe scaricato il web bug, permettendo così d'inserirlo in liste da usare e vendere agli spammer.
Ecco perchè quasi tutti i moderni client di posta elettronica, hanno come impostazioni di default, il blocco per scaricare le immagini, proprio per evitare che possiate scaricare dei web bug assieme al resto del codice html. Solo se siete sicuri della provenienza del messggio è bene scaricare le immagini ed il codice html dell'e-mail, altrimenti vi consiglio di leggerlo nel solo formato testo, così facendo eviterete di dire allo spammer: "ehi ho scaricato il tuo messaggio con il web bug, l'indirizzo di posta è valido".
Anche nei newsgroup sono diffusissimi i web bugs, il furbone di turno, può inserire un messaggio in html anzichè in puro testo, e caricare così un web bug da un server esterno; ogni qual volta un'utente leggerà quel messagio caricherà inconsapevolmente il web bug fornendo al server informazioni su di esso. Così come per la posta elettronica, anche per i newsgroup si sono presi provvedimenti, molti di essi sono coordinati da uno o più moderatori e permettono l'inserimento di messaggi di puro testo.
Riconoscere ed evitare i Web Bugs con Bugnosis
Come detto in precedenza i web bugs in taluni casi, riescono a leggere anche i vostri cookie, ed usandoli assieme alle informazioni che hanno reperito su di voi possono inviarvi messaggi di posta indesiderata o vendere le vostre informazioni al migliore offerente. Quindi la prima cosa che verrebbe in mente di fare è quella di disabilitare i cookie del vostro browser, questa è si una soluzione parzialmente efficace, ma fortemente sconsigliata, poichè così facendo limitereste di molto la vostra navigazione web, impedendo a tutti quei siti web che sfruttano i cookie (soprattuo i siti di e-commerce) d'implementare funzionalità avanzate e di poter interagire con voi.
Una soluzione molto meno indolore ci viene da un software freeware in grado di riconoscere la molti dei web bugs presenti nelle pagine web, stiamo parlando di Bugnosis, una volta scaricato ed installato, questo si configurerà nella barra degli strumenti del vostro browser, avvisandovi con un segnale acustico ogni qual volta riconoscera un web bug nella pagina web che state cercando di aprire, potete vedere la barra di Bugnosis nella figura sottostante:
Come vedete bugnosis, sara presente nella vostra barrà, e segnalerà la presenza di web bug, sia con un suono sia colorando la barra a fianco della sua icona. Il nome Bugnosis, deriva dalla combinazione dei due termini Bug e Noises, che potrebbe essere tradotto come "il disturbo dei bug del web". Bugnosis oltre a rilevare i bug del web, consente d'identificare l'url a cui questo fà riferimento, ed in taluni casi permette d'inviare una e-mail di lamentela al "proprietario" del web bug.
Facendo uso di Bugnosis, vi renderete conto di quanto i bug del web siano diffusi per la rete, sono talmente tanti, e presenti anche in siti "autorevoli", che sarete costretti (provare per credere) ad impostare Bugnosis ad un "livello di guardia" basso o a disinstallarlo completamente, altrimenti sarà un continuo bep bep e blocco della navigazione web.
Conclusioni
Le frodi informatiche messe appunto su internet sono molteplici e di varia natura, i Web Bugs (di cui molti non conoscono neppure l'esistenza) mirano a raccogliere informazioni sul navigatore e ledere la nostra privacy. Purtroppo, non è possibile eliminarli, ma soltanto riconoscerli e ove possibile evitarli.
Buone precauzioni sono disabilitare le immagini dai messaggi di posta e fare uso di Bugnosis durante la navigazione web.
Purtroppo però per quanto Bugnosis sia il programma di riferimento per combattere i web bug, esso non è infallibile ed i trucchi messi appunto dai malintenzionati sono sempre più infimi ed innovativi, quindi come spesso consiglio nei miei articoli sulla sicurezza web, navigate in maniera accorta ed attenta, non andate su siti poco affidabili, non cliccate su qualsiasi cosa vi si presenti davanti, poi col tempo vedrete che acquisirete un'esperienza di navigazione tale che vi permetterà da soli di fiutare la maggior parte dei potenziali pericoli della rete, ed imparerete a fidarvi di essa.
Chiunque voglia aggiungere qualcosa in merito all'argomento, porre una domanda o dare un suggerimento, ogni commento è ben accetto.